Компании ESET и «Лаборатория Касперского» предупреждают о новой атаке программы-вымогателя Shade, нацеленной в первую очередь на российские компании, но атакующую также ПК в Германии, Японии и Украине.

Вредонос распространяется через рассылку спам-писем, которые замаскированы под уведомления от известных брендов, например, «Бинбанка» и розничной сети «Магнит». Письмо очень короткое не содержит никаких подробностей, но в нем указывается, что детали некого заказа находятся во вложении.

Открыв вложение в нем обнаруживается ZIP-архив содержащий JavaScript-файл с названием Информация.js., запустив который скачивается загрузчик, в свою очередь устанавливающий вредоносный шифровальщик Shade (он же Troldesh).

Специалисты обращают внимание, что такие письма довольно легко распознать, так как адрес отправителя и подпись сотрудника не совпадают.

После установки Shade шифрует файлы на локальных дисках и требует заплатить выкуп за расшифровку. Инструкция по оплате выкупа сохраняется в TXT-файле на каждом диске жертвы и приведена на русском и английском языках.

Специалисты ESET подчеркивают, что вредонос определяется их продуктами как Win32/Injector и советуют быть внимательными.