ProHoster > Blog > Administrazioa > Troldesh maskara berri batean: ransomware birus baten posta masiboaren beste olatu bat

Troldesh maskara berri batean: ransomware birus baten posta masiboaren beste olatu bat

Gaur hasieratik gaur egunera arte, JSOC CERT adituek Troldesh enkriptatze birusaren banaketa maltzur handia erregistratu dute. Bere funtzionaltasuna zifratzaile batena baino zabalagoa da: enkriptazio-moduluaz gain, lan-estazio bat urrunetik kontrolatzeko eta modulu osagarriak deskargatzeko gaitasuna du. Aurtengo martxoan jada jakinarazi Troldesh epidemiari buruz - gero birusak bere entrega maskaratu zuen IoT gailuak erabiliz. Orain, WordPress-en bertsio zaurgarriak eta cgi-bin interfazea erabiltzen dira horretarako.

Troldesh maskara berri batean: ransomware birus baten posta masiboaren beste olatu bat

Posta helbide desberdinetatik bidaltzen da eta gutunaren gorputzean WordPress osagaiekin arriskuan dauden web baliabideetarako esteka bat dauka. Estekak Javascript-en script bat duen artxibo bat dauka. Bere exekuzioaren ondorioz, Troldesh enkriptatzailea deskargatu eta abiarazten da.

Segurtasun tresna gehienek ez dituzte mezu elektroniko gaiztoak hautematen legezko web-baliabide baterako esteka dutelako, baina ransomwarea bera detektatzen dute birusen aurkako software-ekoizle gehienek. Oharra: malwarea Tor sarean kokatutako C&C zerbitzariekin komunikatzen denez, posible da kanpoko karga-modulu gehigarriak deskargatzea infektatutako makinara, "aberastu" dezakeena.

Buletin honen ezaugarri orokor batzuk hauek dira:

(1) buletinaren gaiaren adibidea - "Eskaerari buruz"

(2) esteka guztiak kanpotik antzekoak dira - /wp-content/ eta /doc/ gako-hitzak dituzte, adibidez:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademia[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) malwarea Tor-en bidez kontrol-zerbitzari ezberdinetara sartzen da

(4) fitxategi bat sortzen da Fitxategi-izena: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun adarrean erregistratuta dagoen erregistroan (parametroaren izena - Client Server Runtime Subsystem).

Birusen aurkako softwarearen datu-baseak eguneratuta daudela ziurtatzea gomendatzen dugu, langileei mehatxu honen berri ematea kontuan hartuta, eta, ahal bada, goiko sintomak dituzten sarrerako gutunen gaineko kontrola indartzea ere.

Iturria: www.habr.com

Gehitu iruzkin berria