Shade(也被称为Troldesh)勒索软件是一个历史悠久的勒索软件,于2014年底首次出现,主要针对运行Microsoft Windows的主机。Shade主要通过恶意垃圾邮件和漏洞利用工具包进行分发。以前Shade勒索软件可执行文件主要针对俄语用户,但研究人员发现Shade最近也开始针对英语用户。
事实上,研究表明,受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家,而是美国、日本、印度、泰国和加拿大,俄罗斯只排在第七。在这些国家中受到攻击的主要行业是高科技、批发和教育。
1
自2016年以来变化很小
Shade勒索软件可执行文件(EXE)几乎没变过。研究人员自2016年以来分析的所有EXE样本都使用cryptsen7f043rr6.onion中的相同Tor地址作为解密器页面,感染期间出现的桌面背景也是相同的。
2
感染Shade后的样子?
感染了Shade勒索软件的Windows主机的桌面
十个README文件都包含相同的指令。
自2016年6月起,所有加密文件的文件扩展名都为.crypted000007。
3
利用垃圾邮件分发Shade
Shade勒索软件通过垃圾邮件进行分发,垃圾邮件内容涉及Java(.js)、发票、账单或其他类型的基于脚本的文件。有时候Shade垃圾邮件中具有这些基于脚本的文件的链接,有时候文件直接是垃圾邮件中的附件。在2019年2月,俄语垃圾邮件使用带有下载包含这些基于脚本的文件的链接的PDF附件。
在研究人员发现的所有情况中都包含.js或其它基于脚本的文件,这些基于脚本的文件旨在检索Shade勒索软件的可执行文件。
Shade勒索软件感染流程
研究人员2019年1月到3月的搜索结果显示307 Shade勒索软件样本超过6,536次,受Shade勒索软件影响最严重的十个国家分别是:美国、日本、印度、泰国、加拿大、西班牙、俄罗斯、法国、英国和哈萨克斯坦。
受Shade勒索软件影响最严重的十大行业分别是:高科技、批发和零售、教育、电信、金融、运输和物流、制造业、法律、公共事业和能源以及州和地方政府。
4
结论
由于研究人员研究的对象,其结果可能会偏向于英语国家。但研究人员指出Shade勒索软件在俄罗斯之外也非常活跃,所以英语受害者可能比俄语受害者多。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!