از ابتدای امروز تا به امروز، کارشناسان JSOC CERT توزیع مخرب گسترده ای از ویروس رمزگذاری ترولدش را ثبت کرده اند. عملکرد آن بیشتر از یک رمزگذار است: علاوه بر ماژول رمزگذاری، توانایی کنترل از راه دور یک ایستگاه کاری و دانلود ماژول های اضافی را نیز دارد. در ماه مارس سال جاری ما در حال حاضر در مورد اپیدمی ترولدش - سپس ویروس تحویل خود را با استفاده از دستگاه های IoT پنهان کرد. اکنون از نسخه های آسیب پذیر وردپرس و رابط cgi-bin برای این کار استفاده می شود.
نامه از آدرس های مختلف ارسال می شود و در متن نامه حاوی پیوندی به منابع وب در معرض خطر با اجزای وردپرس است. پیوند حاوی یک آرشیو حاوی یک اسکریپت در جاوا اسکریپت است. در نتیجه اجرای آن، رمزگذار ترولدش دانلود و راه اندازی می شود.
ایمیل های مخرب توسط اکثر ابزارهای امنیتی شناسایی نمی شوند زیرا حاوی پیوندی به یک منبع وب قانونی هستند، اما خود باج افزار در حال حاضر توسط اکثر تولید کنندگان نرم افزار آنتی ویروس شناسایی می شود. توجه: از آنجایی که بدافزار با سرورهای C&C واقع در شبکه Tor ارتباط برقرار می کند، به طور بالقوه امکان دانلود ماژول های بار خارجی اضافی در دستگاه آلوده وجود دارد که می تواند آن را "غنی" کند.
برخی از ویژگی های کلی این خبرنامه عبارتند از:
(1) نمونه ای از موضوع خبرنامه - "درباره سفارش"
(2) همه پیوندها از نظر خارجی مشابه هستند - آنها حاوی کلمات کلیدی /wp-content/ و /doc/ هستند، به عنوان مثال:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) بدافزار از طریق Tor به سرورهای کنترل مختلف دسترسی دارد
(4) یک فایل ایجاد می شود نام فایل: C:ProgramDataWindowscsrss.exe که در رجیستری در شاخه SOFTWAREMicrosoftWindowsCurrentVersionRun ثبت شده است (نام پارامتر - Client Server Runtime Subsystem).
توصیه می کنیم با توجه به اطلاع رسانی به کارکنان از این تهدید، از به روز بودن پایگاه های داده نرم افزار آنتی ویروس خود اطمینان حاصل کنید و همچنین در صورت امکان کنترل نامه های دریافتی با علائم فوق را تقویت کنید.
منبع: www.habr.com