Шифровальщик Shade охотится за бухгалтерами

«Лаборатория Касперского» обнаружила, что распространенный шифровальщик Shade умеет не только блокировать доступ к данным с целью получения выкупа, но и действовать более стратегически – проверять компьютер на причастность к бухгалтерии и внедрять в систему инструменты удаленного управления. Такие возможности позволяют злоумышленникам скрытно следить за деятельностью жертвы и собирать подробные сведения о ее платежеспособности, которые могут быть использованы для разработки наиболее эффективной схемы получения выкупа.

Троянец действует следующим образом: проверяя зараженный компьютер, он ищет в установленных в системе приложениях строки, связанные с банковским ПО, а затем подстроки BUH, BUGAL, БУХ, БУГАЛ в имени компьютера и пользователя. При обнаружении искомого зловред не шифрует файлы, а внедряет в систему жертвы вредоносную программу Teamspy, которая позволяет, например, записывать звук или видео с экрана, скачивать и запускать файлы, выключать и перезагружать компьютер.

Для связи с командным сервером Teamspy использует легальную утилиту удаленного управления TeamViewer 6, модифицируя ее для незаметной работы и скрывая окно программы и ее значок в области уведомлений. Не видя графический интерфейс TeamViewer, пользователь зараженного компьютера может и не заподозрить о наличии и активности утилиты, если только не посмотрит в список запущенных процессов.

Продукты «Лаборатории Касперского» детектируют зловред, внедряемый троянцем Shade, как Trojan-Spy.Win32.Teamspy.gl; он известен также как TVSPY, TVRAT, SpY-Agent.