勒索软件Shade针对俄罗斯开展新攻击活动(2019.3.7)

在1月至2月期间，勒索软件Shade（Treshold）对俄罗斯展开了新攻击。Shade自2015年以来开始大规模攻击俄罗斯。此次活动中攻击者冒充俄罗斯石油和天然气公司，发送网路钓鱼邮件，俄语编写的JavaScript文件附件充当下载器，使用一系列硬编码地址进行混淆。JavaScript下载程序从通过蠕虫模块暴力破解获得受损网站（主要为WordPress和Joomla CMS）下载有效载荷，并上传可执行代码的副本，不断创建备份副本，提高接管能力。Shade使用嵌入式TOR库连接到其C2服务器，并下载其它模块，如挖矿程序ZCash、CMSBrute。Shade使用AES加密所有用户文件，文件名后缀为“.crypted000007”，并在每个系统的文件夹中创建赎金票据，文本为英语和俄语。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理