Shade勒索软件“开疆扩土”，将目标转移俄罗斯之外

Shade勒索软件（又名为Troldesh）是一款历史悠久的勒索软件，于2014年底首次出现，攻击目标主要是针对Microsoft Windows系统的主机，利用恶意垃圾邮件（malspam）和漏洞利用工具包进行传播。最近一篇关于Shade的研究报告中指出，Shade背后的攻击者的侧重于俄语目标，因为载体往往是俄语电子邮件，但实际上Shade也有非常多的通过英语垃圾邮件进行传播的迹象。

我们回顾了Shade勒索软件的最近的攻击趋势，结果表明，Shade勒索软件的影响群体中，欧美国家占比非常高。事实上，受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家，它们分别是是美国、日本、印度、泰国和加拿大，俄罗斯只排在第七，另外一个在前十名中找到的俄语国家是哈萨克斯坦（排名第十）。这些国家受到攻击的顶级行业分别是高科技、批发和教育。

自2016年以来变化很小

Shade勒索软件可执行文件（EXE）非常一致。我们自2016年以来分析的所有EXE样本都使用cryptsen7f043rr6.onion中的相同Tor地址作为解密器页面，感染期间出现的桌面背景也是相同的。

Shade感染是什么样的？

当Windows主机被Shade勒索软件感染时，桌面背景会通知用户已遭到感染，并且会显示10个文本文件，从README1.txt到README10.txt，如图1所示。

图1：感染了Shade勒索软件的Windows主机的桌面

十个README文件都包含相同的指令，如图2所示。中国菜刀

图2：最近Shade勒索软件感染后的勒索说明

自2016年6月起，所有加密文件的文件扩展名都为.crypted000007，如图3所示。

图3：Shade勒索软件感染的加密文件示例

通过垃圾邮件传播

基于恶意邮件的Shade Ransomware感染涉及一个JavaScript（.js）或其他基于脚本的文件，伪装成发票或账单。在某些情况下邮件内容中懈怠了上述文件的链接，还有一些情况是将脚本文件作为zip附件附加到电子邮件中。在2019年2月的俄语垃圾邮件行动中，附件的PDF文件中包含了下载这些文件链接。

在我们审查的所有情况中，都涉及.js或其他基于脚本的文件，如图4所示。这些基于脚本的文件指在检索Shade勒索软件的可执行文件。天空彩

图4：基于垃圾邮件Shade感染的流程图

感染链中的可执行文件传递

基于垃圾邮件的Shade感染链有一个共同点，就是从受感染的服务器检索可执行文件。通过关注这个事件链中的可执行文件，我们可以确定Shade感染尝试的位置。

AutoFocus搜索参数

AutoFocus有一个Shade勒索软件标签，可识别与Shade相关的任何项目。我们搜索了在感染链中交付Shade的可执行文件，将搜索重点放在通过TCP端口80发送的打包可执行（PE）文件上。通过这些国家的Palo Alto Networks设备来确定Shade勒索软件发生的地理位置，时间区间为2019年第一季度。

最后我们在AutoFocus数据库中搜索的参数是：

· 日期在1月1日至3月31日之间

· Unit 42标签 – Shade勒索软件

· 文件类型是PE

· 文件URL有任何值，但不是未知的

· 源端口（文件来自的TCP端口）为80

· 设备国家/地区具有任何值（不是空白或未标识）

· 文件URL不包含字符串/malware/

· 文件URL不包含字符串malshare.com

· 文件URL不包含字符串paloaltonetworks

· 文件URL不包含字符串local

图5.：2019年第一季度Shade勒索软件可执行文件的AutoFocus查询

我们从2019年1月至3月的搜索结果显示，有307个Shade勒索软件样本，感染会话共计超过6,536次。每个会话表示托管Shade Ransomware可执行文件的URL的HTTP请求，许多URL在不同的会话中多次出现。发生次数最多的前十大国家的分别是：

· 美国 –  2,010届会议

· 日本 –  1,677届会议

· 印度 –  989届会议

· 泰国 –  723届会议

· 加拿大 –  712届会议

· 西班牙 –  505届会议

· 俄罗斯联邦 –  86届会议

· 法国 –  71届会议

· 英国 –  67届会议

· 哈萨克斯坦 –  21届会议

图6：我们自动对焦搜索结果显示在世界地图的前十大国家/地区

在我们的客户群中，Shade感染会话发生最多的国家是美国，而托管Shade可执行文件的URL中的绝大多数都来自俄罗斯或俄语国家以外的客户设备。二四六

这一时期的感染前10名垂直行业是：

· 高科技：5,009次会议

· 批发和零售：72期

· 教育：720期

· 电信：311届会议

· 财务：51届会议

· 运输和物流：24次会议

· 制造业：32期

· 专业和法律服务：8次会议

· 公用事业和能源：4次会议

· 州和地方政府：1届会议

结论

可以看出，Shade勒索软件攻击最频繁的目标是高科技类别的组织机构。虽然由于我们的客户群体的缘故，但是得出来的结论可能会倾向于英语国家，不过我们也可以发现，Shade勒索软件在俄罗斯以外的国家也非常活跃，针对的目标更多的是会说英语的受害者而不是俄国人。