Многорукий Shade: возможности популярного в России шифровальщика стали еще шире
«Лаборатория Касперского» обнаружила, что распространенный в России шифровальщик Shade умеет не только блокировать доступ к данным с целью получения выкупа, но и действовать более стратегически — проверять компьютер на причастность к бухгалтерии и внедрять в систему инструменты удаленного управления
«Лаборатория Касперского» обнаружила, что распространенный в России шифровальщик Shade умеет не только блокировать доступ к данным с целью получения выкупа, но и действовать более стратегически — проверять компьютер на причастность к бухгалтерии и внедрять в систему инструменты удаленного управления. Такие возможности позволяют злоумышленникам скрытно следить за деятельностью жертвы и собирать подробные сведения о ее платежеспособности, которые могут быть использованы для разработки наиболее эффективной схемы получения выкупа.
Троянец действует следующим образом: проверяя зараженный компьютер, он ищет в установленных в системе приложениях строки, связанные с банковским ПО, а затем подстроки BUH, BUGAL, БУХ, БУГАЛ в имени компьютера и пользователя. При обнаружении искомого зловред не шифрует файлы, а внедряет в систему жертвы вредоносную программу Teamspy, которая позволяет, например, записывать звук или видео с экрана, скачивать и запускать файлы, выключать и перезагружать компьютер.
Для связи с командным сервером Teamspy использует легальную утилиту удаленного управления TeamViewer 6, модифицируя ее для незаметной работы и скрывая окно программы и ее значок в области уведомлений. Не видя графический интерфейс TeamViewer, пользователь зараженного компьютера может и не заподозрить о наличии и активности утилиты, если только не посмотрит в список запущенных процессов.
«Злоумышленники продолжают расширять возможности зловредов. Стремясь извлечь максимальную выгоду от компрометации зараженных компьютеров, они предпочитают шифрованию документов продуманный долгосрочный подход, который может оказаться более эффективным и, следовательно, опасным для пользователей. Использование в случае Shade вредоносной программы, позволяющей управлять системой жертвы, открывает перед киберпреступниками, целенаправленно ищущими финансовую информацию, широкие перспективы обогащения», — комментирует Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».
Продукты «Лаборатории Касперского» детектируют зловред, внедряемый троянцем Shade, как Trojan-Spy.Win32.Teamspy.gl; он известен также как TVSPY, TVRAT, SpY-Agent.
Более подробно узнать о новых возможностях семейства троянцев Shade можно на https://securelist.ru/blog/issledovaniya/29022/shade-not-by-encryption-alone.
Многорукий Shade: возможности популярного в России шифровальщика стали еще шире
Kaspersky
Похожие статьи Новости об угрозах
«Лаборатория Касперского» зафиксировала вредоносную активность Roaming Mantis на iOS-устройствах
Эксперты «Лаборатории Касперского» обнаружили новую вредоносную активность мобильного банковского троянца Roaming Mantis.Читать далее >Шифровать или майнить – вот в чём вопрос: «Лаборатория Касперского» обнаружила новую функцию троянца Rakhni
Эксперты «Лаборатории Касперского» обнаружили новые образцы вредоносного ПО из троянского семейства Rakhni.Читать далее >Промышленные компании беспокоятся не о том: исследование «Лаборатории Касперского» выявило слабые места российских предприятий
Как показало исследование* «Лаборатории Касперского», более половины предприятий в России (58%) полагают, что их индустриальные системы подвергнутся большему риску столкновения с киберугрозами из-за распространения промышленного интернета вещей.Читать далее >