I første kvartal i år, eksperter fra Palo Alto Networks bemerket 6536 prøver å laste ned kryptograf Share i klientens base. Omtrent en tredjedel av farlige forespørsler kom fra amerikanske datamaskiner.
Windows-ransomware Skygge, også kjent som Troldesh, ankom Internett på slutten av 2014 - begynnelsen av 2015. Den spres hovedsakelig fra spam, og noen ganger – med bruk av utnyttelsespakker.For koordinering av data, malware skaper 256 biter AES-nøkler, Og, lagre dem i den endelige filen, krypterer dem med RSA-3072 nøkkel. I hver mappe med krypterte filer og på skrivebordet er plassert opp til 10 identiske README.txt-dokumenter med instruksjoner på engelsk og russisk. Etter at arbeidet er ferdig, Shade sletter alle skyggefilens kopier på alle diskene.
I løpet av sin eksistens tid, kryptograf viste også noen andre ferdigheter, som juks klikker på reklamebanner og laster ned ytterligere skadelig programvare (Ponni, Teamspy, banktjenester Trojans).
Gratis dekoder for Shade opprettet for lenge siden og nei tilgjengelig på Ikke mer løsepenger prosjektets nettsted, derimot, praksis sier at malwareoperatører fortsatt håper å samle hyllest fra uoppmerksomme brukere med hjelpen.
Spammeldinger som fremdeles spres for såing, målretter hovedsakelig russisktalende publikum, og blant ofrene er oppført Russland, Japan, Tyskland, Frankrike og Ukraina statsborgere. Ved slutten av 2016 var fast målretting av utsendelse i Australia.
I følge Palo Alto, mellom januar og mars 2019 malware-turens geografi endret seg betydelig:
- USA - 2010 anker;
- Japan- 1677;
- India - 989;
- Thailand - 723;
- Canada - 712;
- Spania- 505;
- Russland - 86;
- Frankrike - 71;
- Storbritannia- 67;
- Kasakhstan - 21.
Ofte prøvde Shade å laste opp representanter for IT-industrien, kommersielle og utdanningsinstitusjoner.
- IT-teknologi - 5009 anker;
- Handel - 722;
- Utdanning - 720;
- Telekommunikasjon - 311;
- Økonomi - 51;
- Transport og logistikk - 24;
- Industrielle bedrifter - 32;
- Profesjonelle tjenester (juridisk bistand) 8;
- Verktøy og energi - 4;
- Lokal administrasjon - 1.
Eksperter understreker at data ble samlet inn i selskapets kundebase, så lister kan ikke påberope seg å dekke full auditive av aktuelle angrep.
Totalt utgjorde forskere 307 Skyggeprøver som spres i rammer av ny kampanje. Analyser viste at utpresserens identifikasjonsmerker forble de samme.
Så, det ble fortsatt lagt til de krypterte filene .krypted000007 forlengelse, det ble først notert i april 2017 (I 2015-2016 Skyggeforfattere endret ofte dette vedlegget, men senere eksperimenter stoppet). Melding med krav om utkjøp vises uendret på skjermen under hele skadeprogrammets eksistens, og løkdomene for mottak av betalinger har ikke endret seg siden 2016.
Kilde: https://gbhackers.com
