Бүгіннен бастап қазіргі уақытқа дейін JSOC CERT сарапшылары Troldesh шифрлау вирусының жаппай зиянды таралуын тіркеді. Оның функционалдығы тек шифрлаушыға қарағанда кеңірек: шифрлау модулінен басқа оның жұмыс станциясын қашықтан басқару және қосымша модульдерді жүктеп алу мүмкіндігі бар. Осы жылдың наурыз айында біз қазірдің өзінде Тролдеш эпидемиясы туралы - содан кейін вирус IoT құрылғыларының көмегімен оның жеткізілімін бүркемеледі. Енді бұл үшін WordPress-тің осал нұсқалары және cgi-bin интерфейсі пайдаланылады.
Хабарлама әртүрлі мекенжайлардан жіберіледі және хаттың мәтінінде WordPress құрамдастары бар бұзылған веб-ресурстарға сілтеме бар. Сілтемеде Javascript-тегі сценарийі бар мұрағат бар. Оны орындау нәтижесінде Troldesh шифрлаушысы жүктеліп, іске қосылады.
Зиянды электрондық хаттарды көптеген қауіпсіздік құралдары анықтамайды, себебі оларда заңды веб-ресурсқа сілтеме бар, бірақ төлемдік бағдарламаның өзін қазіргі уақытта антивирустық бағдарламалық құрал өндірушілерінің көпшілігі анықтайды. Ескертпе: зиянды бағдарлама Tor желісінде орналасқан C&C серверлерімен байланысатындықтан, оны «байыта» алатын вирус жұққан құрылғыға қосымша сыртқы жүктеу модульдерін жүктеп алуға болады.
Осы ақпараттық бюллетеньдің кейбір жалпы мүмкіндіктеріне мыналар жатады:
(1) ақпараттық бюллетень тақырыбының мысалы - «Тапсырыс беру туралы»
(2) барлық сілтемелер сыртқы жағынан ұқсас - оларда /wp-content/ және /doc/ кілт сөздері бар, мысалы:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) зиянды бағдарлама Tor арқылы әртүрлі басқару серверлеріне қол жеткізеді
(4) файл жасалады Файл аты: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun тармағындағы тізілімде тіркелген (параметр атауы - Client Server Runtime Subsystem).
Вирусқа қарсы бағдарламалық құралдың дерекқорларыңыздың жаңартылғанына көз жеткізіп, қызметкерлерді осы қауіп туралы хабардар етуді, сондай-ақ мүмкіндігінше жоғарыда көрсетілген белгілері бар кіріс хаттарды бақылауды күшейтуді ұсынамыз.
Ақпарат көзі: www.habr.com