No šodienas sākuma līdz mūsdienām JSOC CERT eksperti ir fiksējuši masveida Troldesh šifrējošā vīrusa ļaunprātīgu izplatīšanu. Tā funkcionalitāte ir plašāka nekā tikai šifrētāja funkcionalitāte: papildus šifrēšanas modulim tam ir iespēja attālināti vadīt darbstaciju un lejupielādēt papildu moduļus. Šī gada martā mēs jau par Troldesh epidēmiju - tad vīruss maskēja savu piegādi, izmantojot IoT ierīces. Tagad šim nolūkam tiek izmantotas neaizsargātās WordPress versijas un cgi-bin saskarne.
Pasta sūtījums tiek sūtīts no dažādām adresēm, un vēstules pamattekstā ir saite uz apdraudētiem tīmekļa resursiem ar WordPress komponentiem. Saite satur arhīvu, kurā ir Javascript skripts. Tā izpildes rezultātā Troldesh šifrētājs tiek lejupielādēts un palaists.
Ļaunprātīgus e-pastus neatklāj lielākā daļa drošības rīku, jo tajos ir saite uz likumīgu tīmekļa resursu, taču pašu izspiedējvīrusu programmatūru pašlaik konstatē lielākā daļa pretvīrusu programmatūras ražotāju. Piezīme: tā kā ļaunprogrammatūra sazinās ar C&C serveriem, kas atrodas Tor tīklā, inficētajā mašīnā, iespējams, ir iespējams lejupielādēt papildu ārējos slodzes moduļus, kas to var “bagātināt”.
Dažas no šī biļetena vispārīgajām funkcijām ietver:
(1) informatīvā izdevuma tēmas piemērs — “Par pasūtīšanu”
(2) visas saites ir ārēji līdzīgas — tās satur atslēgvārdus /wp-content/ un /doc/, piemēram:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) ļaunprogrammatūra piekļūst dažādiem vadības serveriem, izmantojot Tor
(4) tiek izveidots fails Faila nosaukums: C:ProgramDataWindowscsrss.exe, kas reģistrēts reģistrā SOFTWAREMicrosoftWindowsCurrentVersionRun filiālē (parametra nosaukums - Client Server Runtime Subsystem).
Mēs iesakām pārliecināties, ka jūsu pretvīrusu programmatūras datu bāzes ir atjauninātas, apsvērt darbinieku informēšanu par šiem draudiem, kā arī, ja iespējams, pastiprināt kontroli pār ienākošajām vēstulēm ar iepriekšminētajiem simptomiem.
Avots: www.habr.com