Shade Ransomware атакует корпоративные сети через вооруженные PDF-файлы и электронные письма Malspam | DedicateT.com

Регистрация
18.12.2017
Сообщения
400
Симпатии
170
Баллы
106
#1
1558881832606.png

Shade Ransomware появился в конце 2014; он включает в себя вредоносные спам-письма или наборы эксплойтов в качестве основных векторов атаки. В недавней кампании хакеры злоупотребляют CMS, такими как сайты WordPress и Joomla, для размещения полезной нагрузки Shade Ransomware.

Согласно отчету Пало-Альто, ниже перечислены страны, затронутые штаммом вымогателей, который включает в себя Соединенные Штаты, Японию, Индию, Таиланд и Канаду. В первую очередь это касается высоких технологий, оптовой торговли и образования.


Вымогатели доставляются через вредоносные спам-письма, ориентированные на русский и английский язык электронной почты. Электронная почта представляет собой счет-фактуру или счет.

При сравнении с образцами EXE с 2016 года замечательных изменений нет; впервые сообщалось как Troldesh в конце 2014 года.

Тень Вымогателей Инфекции
Когда тень заражает компьютер windows, он помещает фон рабочего стола объявляет, что эта система была зашифрована и создает текстовый файл с именем readme1.txt через README10.формат txt.Как только он зашифровал файл, он добавляет [.] CRYPTED000007] расширение.

Shade-Ransomware-Infection.png

Инфекция включает a .js или PDF-файл, замаскированный под счет-фактуру или счет, который содержит ссылки для загрузки полезной нагрузки Shade ransomware с зараженных серверов.

Инфекционная Цепь
Загруженная полезная нагрузка-это Shade / Troldesh ransomware, которая шифрует все файлы пользователей с помощью AES-256 и добавляет имя файла(.ID_of_infected_machine.crypted000007).

Он ищет следующее расширение файла для шифрования на локальных, сетевых и USB-накопителях.

.1cd,.3ds,.3fr, .3g2,.3gp, .7z,.accda,.accdb,.accdc, .accde,.accdt, .accdw, .АБР. ,АДП,.Ай .ai3, .ai4, .ai5, .ai6 .ai7, .ai8, .аним .АРВ,.как ... Аса. ,АСК. ,ascx,.ассемблер. ,службы ASMX. ,гадюка. ,aspx,.автоматическое распознавание речи. ,АФБ. ,avi,.avs, .резервный. ,бак. ,Бэй .bd, .закром. ,БМП,.bz2, .с. ,ЦХД. ,cer,.cf,.фреон. ,cfm,.cfml, .cfu,.механизм посредничества. ,неоплазия. ,класс. ,clx,.конфигурация. ,cpp, .cr2, .ЭЛТ. ,crw,.цезий. ,стиль CSS. ,csv, .новичок. ,dae,.dat, .децибел. ,dbf,.dbx, .dc3, .ССС. ,dcr,.der, .фишка. ,ДВС-синдром. ,диф .divx,.djvu, .dng,.доктор. ,докм .docx,.точка. ,dotm,.dotx,.dpx, .dqy, .имя источника данных. ,Второзаконие. ,шаблон DTD. ,формат DWG. ,дедвейт. ,дуплексный. ,dxf,.edml, .efd, .эльф, .ЭДС. ,ЭМЗ,.epf, .ОзВ. ,epsf, .epsp, .ЕФБ. ,ДВС. ,f4v,.Фидо .flm,.формат FLV. ,кадр. ,fxg,.Гео. ,файл GIF. ,типовые перечни. ,gz,.ч. ,РВБ. ,ТЭЦ. ,ОТЗ. ,htc, .htm, .формат HTML. ,ПСБ. ,микросхема. ,МКФ. ,Инк. ,indd, .ini,.iqy,.j2c, .j2k, .java, .jp2, .jpc,.jpe,.jpeg,,.jpf, .формат JPG. ,jpx,.Джей Си .jsf, .формат JSON. ,JSP-страница. ,центр распределения ключей. ,kmz,.КВМ, .лассо. ,lbi,.lgf,.lgp, .бревно. ,m1v, .m4a, .m4v,.Макс .md, .среднесрочная оценка. ,MDB-компонента. ,mde,.МДФ. ,mdw, .Меф .mft,.mfw, .МХТ, .формат MHTML. ,МКА .mkidx, .mkv, .МОП. ,мов .mp3, .mp4, .mpeg, .миль на галлон. ,mpv, .МРО. ,глутамат натрия. ,mxl, .Боже .Мии .Невеш. ,nrw, .параметр obj. ,ОБД. ,odc,.odm, .ОДП .ОРВ. ,часто. ,один. ,onepkg, .onetoc2, .выбирать, .Оки .ОРФ. ,p12 .p7b, .p7c, .pam,.pbm, .РСТ. ,формат PCX. ,pdd, .документ PDF. ,ПОПР. ,пеф,.УГР. ,пфф,.НФМ. ,pfx,.программа. ,РНР. ,php3, .php4, .php5, .phtml, .пикт .ПЛ .pls, .ПМ .формат PNG. ,pnm, .горшок. ,потм .поткс .НПА. ,ppam, .ЦБК. ,СФЗ. ,ppsm, .ррт. ,pptm, .pptx, .prn,.ps,.общественное вещание. ,psd, .pst,.ptx,.паб. ,ШИМ. ,pxr, .Пи .кварта. ,r3d, .РАФ. ,Рар. ,необработанный. ,РДФ. ,rgbe, .рле,.rqy, .формат RSS. ,rtf, .rw2, .rwl,.безопасный. ,sct,.sdpx, .shtm,.штмл, .модель SLK. ,ФСЛ. ,sql, .sr2, .ОСР. ,НИР. ,ssi,.st .туннельный микроскоп. ,формат SVG. ,svgz, .swf,.вешалка. ,смола. ,tbb, .ЧМТ. ,tbk,.ИТР. ,tga,.thmx,.тиф .размолвка. ,дву. ,поток. ,tpl, .формат txt. ,u3d, .udl, .uxdc, .vb,.vbs,.венчурный. ,vda,.vdr, .vdw,.vdx,.ВРП. ,vsd,.vss,.vst,.ВМЗ. ,vsx,.ВТМ, .vtml, .vtx,.wb2, .wav,.wbm, .wbmp, .Вима. ,wmf,.язык WML. ,wmv, .wpd,.ВЭС. ,x3f, .xl, .xla,.xlam,.xlk, .xlm, .xls,.xlsb,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw, .XML. ,xps,.XSD-файл. ,xsf,.элемент xsl. ,язык XSLT. ,xsn,.xtp, .xtp2, .xyze,.xz, а .застежка-молния

"Цепи заражения тенью на основе Malspam имеют одну общую черту “ Все они связаны с извлечением исполняемого файла с зараженного сервера. Сосредоточив внимание на исполняемом файле в этой цепочке событий, мы можем определить, где произошли попытки заражения Shade ransomware”, - Брэд Дункан.

Согласно результатам поиска Palo Alto в период с января по март 2019 года, 307 образцов Shade ransomware за сеансы 6 536, и вот лучшие места.
  • США-2 010 сессий
  • Япония-1677 сессий
  • Индия - 989 сессий
  • Таиланд - 723 сессии
  • Канада - 712 сессий
  • Испания-505 сессий
  • Российская Федерация-86 сессий
  • Франция-71 сессия
  • Соединенное Королевство-67 сессий
  • Казахстан - 21 сессия
1558882268158.png

Лучшие отрасли промышленности затронуты
  • Высокие технологии: 5 009 сессий
  • Оптовая и розничная торговля: 722 сессии
  • Образование: 720 сессий
  • Телекоммуникации: 311 сессий
  • Финансы: 51 сессия
  • Транспорт и логистика: 24 сессии
  • Производство: 32 сессии
  • Профессиональные и юридические услуги: 8 сессий
  • Коммунальные услуги и энергетика: 4 сессии
  • Государство и местное самоуправление: 1 сессия
Кампании вымогателей будут продолжать расти в цифрах, но не все кампании будут достаточно компетентны, чтобы длиться долго. В январе 2017 года было 635 кампаний, в феврале 2018 года-1105, а в январе 2019 года-1453.

Индикатор компромисса
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться

У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
 

Пользователи, которые просматривали тему (Всего: 6)