ESET предупреждает об атаке программы-вымогателя на российские компании

На сайте вендора сообщают, что вредоносная программа Shade распространяется через спам-рассылку. Письма маскируются злоумышленниками под официальные запросы легитимных российских компаний, в частности зафиксированы случаи рассылки от лица «Бинбанка» и розничной сети «Магнит». 

Во вложении таких писем находится ZIP-архив, который содержит JavaScript-файл под названием «Информация.js», после извлечения и запуска этот файл скачивает вредоносный загрузчик, детектируемый продуктами ESET как Win32/Injector. В свою очередь, загрузчик запускает финальную полезную нагрузку – вымогатель Shade (он же Troldesh), который шифрует широкий спектр файлов на локальных дисках. 

Кроме того, загрузчик пытается маскироваться, выдавая себя за легитимный системный процесс Client Server Runtime Process (csrss.exe). Он копирует себя в C:\ProgramData\Windows\csrss.exе, где Windows – скрытая папка, созданная загрузчиком, обычно в ProgramData этой папки нет. 

На компьютере жертвы сохраняется инструкция по оплате выкупа в TXT-файле, сообщение написано на русском и английском языках. 

На текущий момент вымогатель Shade проявляет наибольшую активность именно в России (более 52% от всех обнаруженных вредоносных вложений). Также атаке подверглись пользователи Германии, Японии и Украины. 

Сайт www.esetnod32.ru 

Softex советует   

Чтобы не стать жертвой злоумышленников-вымогателей необходимо использовать актуальные версии антивирусных продуктов, следить за своевременным обновлением баз, повышать грамотность персонала с сфере информационной безопасности и заботиться о резервном копировании.