Depi nan konmansman an jodi a jiska prezan, ekspè JSOC CERT yo te anrejistre yon distribisyon masiv move nan viris la chifreman Troldesh. Fonksyonalite li yo pi laj pase jis sa yo ki nan yon chifreman: anplis modil la chifreman, li gen kapasite nan kontwole adistans yon estasyon travay ak telechaje modil adisyonèl. Nan mwa mas ane sa a nou deja sou epidemi Troldesh - Lè sa a, viris la maske livrezon li yo lè l sèvi avèk aparèy IoT. Kounye a, vèsyon vilnerab WordPress ak koòdone cgi-bin yo itilize pou sa.
Yo voye poste a soti nan adrès diferan epi li gen nan kò lèt la yon lyen ki mennen nan resous entènèt konpwomèt ak konpozan WordPress. Lyen an gen yon achiv ki gen yon script nan Javascript. Kòm yon rezilta nan ekzekisyon li, Toldesh ancryptor a telechaje ak lanse.
Pifò zouti sekirite pa detekte imèl move paske yo gen yon lyen ki mennen nan yon resous entènèt lejitim, men ransomware la li menm kounye a detekte pa pifò manifaktirè lojisyèl antivirus. Remak: depi malveyan an kominike ak C&C sèvè ki sitiye sou rezo Tor a, li posib pou telechaje modil chaj ekstèn adisyonèl nan machin ki enfekte a ki ka "anrichi" li.
Gen kèk nan karakteristik jeneral yo nan bilten sa a enkli:
(1) egzanp yon sijè bilten - "Sou kòmande"
(2) tout lyen yo deyò menm jan an - yo genyen mo kle /wp-content/ ak /doc/, pou egzanp:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) malveyan yo jwenn aksè nan divès kalite sèvè kontwòl atravè Tor
(4) yo kreye yon dosye Filename: C:ProgramDataWindowscsrss.exe, anrejistre nan rejis la nan SOFTWAREMicrosoftWindowsCurrentVersionRun branch (non paramèt - Kliyan Sèvè Runtime Subsystem).
Nou rekòmande asire w ke baz done lojisyèl anti-viris ou yo ajou, konsidere enfòme anplwaye yo sou menas sa a, epi tou, si sa posib, ranfòse kontwòl sou lèt k ap rantre ak sentòm ki anwo yo.
Sous: www.habr.com