«Лаборатория Касперского» предупреждает о появлении новой модификации широко распространённого на территории России и СНГ шифровальщика Shade.
Анализ показал, что в коде вредоносной программы появилась дополнительная логика, в соответствии с которой зловред проверяет компьютер на причастность к бухгалтерии и в случае положительного результата устанавливает в систему инструменты удалённого управления вместо стандартного шифрования файлов. Такие возможности позволяют злоумышленникам скрытно следить за деятельностью жертвы и собирать подробные сведения о её платежеспособности, которые могут быть использованы для разработки наиболее эффективной схемы получения выкупа.
Модель работы новой версии Shade выглядит следующим образом. Зловред ищет в установленных в системе приложениях строки, связанные с банковским ПО, а затем подстроки «BUH», «BUGAL», «БУХ», «БУГАЛ» в имени компьютера и пользователя. При обнаружении искомого Shade не шифрует файлы, а внедряет в систему жертвы вредоносную программу Teamspy, которая позволяет, например, записывать звук или видео с экрана, скачивать и запускать файлы, выключать и перезагружать компьютер.
Для связи с командным сервером Teamspy использует легальную утилиту удалённого управления TeamViewer 6, модифицируя её для незаметной работы и скрывая окно программы и её значок в области уведомлений.
Использование такой схемы открывает перед злоумышленниками широкие перспективы обогащения и в случае даже единичного успешного заражения может принести им значительные суммы денег.
Источник:
