ProHoster > Blog > Administratioun > Troldesh an enger neier Mask: eng aner Welle vu Massemailing vun engem Ransomware Virus

Troldesh an enger neier Mask: eng aner Welle vu Massemailing vun engem Ransomware Virus

Vun Ufank vun haut bis haut hunn JSOC CERT Experten déi massiv béiswëlleg Verdeelung vum Troldesh Verschlësselungsvirus opgeholl. Seng Funktionalitéit ass méi breet wéi nëmmen déi vun engem Encryptor: Nieft dem Verschlësselungsmodul huet et d'Fäegkeet fir eng Workstation op afstand ze kontrolléieren an zousätzlech Moduler erofzelueden. Am Mäerz vun dësem Joer hu mir schonn informéiert iwwer d'Troldesh Epidemie - dunn huet de Virus seng Liwwerung mat IoT Apparater maskéiert. Elo ginn vulnerabel Versioune vu WordPress an der cgi-bin Interface fir dëst benotzt.

Troldesh an enger neier Mask: eng aner Welle vu Massemailing vun engem Ransomware Virus

D'Mailing gëtt vu verschiddenen Adressen geschéckt an enthält am Kierper vum Bréif e Link op kompromittéiert Webressourcen mat WordPress Komponenten. De Link enthält en Archiv mat engem Skript am Javascript. Als Resultat vu senger Ausféierung gëtt den Troldesh Encryptor erofgelueden a gestart.

Béiswëlleg E-Maile ginn net vun de meeschte Sécherheetsinstrumenter festgestallt, well se e Link op eng legitim Webressource enthalen, awer d'Ransomware selwer gëtt momentan vun de meeschten Antivirus Software Hiersteller festgestallt. Bemierkung: well d'Malware kommunizéiert mat C&C Serveren am Tor Netzwierk, ass et potenziell méiglech zousätzlech extern Lastmoduler op déi infizéiert Maschinn erofzelueden, déi se "beräicheren" kënnen.

E puer vun den allgemenge Feature vun dësem Newsletter enthalen:

(1) Beispill vun engem Newsletter Thema - "Iwwert d'Bestellung"

(2) all Linken sinn extern ähnlech - si enthalen d'Schlësselwierder /wp-content/ an /doc/, zum Beispill:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademie[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) d'Malware kënnt op verschidde Kontrollserver iwwer Tor

(4) e Fichier gëtt erstallt Dateinumm: C:ProgramDataWindowscsrss.exe, registréiert am Registry an der SOFTWAREMicrosoftWindowsCurrentVersionRun Branche (Parameternumm - Client Server Runtime Subsystem).

Mir recommandéieren Iech sécher ze stellen datt Är Anti-Virus Software Datebank up to date ass, wann Dir d'Méiglechkeet berücksichtegt d'Mataarbechter iwwer dës Bedrohung z'informéieren, an och, wa méiglech, d'Kontroll iwwer erakommen Bréiwer mat den uewe genannte Symptomer ze stäerken.

Source: will.com

Setzt e Commentaire