Bu günün əvvəlindən bu günə qədər JSOC CERT mütəxəssisləri Troldesh şifrələmə virusunun kütləvi zərərli yayılmasını qeydə alıblar. Onun funksionallığı şifrləyicidən daha genişdir: şifrələmə moduluna əlavə olaraq, iş stansiyasını uzaqdan idarə etmək və əlavə modulları yükləmək imkanı var. Bu ilin mart ayında biz artıq Troldesh epidemiyası haqqında - sonra virus IoT cihazlarından istifadə edərək çatdırılmasını maskaladı. İndi bunun üçün WordPress-in həssas versiyaları və cgi-bin interfeysi istifadə olunur.
E-poçt müxtəlif ünvanlardan göndərilir və məktubun mətnində WordPress komponentləri ilə təhlükə altına alınmış veb-resurslara keçid var. Linkdə Javascript-də skript olan arxiv var. Onun icrası nəticəsində Troldesh şifrələyicisi endirilir və işə salınır.
Zərərli e-poçtlar əksər təhlükəsizlik alətləri tərəfindən aşkar edilmir, çünki onlar qanuni veb resursa keçidi ehtiva edir, lakin ransomware özü hazırda əksər antivirus proqram istehsalçıları tərəfindən aşkar edilir. Qeyd: Zərərli proqram Tor şəbəkəsində yerləşən C&C serverləri ilə əlaqə saxladığı üçün yoluxmuş maşına onu "zənginləşdirə" bilən əlavə xarici yükləmə modullarını yükləmək mümkündür.
Bu bülletenin ümumi xüsusiyyətlərindən bəziləri bunlardır:
(1) xəbər bülleteni mövzusunun nümunəsi - "Sifariş haqqında"
(2) bütün keçidlər xaricdən oxşardır - onlar /wp-content/ və /doc/ açar sözlərindən ibarətdir, məsələn:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) zərərli proqram Tor vasitəsilə müxtəlif idarəetmə serverlərinə daxil olur
(4) fayl yaradılır Fayl adı: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun filialında reyestrdə qeydə alınmışdır (parametr adı - Client Server Runtime Subsystem).
Biz antivirus proqram təminatı verilənlər bazanızın yeni olduğundan əmin olmağı, işçiləri bu təhlükə barədə məlumatlandırmağı, həmçinin mümkün olduqda yuxarıda göstərilən əlamətlərlə daxil olan məktublara nəzarəti gücləndirməyi tövsiyə edirik.
Mənbə: www.habr.com