勒索軟件Shade針對俄羅斯開展新攻擊活動

在1月至2月期間，勒索軟件Shade（Treshold）對俄羅斯展開了新攻擊。Shade自2015年以來開始大規模攻擊俄羅斯。此次活動中攻擊者冒充俄羅斯石油和天然氣公司，發送網路釣魚郵件，俄語編寫的JavaScript文件附件充當下載器，使用一系列硬編碼地址進行混淆。JavaScript下載程序從通過蠕蟲模塊暴力破解獲得受損網站（主要為WordPress和Joomla CMS）下載有效載荷，并上傳可執行代碼的副本，不斷創建備份副本，提高接管能力。Shade使用嵌入式TOR庫連接到其C2服務器，并下載其它模塊，如挖礦程序ZCash、CMSBrute。Shade使用AES加密所有用戶文件，文件名后綴為“.crypted000007”，并在每個系統的文件夾中創建贖金票據，文本為英語和俄語。

國家計算機病毒應急處理中心建議廣大計算機用戶加強安全防范意識，做好日常備份（最好是異地備份），不要訪問包含未知風險的網站或打開不明來歷的電子郵件附件，保持開啟殺毒軟件實時監控功能，并持續關注我中心網站上關于勒索軟件的有關資訊。

以上資訊由北京安天公司提供，國家計算機病毒應急處理中心研發部編譯整理