ProHoster > Blog > Rêveberî > Troldesh di maskek nû de: pêleke din a şandina girseyî ya vîrusek ransomware

Troldesh di maskek nû de: pêleke din a şandina girseyî ya vîrusek ransomware

Ji destpêka îro heya niha, pisporên JSOC CERT belavokek mezin a xirab a virusa şîfrekirinê ya Troldesh tomar kirine. Karbidestiya wê ji ya şîfrekerê berfirehtir e: ji bilî modula şîfrekirinê, jêhatîbûna wê heye ku ji dûr ve stasyonek xebatê kontrol bike û modulên din dakêşîne. Di Adara îsal de em berê xwe didin agahdar kirin di derbarê serhildana Troldesh de - wê hingê vîrus radestkirina xwe bi karanîna cîhazên IoT mask kir. Naha, guhertoyên xedar ên WordPress û pêveka cgi-bin ji bo vê têne bikar anîn.

Troldesh di maskek nû de: pêleke din a şandina girseyî ya vîrusek ransomware

Name ji navnîşanên cihêreng tê şandin û di laşê nameyê de zencîreyek ji çavkaniyên malperê yên lihevhatî yên bi pêkhateyên WordPress re vedihewîne. Di lînkê de arşîvek ku di Javascript de nivîsarek tê de heye. Di encama pêkanîna wê de, şîfreya Troldesh tê daxistin û destpêkirin.

E-nameyên xerab ji hêla piraniya amûrên ewlehiyê ve nayên tespît kirin ji ber ku ew girêdanek bi çavkaniyek webê ya rewa dihewîne, lê ransomware bixwe niha ji hêla piraniya hilberînerên nermalava antivirus ve tê nas kirin. Nîşe: ji ber ku malware bi serverên C&C yên ku li ser tora Tor-ê têne danûstendinê dike, potansiyel gengaz e ku modulên barkirina derveyî yên din li makîneya vegirtî dakêşin ku dikare wê "dewlemend" bike.

Hin taybetmendiyên giştî yên vê nûçenameyê ev in:

(1) mînakek mijara nûçenameyê - "Der barê fermankirinê"

(2) Hemî girêdan ji derve ve dişibin hev - ew peyvên sereke /wp-content/ û /doc/ hene, wek nimûne:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/kampus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) malware bi Tor-ê ve digihîje serverên cûda yên kontrolê

(4) pelek tê afirandin Navê pelê: C:ProgramDataWindowscsrss.exe, di qeydê de di şaxê SOFTWAREMicrosoftWindowsCurrentVersionRun de (navê parametreyê - Binepergala Pêşkêşkara Xerîdar) qeydkirî ye.

Em pêşniyar dikin ku hûn pê ewle bin ku databasên nermalava antî-vîrûsên we nûve ne, li ser agahdarkirina karmendan li ser vê xetereyê bifikirin, û her weha, heke gengaz be, kontrola li ser nameyên hatine bi nîşanên jorîn xurt bikin.

Source: www.habr.com

Add a comment