Nuo šiandienos pradžios iki dabar JSOC CERT ekspertai užfiksavo didžiulį kenkėjišką Troldesh šifruojančio viruso platinimą. Jo funkcionalumas yra platesnis nei tik šifruotojo: be šifravimo modulio, jis turi galimybę nuotoliniu būdu valdyti darbo vietą ir atsisiųsti papildomų modulių. Šių metų kovo mėnesį mes jau apie Troldešo epidemiją – tuomet virusas užmaskavo savo pristatymą naudodamas daiktų interneto įrenginius. Dabar tam naudojamos pažeidžiamos „WordPress“ versijos ir „cgi-bin“ sąsaja.
Laiškas siunčiamas iš skirtingų adresų, o laiško tekste yra nuoroda į pažeistus žiniatinklio išteklius su „WordPress“ komponentais. Nuorodoje yra archyvas, kuriame yra „Javascript“ scenarijus. Vykdant „Troldesh“ šifruoklį atsisiunčiamas ir paleidžiamas.
Kenkėjiškų el. laiškų dauguma saugos įrankių neaptinka, nes juose yra nuoroda į teisėtą žiniatinklio šaltinį, tačiau pati išpirkos reikalaujančią programinę įrangą šiuo metu aptinka dauguma antivirusinės programinės įrangos gamintojų. Pastaba: kadangi kenkėjiška programa palaiko ryšį su C&C serveriais, esančiais Tor tinkle, į užkrėstą mašiną galima atsisiųsti papildomų išorinių apkrovos modulių, kurie gali jį „praturtinti“.
Kai kurios bendrosios šio informacinio biuletenio ypatybės:
(1) naujienlaiškio temos pavyzdys – „Apie užsakymą“
(2) visos nuorodos išoriškai panašios – jose yra raktažodžiai /wp-content/ ir /doc/, pavyzdžiui:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) kenkėjiška programa pasiekia įvairius valdymo serverius per „Tor“.
(4) sukuriamas failas Failo pavadinimas: C:ProgramDataWindowscsrss.exe, užregistruotas registre PROGRAMINĖS ĮRANGOS „MicrosoftWindowsCurrentVersionRun“ šakoje (parametro pavadinimas – Client Server Runtime Subsystem).
Rekomenduojame įsitikinti, kad jūsų antivirusinės programinės įrangos duomenų bazės yra atnaujintos, apsvarstyti galimybę informuoti darbuotojus apie šią grėsmę, taip pat, jei įmanoma, sustiprinti gaunamų laiškų su aukščiau nurodytais simptomais kontrolę.
Šaltinis: www.habr.com