Вымогатель Troldesh обзавелся новым функционалом

Исследователи подразделения Microsoft Malware Protection Center сообщили о появлении нового представителя семейства вымогателей Troldesh, также известного как Encoder.858 или Shade. Как отмечают специалисты, новый вариант претерпел ряд изменений, самым крупным из которых является взаимодействие с анонимной сетью Tor.

В частности, уведомление о выкупе теперь включает ссылки на адрес в сети Tor, который предлагается использовать в качестве формы обратной связи (ранее вирусописатели использовали только адрес электронной почты). Изменения также коснулись расширений имен файлов. Теперь после зашифровки файла к его имени добавляются расширения .da_vinci_code или .magic_software_syndicate.

Впервые вымогательское ПО Troldesh было замечено ИБ-исследователями в начале 2015 года. Оказавшись на системе троян создает файлы %APPDATA%\windows\csrss.exe (копия вредоносной программы) и %TEMP%\state.tmp (временный файл, используемый для шифрования). Troldesh изменяет некоторые записи в системном реестре с целью запуска при каждом включении компьютера.

Шифровальщик отображает на экране требование о выкупе за восстановление файлов на русском и английском языках, что может говорить о причастности к его созданию русскоязычных вирусописателей.