Российские компании атаковал вирус-шифровальщик Troldesh (Shade), требующий выкуп для восстановления доступа к информации. В пресс-релизе Group-IB, поступившем в редакцию «Ленты.ру», сказано, что кампания по рассылке вируса-вымогателя все еще активна.
Письма, содержащие Troldesh, отправляются якобы от авиакомпаний («Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online). Мошенники в письмах просят открыть приложенный файл в виде архива с паролем, в котором якобы содержатся подробности «заказа». Адреса отправителей подделаны и не имеют никакого отношения к настоящим компаниям.
По данным Group-IB, в июне было обнаружено более 1,1 тысячи фишинговых писем, а всего во втором квартале 2019 года количество таких электронных отправлений уже превысило шесть тысяч. По словам Ярослава Каргалева, замруководителя CERT-GIB, с конца 2018 года письма с вирусом все чаще пишут от имени сотрудников компаний разных отраслей, а не только от имени банков, как было ранее.
Troldesh продается и сдается в аренду в даркнете, в связи с чем у него постоянно появляются новые функции и меняются формы распространения. Впервые активность вируса эксперты Group-IB зафиксировали в 2015 году. К концу 2018-го Troldesh вошел в тройку самых популярных вирусов-шифровальщиков.
Не менее опасными вирусами-вымогателями являются WannaCry и GandCrab. WannaCry в мае 2017 года атаковал компьютеры по всему миру. Он шифровал все данные, находящиеся на устройстве, и требовал выкуп, угрожая их уничтожением. GandCrab в феврале 2019-го использовали для атаки на итальянских пользователей — злоумышленники спрятали вирус в изображение персонажа игры Марио и распространили его в электронной рассылке.