Новый вариант вымогательского ПО Shade научился отыскивать компьютеры бухгалтеров

Эксперты «Лаборатории Касперского» обнаружили новый вариант вымогательского ПО Shade, активно использующегося на территории России и стран СНГ. Как сообщает исследователь Федор Синицын, у вредоноса появилась логика, позволяющая проверять систему на причастность к бухгалтерии.

Если компьютер используется в бухгалтерии, новая версия Shade не шифрует файлы, как обычно, а устанавливает на систему инструменты для удаленного управления.

Попав на компьютер жертвы, вредонос анализирует установленные на нем приложения в поисках строк, связанных с банковским ПО. Затем в имени компьютера и пользователя Shade (детектируется антивирусными решениями ЛК как Trojan-Ransom.Win32.Shade.yb) ищет подстроки «BUH», «BUGAL», «БУХ» и «БУГАЛ». В случае обнаружение вышеперечисленных подстрок троян не шифрует файлы пользователя, а загружает по заданной в конфигурации ссылке файл, запускает его и выполняет.

Вредоносное ПО загружает на систему жертвы бот Teamspy, использующий для связи с C&C-сервером легальную утилиту для удаленного управления TeamViewer 6. Помимо него также скачиваются и сохраняются на диске в зашифрованном виде плагины, расшифровываемые трояном только в оперативной памяти.

В расшифрованном виде плагин является динамически подключаемой библиотекой (DLL) с экспортом InitPg, вызываемым основным модулем бота.