Gaur hasieratik gaur egunera arte, JSOC CERT adituek Troldesh enkriptatze birusaren banaketa maltzur handia erregistratu dute. Bere funtzionaltasuna zifratzaile batena baino zabalagoa da: enkriptazio-moduluaz gain, lan-estazio bat urrunetik kontrolatzeko eta modulu osagarriak deskargatzeko gaitasuna du. Aurtengo martxoan jada Troldesh epidemiari buruz —garai hartan, birusak bere hedapena gauzen interneteko gailuak erabiliz mozorrotu zuen. Orain, bertsio zaurgarriak erabiltzen dira horretarako. WordPress eta cgi-bin interfazea.
Posta helbide desberdinetatik bidaltzen da eta gutunaren gorputzean osagaiak dituzten web baliabide kaltetuen esteka bat dauka. WordPressEstekak Javascript script bat duen artxibo batera eramaten du. Exekutatzean Troldesh ransomwarea deskargatu eta abiarazten da.
Segurtasun tresna gehienek ez dituzte mezu elektroniko gaiztoak hautematen legezko web-baliabide baterako esteka dutelako, baina ransomwarea bera detektatzen dute birusen aurkako software-ekoizle gehienek. Oharra: malwarea Tor sarean kokatutako C&C zerbitzariekin komunikatzen denez, posible da kanpoko karga-modulu gehigarriak deskargatzea infektatutako makinara, "aberastu" dezakeena.
Buletin honen ezaugarri orokor batzuk hauek dira:
(1) buletinaren gaiaren adibidea - "Eskaerari buruz"
(2) esteka guztiak kanpotik antzekoak dira - /wp-content/ eta /doc/ gako-hitzak dituzte, adibidez:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) malwarea Tor-en bidez kontrol-zerbitzari ezberdinetara sartzen da
(4) fitxategiaren izena: C:ProgramData sortu daWindowscsrss.exe fitxategia SOFTWARE\Microsoft adarreko erregistroan erregistratuta dago.WindowsCurrentVersionRun (parametroaren izena Bezero Zerbitzariaren Exekuzio Azpisistema da).
Birusen aurkako softwarearen datu-baseak eguneratuta daudela ziurtatzea gomendatzen dugu, langileei mehatxu honen berri ematea kontuan hartuta, eta, ahal bada, goiko sintomak dituzten sarrerako gutunen gaineko kontrola indartzea ere.
Iturria: www.habr.com
