ProHoster > Blog > διαχείριση > Ο Τρόλντες σε μια νέα μάσκα: άλλο ένα κύμα μαζικής αποστολής ενός ιού ransomware

Ο Τρόλντες σε μια νέα μάσκα: άλλο ένα κύμα μαζικής αποστολής ενός ιού ransomware

Από την αρχή του σήμερα μέχρι σήμερα, οι ειδικοί του JSOC CERT έχουν καταγράψει μια τεράστια κακόβουλη διανομή του ιού κρυπτογράφησης Troldesh. Η λειτουργικότητά του είναι ευρύτερη από αυτή ενός κρυπτογραφητή: εκτός από τη μονάδα κρυπτογράφησης, έχει τη δυνατότητα να ελέγχει εξ αποστάσεως έναν σταθμό εργασίας και να κατεβάζει επιπλέον μονάδες. Τον Μάρτιο του τρέχοντος έτους έχουμε ήδη προειδοποίητος σχετικά με την επιδημία Troldesh - τότε ο ιός συγκάλυψε την παράδοσή του χρησιμοποιώντας συσκευές IoT. Τώρα, για αυτό χρησιμοποιούνται ευάλωτες εκδόσεις του WordPress και η διεπαφή cgi-bin.

Ο Τρόλντες σε μια νέα μάσκα: άλλο ένα κύμα μαζικής αποστολής ενός ιού ransomware

Η αλληλογραφία αποστέλλεται από διαφορετικές διευθύνσεις και περιέχει στο σώμα της επιστολής έναν σύνδεσμο προς παραβιασμένους πόρους ιστού με στοιχεία WordPress. Ο σύνδεσμος περιέχει ένα αρχείο που περιέχει ένα σενάριο σε Javascript. Ως αποτέλεσμα της εκτέλεσής του, γίνεται λήψη και εκκίνηση του κρυπτογραφητή Troldesh.

Τα κακόβουλα email δεν εντοπίζονται από τα περισσότερα εργαλεία ασφαλείας επειδή περιέχουν έναν σύνδεσμο προς έναν νόμιμο πόρο Ιστού, αλλά το ίδιο το ransomware ανιχνεύεται επί του παρόντος από τους περισσότερους κατασκευαστές λογισμικού προστασίας από ιούς. Σημείωση: δεδομένου ότι το κακόβουλο λογισμικό επικοινωνεί με διακομιστές C&C που βρίσκονται στο δίκτυο Tor, είναι δυνητικά δυνατή η λήψη πρόσθετων εξωτερικών μονάδων φόρτωσης στο μολυσμένο μηχάνημα που μπορούν να το «εμπλουτίσουν».

Μερικά από τα γενικά χαρακτηριστικά αυτού του ενημερωτικού δελτίου περιλαμβάνουν:

(1) παράδειγμα θέματος ενημερωτικού δελτίου - "Σχετικά με την παραγγελία"

(2) όλοι οι σύνδεσμοι είναι εξωτερικά παρόμοιοι - περιέχουν τις λέξεις-κλειδιά /wp-content/ και /doc/, για παράδειγμα:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) το κακόβουλο λογισμικό έχει πρόσβαση σε διάφορους διακομιστές ελέγχου μέσω Tor

(4) δημιουργείται ένα αρχείο Όνομα αρχείου: C:ProgramDataWindowscsrss.exe, καταχωρημένο στο μητρώο στον κλάδο SOFTWAREMicrosoftWindowsCurrentVersionRun (όνομα παραμέτρου - Υποσύστημα χρόνου εκτέλεσης διακομιστή πελάτη).

Συνιστούμε να βεβαιωθείτε ότι οι βάσεις δεδομένων λογισμικού προστασίας από ιούς είναι ενημερωμένες, εξετάζοντας το ενδεχόμενο να ενημερώσετε τους υπαλλήλους σχετικά με αυτήν την απειλή και επίσης, εάν είναι δυνατόν, να ενισχύσετε τον έλεγχο των εισερχόμενων επιστολών με τα παραπάνω συμπτώματα.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο