Shade попадает на компьютер жертвы двумя способами: либо сквозь спам-рассылки, либо с поддержкой эксплойтов. В первом случае жертва получает послание с вредоносным вложением, попытка отворить какое приводит к заражению системы. Имя файла меняется с всякой новоиспеченной волной рассылки. Во втором случае вредоносный код показывает в системе после посещения жертвой скомпрометированного веб-сайта. Это может быть будто сайт, особенно созданный злоумышленниками, настолько и легальный, однако взломанный ресурс. Вредоносный код на сайте эксплуатирует уязвимость в браузере или его плагинах, после чего в систему втихомолку устанавливается программа-вымогатель. После попадания на компьютер жертвы Shade начинает шифровать файлы и добавлять к ним расширения.xtbl и.ytbl. Помимо своей прямодушный основной работы Shade скачивает и устанавливает в систему пользователя иные вредоносные программы нескольких неодинаковых семейств, примерно программу подбора паролей к веб-сайтам. Еще одно вредоносное ПО, загружаемое шифровальщиком, знаменито будто Trojan-Downloader.Win32.Zemot – этот зловред в свою очередность может устанавливать на компьютер жертвы знаменитый банковский троянец ZeuS.
Источник: Лаборатория Касперского
