Shade: Описание и вариации

Antidot

Новый пользователь
Сообщения
4
Реакции
2
Баллы
13
Antidot, как нет - пост №9 и пост №13 - дешифровщики во вложении.
Я в посте 12-м первым дешифровщиком расшифровал файлы.
В том то и дело что для расширения .Windows10 пока нет.
Касперский дал официальный ответ. Но они в надежде на мастер-key.
 

mike 1

Активный пользователь
Сообщения
2,404
Реакции
929
Баллы
383
В том то и дело что для расширения .Windows10 пока нет.
Касперский дал официальный ответ. Но они в надежде на мастер-key.
Модификация Shade, которая ставит расширение .Windows10 свежая. Восстанавливайте данные из резервных копий.
 

Antidot

Новый пользователь
Сообщения
4
Реакции
2
Баллы
13
Модификация Shade, которая ставит расширение .Windows10 свежая. Восстанавливайте данные из резервных копий.
Их попросту нет. Это комп домохозяйки при чем с Windows XP :). Жалеют только о всех фотографиях которые хранились всё это время :)
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Реакции
8,476
Баллы
793
Antidot, сохраните зашифрованное в отдельной папке — пусть хранятся и ждут нового декриптора.
 

mike 1

Активный пользователь
Сообщения
2,404
Реакции
929
Баллы
383
Их попросту нет. Это комп домохозяйки при чем с Windows XP :). Жалеют только о всех фотографиях которые хранились всё это время :)
Я буду жесток, но скажу так: если резервных копий нет, то данные не представляют для этой домохозяйки никакой ценности. Так и передайте ей.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Реакции
8,476
Баллы
793
mike 1, когда XP была в зените славы, еще не было никаких шифровальщиков.
Да и откуда домохозяйке знать про резервные копи данных, если у нее вместо этого другие резервные копии - шкафы.
 

Antidot

Новый пользователь
Сообщения
4
Реакции
2
Баллы
13
mike 1, когда XP была в зените славы, еще не было никаких шифровальщиков.
Да и откуда домохозяйке знать про резервные копи данных, если у нее вместо этого другие резервные копии - шкафы.
Верно подмечено :)
Я буду жесток, но скажу так: если резервных копий нет, то данные не представляют для этой домохозяйки никакой ценности. Так и передайте ей.
хорошо, так ей и передам.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Реакции
8,476
Баллы
793
Shade больше не шифрует бухгалтерские ПК

Специалисты ЛК обнаружили, что в новой версии шифровальщика Shade появилась логика, позволяющая проверять систему на причастность к бухгалтерии. В случае успеха Shade устанавливает в систему инструменты удалённого управления вместо шифрования файлов.

Во время первичной проверки зараженной машины обновленный вредонос (обнаруживаемый как Trojan-Ransom.Win32.Shade.yb) перебирает список установленных в системе приложений и ищет строки, связанные с банковским ПО. Затем ищет подстроки «BUH», «BUGAL», «БУХ», «БУГАЛ» в имени ПК и пользователя. Если совпадение найдено, Shade.yb пропускает процедуру поиска и шифрования файлов. Вместо этого он скачивает и запускает совсем другой файл, а сам завершает работу.

По заданной в конфигурации ссылке Shade.yb скачивает на компьютер пользователя бот Teamspy, который для коммуникации со своим командным сервером использует легальную утилиту удалённого управления TeamViewer 6, на лету модифицируя ее для незаметной работы. Вместе с ботом распространяются плагины (в нашем случае это installvpn.pg, rdw.pg, scankey.pg), которые хранятся на диске в зашифрованном виде и расшифровываются зловредом только в оперативной памяти. Расшифрованный плагин представляет собой DLL с экспортом InitPg, который и вызывается основным модулем бота.

 
Сверху Снизу