Troldesh (другие названия — Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome) — это вирус, который шифрует файлы на зараженном устройстве пользователя и требует выкуп, чтобы восстановить доступ к информации. Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения.
"С начала года киберпреступники используют новую технику рассылки. Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ретейла, нефтегаза, строительства, авиаотрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров", — пояснил заместитель руководителя CERT Group-IB Ярослав Каргалев.
Как отметили в Group-IB, кампания по рассылке вируса-вымогателя продолжается. Всего во II квартале этого года было отправлено более 6 тыс. писем. Масштаб атак Troldesh во II квартале этого года оказался почти в 2,5 раза больше, чем за весь 2018 год.
Установлены случаи, когда письма, содержащие Troldesh, отправлялись с почтовых ящиков таких компаний, как "Полярные авиалинии" и автодилер "Рольф".