Эксперты «Лаборатории Касперского» обнаружили новый вариант вымогательского ПО Shade, активно использующегося на территории России и стран СНГ. Как сообщает исследователь Федор Синицын, у вредоноса появилась логика, позволяющая проверять систему на причастность к бухгалтерии. Если компьютер используется в бухгалтерии, новая версия Shade не шифрует файлы, как обычно, а устанавливает на систему инструменты для удаленного управления.

Попав на компьютер жертвы, вредонос анализирует установленные на нем приложения в поисках строк, связанных с банковским ПО. Затем в имени компьютера и пользователя Shade (детектируется антивирусными решениями ЛК как Trojan-Ransom.Win32.Shade.yb) ищет подстроки «BUH», «BUGAL», «БУХ» и «БУГАЛ». В случае обнаружение вышеперечисленных подстрок троян не шифрует файлы пользователя, а загружает по заданной в конфигурации ссылке файл, запускает его и выполняет.

Вредоносное ПО загружает на систему жертвы бот Teamspy, использующий для связи с C&C-сервером легальную утилиту для удаленного управления TeamViewer 6. Помимо него также скачиваются и сохраняются на диске в зашифрованном виде плагины, расшифровываемые трояном только в оперативной памяти. В расшифрованном виде плагин является динамически подключаемой библиотекой (DLL) с экспортом InitPg, вызываемым основным модулем бота.

Как пояснил Синицын, получение удаленного доступа к инфицированной бухгалтерской системе позволяет хакеру незаметно следить за активностью пользователя и получать подробную информацию о его платежеспособности с целью в дальнейшем применить наиболее эффективный способ получения денег.