今日の初めから現在までに、JSOC CERT の専門家は、Trolldesh 暗号化ウイルスの大規模な悪意のある配布を記録しました。その機能は単なる暗号化機能よりも幅広く、暗号化モジュールに加えて、ワークステーションをリモートで制御し、追加のモジュールをダウンロードする機能もあります。今年のXNUMX月にはすでに トロルデシュの流行について - その後、ウイルスは IoT デバイスを使用してその配信を隠蔽しました。現在、脆弱なバージョンの WordPress と cgi-bin インターフェイスがこのために使用されています。
メールは別のアドレスから送信され、本文には WordPress コンポーネントを含む侵害された Web リソースへのリンクが含まれています。リンクには、JavaScript のスクリプトを含むアーカイブが含まれています。実行の結果、Trollesh 暗号化プログラムがダウンロードされ、起動されます。
悪意のある電子メールは、正規の Web リソースへのリンクが含まれているため、ほとんどのセキュリティ ツールでは検出されませんが、ランサムウェア自体は現在、ほとんどのウイルス対策ソフトウェア メーカーによって検出されています。注: このマルウェアは Tor ネットワーク上にある C&C サーバーと通信するため、感染したマシンに追加の外部ロード モジュールをダウンロードして「強化」する可能性があります。
このニュースレターの一般的な特徴には次のようなものがあります。
(1) ニュースレターの件名例 「ご注文について」
(2) すべてのリンクは外部的には類似しています。たとえば、キーワード /wp-content/ および /doc/ が含まれています。
ホースマウス[.]org/wp-content/主題/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
Chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) マルウェアはTor経由で各種制御サーバーにアクセス
(4) ファイルが作成されます。 ファイル名: C:ProgramDataWindowscsrss.exe、SOFTWAREMicrosoftWindowsCurrentVersionRun ブランチのレジストリに登録されます (パラメータ名 - Client Server Runtime Subsystem)。
ウイルス対策ソフトウェアのデータベースが最新であることを確認し、この脅威について従業員に通知することを検討し、可能であれば上記の症状を伴う受信メールの制御を強化することをお勧めします。
出所: habr.com