Троян-шифровальщик Shade заражает систему жертвы другими зловредами

«Лаборатория Касперского» обнародовала развёрнутый анализ вредоносной программы Shade, жертвами которой становятся преимущественно российские интернет-пользователи.

Shade — это троян-шифровальщик, кодирующий файлы с целью последующего получения выкупа. Зловред попадает на компьютер жертвы двумя способами: либо через спам-рассылки, либо с помощью эксплойтов. В первом случае жертва получает письмо с вредоносным вложением, попытка открыть которое приводит к заражению системы. Во втором случае вредоносный код появляется в системе после посещения жертвой скомпрометированного веб-сайта: троян эксплуатирует уязвимость в браузере или его плагинах, после чего в систему тайно устанавливается программа-вымогатель.

После проникновения на компьютер жертвы Shade приступает к шифрованию файлов. При поиске целевых объектов троян пользуется обширным списком расширений. К обработанным файлам добавляются расширения .xtbl и .ytbl. Далее выводится сообщение с требованием выкупа и инструкциями.

                                       География распространения трояна Shade

Однако, в отличие от большинства других шифровальщиков, кодированием данных функциональность Shade не ограничивается. Зловред скачивает и устанавливает в систему пользователя другие вредоносные программы нескольких различных семейств, например, программу подбора паролей к веб-сайтам. Ещё одно вредоносное ПО, загружаемое шифровальщиком, известно как Zemot: эта программа может устанавливать на компьютер жертвы известный банковский троян ZeuS.

Наибольшее число случаев заражения трояном Shade зафиксировано на территории России, Украины и Германии. Более подробно о зловреде можно узнать здесь.