Новости Software

Распространённый в России шифровальщик Shade обрастает новыми функциями

«Лаборатория Касперского» предупреждает о появлении новой модификации широко распространённого на территории России и СНГ шифровальщика Shade.

Анализ показал, что в коде вредоносной программы появилась дополнительная логика, в соответствии с которой зловред проверяет компьютер на причастность к бухгалтерии и в случае положительного результата устанавливает в систему инструменты удалённого управления вместо стандартного шифрования файлов. Такие возможности позволяют злоумышленникам скрытно следить за деятельностью жертвы и собирать подробные сведения о её платежеспособности, которые могут быть использованы для разработки наиболее эффективной схемы получения выкупа.

Модель работы новой версии Shade выглядит следующим образом. Зловред ищет в установленных в системе приложениях строки, связанные с банковским ПО, а затем подстроки «BUH», «BUGAL», «БУХ», «БУГАЛ» в имени компьютера и пользователя. При обнаружении искомого Shade не шифрует файлы, а внедряет в систему жертвы вредоносную программу Teamspy, которая позволяет, например, записывать звук или видео с экрана, скачивать и запускать файлы, выключать и перезагружать компьютер.

Для связи с командным сервером Teamspy использует легальную утилиту удалённого управления TeamViewer 6, модифицируя её для незаметной работы и скрывая окно программы и её значок в области уведомлений.

Использование такой схемы открывает перед злоумышленниками широкие перспективы обогащения и в случае даже единичного успешного заражения может принести им значительные суммы денег. 

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥