Da u principiu di l'oghje à l'oghje, l'esperti JSOC CERT anu registratu una distribuzione massiccia maliciosa di u virus di criptografia Troldesh. A so funziunalità hè più larga di quella di un encryptor: in più di u modulu di criptografia, hà a capacità di cuntrullà remotamente una stazione di travagliu è scaricate moduli supplementari. In marzu di questu annu avemu digià
U mailing hè mandatu da diverse indirizzi è cuntene in u corpu di a lettera un ligame à risorse web cumprumessi cù cumpunenti di WordPress. U ligame cuntene un archiviu chì cuntene un script in Javascript. In u risultatu di a so esecuzione, u criptu Troldesh hè scaricatu è lanciatu.
E-mail maliziusi ùn sò micca rilevati da a maiò parte di l'arnesi di sicurezza perchè cuntenenu un ligame à una risorsa web legittima, ma u ransomware stessu hè attualmente rilevatu da a maiò parte di i pruduttori di software antivirus. Nota: postu chì u malware cumunicà cù i servitori C&C situati in a reta Tor, hè potenzialmente pussibule di scaricà moduli di carica esterni supplementari à a macchina infettata chì pò "arricchisce".
Alcune di e caratteristiche generale di sta newsletter includenu:
(1) esempiu di un sughjettu di newsletter - "A propositu di l'ordine"
(2) tutti i ligami sò esterni simili - cuntenenu e parolle chjave /wp-content/ è /doc/, per esempiu:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) u malware accede à diversi servitori di cuntrollu via Tor
(4) un schedariu hè creatu Filename: C:ProgramDataWindowscsrss.exe, registratu in u registru in u SOFTWAREMicrosoftWindowsCurrentVersionRun branch (nome paràmetru - Client Server Runtime Subsystem).
Hè ricumandemu di assicurà chì e vostre basa di dati di u software antivirus sò aghjurnati, cunsiderendu l'informazioni di l'impiegati nantu à sta minaccia, è ancu, se pussibule, rinfurzà u cuntrollu di e lettere entrate cù i sintomi sopra.
Source: www.habr.com