O ddechrau heddiw i'r presennol, mae arbenigwyr JSOC CERT wedi cofnodi dosbarthiad maleisus enfawr o firws amgryptio Troldesh. Mae ei ymarferoldeb yn ehangach na dim ond swyddogaeth amgryptio: yn ogystal Γ’'r modiwl amgryptio, mae ganddo'r gallu i reoli gweithfan o bell a lawrlwytho modiwlau ychwanegol. Ym mis Mawrth eleni rydym eisoes
Mae'r post yn cael ei anfon o wahanol gyfeiriadau ac mae'n cynnwys yng nghorff y llythyr ddolen i adnoddau gwe dan fygythiad gyda chydrannau WordPress. Mae'r ddolen yn cynnwys archif sy'n cynnwys sgript yn Javascript. O ganlyniad i'w weithredu, mae'r amgryptio Troldesh yn cael ei lawrlwytho a'i lansio.
Nid yw e-byst maleisus yn cael eu canfod gan y mwyafrif o offer diogelwch oherwydd eu bod yn cynnwys dolen i adnodd gwe cyfreithlon, ond mae'r rhan fwyaf o weithgynhyrchwyr meddalwedd gwrthfeirws yn canfod y ransomware ei hun ar hyn o bryd. Sylwch: gan fod y malware yn cyfathrebu Γ’ gweinyddwyr C&C sydd wedi'u lleoli ar rwydwaith Tor, mae'n bosibl y gellir lawrlwytho modiwlau llwyth allanol ychwanegol i'r peiriant heintiedig a all ei βgyfoethogiβ.
Mae rhai o nodweddion cyffredinol y cylchlythyr hwn yn cynnwys:
(1) enghraifft o bwnc cylchlythyr - βYnghylch archebuβ
(2) mae pob dolen yn debyg yn allanol - maent yn cynnwys yr allweddeiriau /wp-content/ a /doc/, er enghraifft:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) mae'r malware yn cyrchu gweinyddwyr rheoli amrywiol trwy Tor
(4) mae ffeil yn cael ei chreu Enw ffeil: C:ProgramDataWindowscsrss.exe, wedi'i chofrestru yn y gofrestrfa yng nghangen SOFTWAREMicrosoftWindowsCurrentVersionRun (enw paramedr - Is-system Rhedeg Amser Gweinyddwr Cleient).
Rydym yn argymell gwneud yn siΕ΅r bod eich cronfeydd data meddalwedd gwrth-firws yn gyfredol, gan ystyried hysbysu gweithwyr am y bygythiad hwn, a hefyd, os yn bosibl, cryfhau rheolaeth dros lythyrau sy'n dod i mewn gyda'r symptomau uchod.
Ffynhonnell: hab.com