Podwójne zagrożenie dla użytkowników Windows

Kaspersky Lab informuje o zagrożeniu ze strony trojana Shade – szkodliwego programu z kategorii "ransomware", który szyfruje dane użytkownika i żąda zapłacenia okupu za ich przywrócenie. Dodatkowo trojan pobiera na zainfekowany komputer dalsze szkodliwe programy, które m.in. łamią hasła do serwisów online i przesyłają je cyberprzestępcom. Zagrożenie jest aktywne w wielu krajach, łącznie z Polską.

Pierwsze wersje szkodliwych programów z rodziny Shade zarejestrowano na przełomie lat 2014/2015. Szybko stały się one jednymi z najbardziej rozpowszechnionych szkodliwych programów szyfrujących w Rosji, po czym rozprzestrzeniły się również w innych krajach. Szkodniki z tej rodziny mogą dostać się do windowsowych komputerów atakowanych użytkowników poprzez wiadomości spamowe oraz luki w zainstalowanych aplikacjach.

Podczas dystrybucji za pośrednictwem spamu użytkownik otrzymuje wiadomość e-mail z zainfekowanym załącznikiem. System jest infekowany w momencie uruchomienia załącznika, który może posiadać rozszerzenie takie jak.scr, .exe, .rar lub.com. Nazwy plików są zmieniane przez cyberprzestępców w zależności od potrzeb, np. podczas masowej wysyłki skierowanej do użytkowników z konkretnego kraju.

Drugi mechanizm infekcji – poprzez luki w zabezpieczeniach – jest znacznie bardziej niebezpieczny, ponieważ do zarażenia komputera dochodzi bez udziału użytkownika – wystarczy, że otworzy on zainfekowaną wcześniej stronę WWW. Jeżeli komputer jest podatny na atak (nie zostały zainstalowane uaktualnienia), szkodnik wykorzystuje lukę – najczęściej w przeglądarce lub jej dodatkach – i infekuje system niezauważalnie dla użytkownika.

Po infekcji systemu Shade łączy się z serwerem kontrolowanym przez cyberprzestępców (zlokalizowanym w sieci Tor), przesyła informacje o zaatakowanym komputerze i zgłasza żądanie otrzymania klucza RSA, który jest następnie wykorzystywany do zaszyfrowania danych użytkownika 256-bitowym algorytmem AES. Szyfrowanie rozpoczyna się nawet jeżeli połączenie z serwerem nie zostanie nawiązane – trojan wybiera wówczas jeden ze 100 kluczy zaszytych we własnym kodzie. Wybierając pliki do zakodowania szkodnik posługuje się obszerną listą rozszerzeń obejmującą większość popularnych formatów, a nawet te wykorzystywane wyłącznie w zastosowaniach profesjonalnych. Po zakończeniu szyfrowania szkodnik wyświetla na ekranie informację o tym fakcie oraz kieruje użytkownika do pliku README.txt, który zawiera szczegóły dotyczące możliwości zapłacenia okupu.

Jednak – w przeciwieństwie do innych szkodliwych programów szyfrujących – trojan Shade nie kończy w tym momencie swojego działania. Zamiast tego uruchamia nieskończoną pętle, w której pobierane są kolejne szkodliwe programy, m.in. trojan Brute, który łamie metodą siłową hasła do serwisów online przechowywane na zainfekowanym komputerze i przesyła je do cyberprzestępców.

Trojany z rodziny Shade są w dalszym ciągu aktywne, a pracownicy Kaspersky Lab zidentyfikowali infekcje m.in. w następujących krajach: Rosja, Niemcy, Ukraina, Austria, Szwajcaria, Polska, Kazachstan, Białoruś oraz Brazylia.

0
Źródło: Kaspersky Lab
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.