
03.01.2019
Shade Ransomware впервые был замечен еще в 2014 году и сначала назывался Troldesh. Рассмотрим недавние примеры из кампании, использующей русскоязычный malspam для распространения Shade/Troldesh, а также исследует заражение среды.
Shade Ransomware впервые был замечен еще в 2014 году и сначала назывался Troldesh. Рассмотрим недавние примеры из кампании, использующей русскоязычный malspam для распространения Shade/Troldesh, а также исследует заражение среды.
Расследование началось после появления русскоязычных электронных писем с вложением, которое вызвало заражение Shade / Troldesh.
Первым шагом в расследовании была проверка URLhaus. Было обнаружено около 50 URL-адресов, которые были объявлены исполняемыми и помечены либо Shade, либо Troldesh (или обоими) с октября 2018 года. Многие из этих URL-адресов заканчивались расширениями sserv.jpg, и при поиске по этому адресу было найдено 71 URL, зарегистрированных с 2018-11-01. Не все URL-адреса, о которых сообщалось URLhaus, были помечены как Shade или Troldesh, но они соответствуют тому общему шаблону, которые можно было увидеть по зараженному трафику.
При просмотре VirusTotal Intelligence был обнаружен русскоязычный вредоносный спам с прикрепленными zip-архивами, выдвигающий Shade / Troldesh Ransomware по крайней мере с 2018-10-30.
Письма на русском языке, тема - это заказ или запрос из банка.
Вредоносная кампания конца 2018 года
Расследование началось после появления русскоязычных электронных писем с вложением, которое вызвало заражение Shade / Troldesh.
Первым шагом в расследовании была проверка URLhaus. Было обнаружено около 50 URL-адресов, которые были объявлены исполняемыми и помечены либо Shade, либо Troldesh (или обоими) с октября 2018 года. Многие из этих URL-адресов заканчивались расширениями sserv.jpg, и при поиске по этому адресу было найдено 71 URL, зарегистрированных с 2018-11-01. Не все URL-адреса, о которых сообщалось URLhaus, были помечены как Shade или Troldesh, но они соответствуют тому общему шаблону, которые можно было увидеть по зараженному трафику.
При просмотре VirusTotal Intelligence был обнаружен русскоязычный вредоносный спам с прикрепленными zip-архивами, выдвигающий Shade / Troldesh Ransomware по крайней мере с 2018-10-30.
Malspam
Письма на русском языке, тема - это заказ или запрос из банка.