Бүгіннен бастап қазіргі уақытқа дейін JSOC CERT сарапшылары Troldesh шифрлау вирусының жаппай зиянды таралуын тіркеді. Оның функционалдығы тек шифрлаушыға қарағанда кеңірек: шифрлау модулінен басқа оның жұмыс станциясын қашықтан басқару және қосымша модульдерді жүктеп алу мүмкіндігі бар. Осы жылдың наурыз айында біз қазірдің өзінде
Хабарлама әртүрлі мекенжайлардан жіберіледі және хаттың мәтінінде WordPress құрамдастары бар бұзылған веб-ресурстарға сілтеме бар. Сілтемеде Javascript-тегі сценарийі бар мұрағат бар. Оны орындау нәтижесінде Troldesh шифрлаушысы жүктеліп, іске қосылады.
Зиянды электрондық хаттарды көптеген қауіпсіздік құралдары анықтамайды, себебі оларда заңды веб-ресурсқа сілтеме бар, бірақ төлемдік бағдарламаның өзін қазіргі уақытта антивирустық бағдарламалық құрал өндірушілерінің көпшілігі анықтайды. Ескертпе: зиянды бағдарлама Tor желісінде орналасқан C&C серверлерімен байланысатындықтан, оны «байыта» алатын вирус жұққан құрылғыға қосымша сыртқы жүктеу модульдерін жүктеп алуға болады.
Осы ақпараттық бюллетеньдің кейбір жалпы мүмкіндіктеріне мыналар жатады:
(1) ақпараттық бюллетень тақырыбының мысалы - «Тапсырыс беру туралы»
(2) барлық сілтемелер сыртқы жағынан ұқсас - оларда /wp-content/ және /doc/ кілт сөздері бар, мысалы:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) зиянды бағдарлама Tor арқылы әртүрлі басқару серверлеріне қол жеткізеді
(4) файл жасалады Файл аты: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun тармағындағы тізілімде тіркелген (параметр атауы - Client Server Runtime Subsystem).
Вирусқа қарсы бағдарламалық құралдың дерекқорларыңыздың жаңартылғанына көз жеткізіп, қызметкерлерді осы қауіп туралы хабардар етуді, сондай-ақ мүмкіндігінше жоғарыда көрсетілген белгілері бар кіріс хаттарды бақылауды күшейтуді ұсынамыз.
Ақпарат көзі: www.habr.com