Bho thoiseach an latha an-diugh chun an latha an-diugh, tha eòlaichean JSOC CERT air cuairteachadh droch-rùnach mòr den bhìoras crioptachaidh Troldesh a chlàradh. Tha an comas-gnìomh aige nas fharsainge na dìreach comas crioptachaidh: a bharrachd air a’ mhodal crioptachaidh, tha comas aige smachd a chumail air ionad-obrach air astar agus modalan a bharrachd a luchdachadh sìos. Anns a 'Mhàrt am-bliadhna tha sinn mar-thà mun tinneas tuiteamach Troldesh - an uairsin chuir am bhìoras falach air a lìbhrigeadh le bhith a’ cleachdadh innealan IoT. A-nis, thathas a’ cleachdadh dreachan so-leònte de WordPress agus an eadar-aghaidh cgi-bin airson seo.
Thèid am post a chuir bho sheòlaidhean eadar-dhealaichte agus tha ceangal ann am bodhaig na litreach gu goireasan lìn ann an cunnart le co-phàirtean WordPress. Tha tasglann anns a' cheangal anns a bheil sgriobt ann an Javascript. Mar thoradh air a chuir gu bàs, tha an crioptaiche Troldesh air a luchdachadh sìos agus air a chuir air bhog.
Chan eilear a’ lorg puist-d droch-rùnach leis a’ mhòr-chuid de dh’ innealan tèarainteachd leis gu bheil ceangal aca ri goireas lìn dligheach, ach tha a’ mhòr-chuid de luchd-saothrachaidh bathar-bog antivirus an-dràsta a’ lorg an ransomware fhèin. Thoir an aire: leis gu bheil an malware a’ conaltradh le frithealaichean C&C a tha suidhichte air lìonra Tor, dh’ fhaodadh e bhith comasach modalan luchdan a-muigh a bharrachd a luchdachadh sìos chun inneal gabhaltach a dh’ fhaodas a “beairteachadh”.
Am measg cuid de fheartan coitcheann na cuairt-litir seo tha:
(1) eisimpleir de chuspair cuairt-litir - “Mu dheidhinn òrdachadh”
(2) tha a h-uile ceangal taobh a-muigh coltach - tha na prìomh fhaclan ann / wp-content / agus / doc /, mar eisimpleir:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.] org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.] com/wp-content/ai1wm-backups/doc/
(3) bidh an malware a’ faighinn cothrom air diofar luchd-frithealaidh smachd tro Tor
(4) tha faidhle air a chruthachadh Ainm faidhle: C:ProgramDataWindowscsrss.exe, clàraichte sa chlàr ann am meur SOFTWAREMicrosoftWindowsCurrentVersionRun (ainm paramadair - Fo-shiostam Runtime Server Server).
Tha sinn a’ moladh dèanamh cinnteach gu bheil na stòran-dàta bathar-bog anti-bhìoras agad ùraichte, a’ beachdachadh air innse do luchd-obrach mun chunnart seo, agus cuideachd, ma ghabhas e dèanamh, smachd a neartachadh air litrichean a tha a’ tighinn a-steach leis na comharran gu h-àrd.
Source: www.habr.com