Tämän päivän alusta tähän päivään asti JSOC CERT -asiantuntijat ovat tallentaneet Troldesh-salaavan viruksen massiivisen haitallisen levityksen. Sen toiminnallisuus on laajempi kuin vain salaajan: salausmoduulin lisäksi sillä on mahdollisuus etäohjata työasemaa ja ladata lisämoduuleja. Tämän vuoden maaliskuussa jo
Postitus lähetetään eri osoitteista, ja se sisältää kirjeen tekstiosassa linkin vaarantuneisiin verkkoresursseihin WordPress-komponenteilla. Linkki sisältää arkiston, joka sisältää Javascriptin skriptin. Suorituksensa seurauksena Troldesh-salausohjelma ladataan ja käynnistetään.
Useimmat suojaustyökalut eivät havaitse haitallisia sähköposteja, koska ne sisältävät linkin lailliseen verkkoresurssiin, mutta useimmat virustorjuntaohjelmistojen valmistajat havaitsevat tällä hetkellä itse kiristysohjelman. Huomautus: koska haittaohjelma kommunikoi Tor-verkossa sijaitsevien C&C-palvelimien kanssa, saastuneelle koneelle on mahdollisesti mahdollista ladata lisää ulkoisia latausmoduuleja, jotka voivat "rikastaa" sitä.
Joitakin tämän uutiskirjeen yleisiä ominaisuuksia ovat:
(1) esimerkki uutiskirjeen aiheesta - "Tilaamisesta"
(2) kaikki linkit ovat ulkoisesti samanlaisia - ne sisältävät avainsanat /wp-content/ ja /doc/, esimerkiksi:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) haittaohjelma pääsee useisiin ohjauspalvelimiin Torin kautta
(4) luodaan tiedosto Tiedostonimi: C:ProgramDataWindowscsrss.exe, rekisteröity OHJELMISTON MicrosoftWindowsCurrentVersionRun-haaran rekisteriin (parametrin nimi - Client Server Runtime Subsystem).
Suosittelemme varmistamaan, että virustorjuntaohjelmistotietokantasi on ajan tasalla, harkitsemalla mahdollisuutta tiedottaa työntekijöille tästä uhasta, ja myös mahdollisuuksien mukaan tehostaa yllämainituista oireista kärsivien saapuvien kirjeiden hallintaa.
Lähde: will.com