A principios de este año se detectó una nueva ola de spam que distribuye un ransomware conocido como Shade o Troldesh; el cual es conocido como Win32/Filecoder.Shade.

Cabe mencionar que la campaña ha estado activa principalmente en Rusia, donde se registra más del 50% de las detecciones totales de este adjunto JavaScript malicioso.
Otros países afectados son Ucrania, Francia, Alemania y Japón.

El ataque comienza con el envió de un corre escrito en ruso, que contiene un archivo ZIP adjunto con el nombre “info.zip” o “inf.zip”.
Se presentan como la actualización de una orden que parece venir de organizaciones rusas legitimas. Dichos correos, suplantan la identidad del banco ruso “B&N Bank” (recientemente fusionado con Otkritie Bank), y la cadena de retail Magnit.

Asunto: Detalles de la orden

¡Hola!

Estoy enviando los detalles de la orden. El documento esta adjunto.

Denis Kudrashev, manager.

-traducción de un correo detectado-

El archivo ZIP contiene un JavaScript nombrado “Информация.js“ (que traducido sería “Información”).
Una vez extraído y ejecutado, se descarga un loader malicioso, el cual es detectado como Win32/Injector. Dicho loader descifra y ejecuta el payload final –el ransomware Shade.

-El Loarder utilizando una firma digital invalida presumiendo ser parte de COMODO.-

Incluso el Loader intenta camuflarse al simular ser el proceso de sistema legitimo Cliente Server Runtime Process (csrss.exe).
Se copia a si mismo dento de “C:\ProgramData\Windows\csrss.exe”, donde “Windows” es una carpeta oculta creada por el malware y que no suele estar ubicada en ProgramData.

Ransomware Shade

El payload final de esta campaña maliciosa es el ransomware llamado Shade o Troldesh. Visto por primera vez activo a fines de 2014, el ransomware cifra un amplio rango de tipos de archivos en los discos locales.

Unas instrucciones de pago para recuperar todos sus archivos son presentadas a las víctimas en un archivo TXT (en ruso e inglés) el cual es droppeado a todos los discos en la computadora afectada.

Te aconsejamos

Siempre revisa la autenticidad de los correos antes de abrir cualquier adjunto o pinchar en un enlace que contenga el correo. A veces es necesario corroborar los datos de contacto que aparecen en la página web de la organización que aparenta enviar el correo.