继俄罗斯之后，Shade勒索软件开始攻击英语国家

稿源：MottoIN 2019-05-23 20:32:13

Shade（也被称为Troldesh）勒索软件是一个历史悠久的勒索软件，于2014年底首次出现，主要针对运行Microsoft Windows的主机。Shade主要通过恶意垃圾邮件和漏洞利用工具包进行分发。以前Shade勒索软件可执行文件主要针对俄语用户，但研究人员发现Shade最近也开始针对英语用户。

事实上，研究表明，受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家，而是美国、日本、印度、泰国和加拿大，俄罗斯只排在第七。在这些国家中受到攻击的主要行业是高科技、批发和教育。

1.自2016年以来变化很小

Shade勒索软件可执行文件（EXE）几乎没变过。研究人员自2016年以来分析的所有EXE样本都使用cryptsen7f043rr6.onion中的相同Tor地址作为解密器页面，感染期间出现的桌面背景也是相同的。

2.感染Shade后的样子？

当Windows主机感染Shade勒索软件时，其桌面背景如下图所示，并且桌面上会出现10个文本文件，名字从README1.txt到README10.txt。

感染了Shade勒索软件的Windows主机的桌面

十个README文件都包含相同的指令。

自2016年6月起，所有加密文件的文件扩展名都为.crypted000007。

3.利用垃圾邮件分发Shade

Shade勒索软件通过垃圾邮件进行分发，垃圾邮件内容涉及JavaScript（.js）、发票、账单或其他类型的基于脚本的文件。有时候Shade垃圾邮件中具有这些基于脚本的文件的链接，有时候文件直接是垃圾邮件中的附件。在2019年2月，俄语垃圾邮件使用带有下载包含这些基于脚本的文件的链接的PDF附件。

在研究人员发现的所有情况中都包含.js或其它基于脚本的文件，这些基于脚本的文件旨在检索Shade勒索软件的可执行文件。