Gikan sa sinugdanan karon hangtod karon, ang mga eksperto sa JSOC CERT nakarekord sa usa ka dako nga malisyosong pag-apod-apod sa Troldesh encrypting virus. Ang pagpaandar niini mas lapad kay sa usa ka encryptor: dugang pa sa encryption module, kini adunay abilidad sa remote control sa usa ka workstation ug mag-download og dugang nga mga modules. Sa Marso ning tuiga kami na bahin sa epidemya sa Troldesh - unya gitago sa virus ang paghatud niini gamit ang mga aparato sa IoT. Karon, ang mga huyang nga bersyon sa WordPress ug ang interface sa cgi-bin gigamit alang niini.
Ang pagpadala gipadala gikan sa lainlaing mga adres ug adunay sulud sa sulud sa sulat usa ka link sa nakompromiso nga mga kapanguhaan sa web nga adunay mga sangkap sa WordPress. Ang link adunay usa ka archive nga adunay usa ka script sa Javascript. Isip resulta sa pagpatuman niini, ang Troldesh encryptor gi-download ug gilunsad.
Ang mga malisyosong email dili mamatikdan sa kadaghanan nga mga himan sa seguridad tungod kay kini adunay usa ka link sa usa ka lehitimong kapanguhaan sa web, apan ang ransomware mismo karon namatikdan sa kadaghanan sa mga tiggama sa antivirus software. Hinumdomi: tungod kay ang malware nakigsulti sa mga server sa C&C nga nahimutang sa Tor network, posible nga mag-download ug dugang nga mga module sa gawas nga load sa nataptan nga makina nga "makapauswag" niini.
Ang pipila sa mga kinatibuk-ang bahin niini nga newsletter naglakip sa:
(1) pananglitan sa usa ka hilisgutan sa newsletter - "Bahin sa pag-order"
(2) tanan nga mga link parehas sa gawas - kini adunay mga keyword /wp-content/ ug /doc/, pananglitan:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) ang malware nag-access sa lain-laing mga control server pinaagi sa Tor
(4) usa ka file ang gihimo Filename: C:ProgramDataWindowscsrss.exe, narehistro sa registry sa SOFTWAREMicrosoftWindowsCurrentVersionRun branch (parameter name - Client Server Runtime Subsystem).
Among girekomendar ang pagsiguro nga ang imong anti-virus software databases kay updated, sa pagkonsiderar sa pagpahibalo sa mga empleyado mahitungod niini nga hulga, ug usab, kon mahimo, pagpalig-on sa kontrol sa umaabot nga mga sulat nga adunay mga sintomas sa ibabaw.
Source: www.habr.com