Специалисты ESET и "Лаборатории Касперского" предупредили о новой волне фишинговых писем, с помощью которых распространяется шифровальщик Shade. Злоумышленники не стали придумывать что-то новое, а профессионально использовали уже известные фишинговые уловки.

Письма злоумышленников, как правило, замаскированы под уведомления от каких-либо известных брендов. Жертва получает короткое письмо, подписанное якобы сотрудником известной компании. В самом письме минимум деталей — сообщение "Высылаю подробности заказа" и либо URL, выглядящий как ссылка на облачное хранилище документов, либо вложение. Распознать такую подделку можно по несоответствию адреса отправителя и данных в подписи: разные фамилии и домены.

В фишинговом письме часто присутствует строка, имитирующая отметку о проверке каким-либо защитным решением, — злоумышленники считают, что так письмо вызовет больше доверия.

При переходе по ссылке или открытии вложенного документа, жертву ожидает загрузка на компьютер троянца, который выполняет установку шифровальщика Shade на компьютер. Специалисты компании ESET также пишут о вариантах писем, во вложениях которых находится ZIP-архив, содержащий JavaScript-файл под названием "Информация.js"; после извлечения и запуска этот файл скачивает вредоносный загрузчик, детектируемый продуктами ESET как Win32/Injector. Загрузчик запускает финальную полезную нагрузку – вымогатель Shade (он же Troldesh).

Специалисты "Лаборатории Касперского" напоминают, что несколько лет назад шифровальщик Shade уже проявил себя и запомнился экспертам тем, что анализировал по ряду признаков для чего используется компьютер, и в некоторых случаях вместо шифрования содержимого диска устанавливал на зараженную машину инструменты удаленного доступа. Но чаще вирус-шифровальщик Shade действует по "классической схеме": шифрует файлы по заранее сформированному списку расширений, выводит на рабочий стол сообщение с требованием выкупа и создает файл с условиями разблокировки.

shade.png

До данным ESET, на текущий момент Shade проявляет наибольшую активность в России (более половины от всех обнаруженных вредоносных вложений). Также атаке вымогателя подверглись пользователи Германии, Японии и Украины.

Для защиты данных эксперты рекомендуют выполнять следующие простые требования безопасности: пользоваться антивирусами с актуальной базой, вовремя устанавливать обновления операционной системы и важных программ, а также обязательно делать резервные копии данных.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бакапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бэкапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от сбоев и вирусов-шифровальщиков.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете кибер-преступность и ее развитие!