ProHoster > Blog > Pentadbiran > Troldesh dalam topeng baharu: satu lagi gelombang mel besar-besaran virus ransomware

Troldesh dalam topeng baharu: satu lagi gelombang mel besar-besaran virus ransomware

Dari awal hari ini hingga sekarang, pakar JSOC CERT telah merekodkan pengedaran berniat jahat secara besar-besaran bagi virus penyulitan Troldesh. Fungsinya lebih luas daripada hanya penyulitan: sebagai tambahan kepada modul penyulitan, ia mempunyai keupayaan untuk mengawal stesen kerja dari jauh dan memuat turun modul tambahan. Pada bulan Mac tahun ini kita sudah dimaklumkan tentang wabak Troldesh - kemudian virus itu menutup penghantarannya menggunakan peranti IoT. Kini, versi WordPress yang terdedah dan antara muka cgi-bin digunakan untuk ini.

Troldesh dalam topeng baharu: satu lagi gelombang mel besar-besaran virus ransomware

Mel dihantar dari alamat yang berbeza dan mengandungi dalam badan surat pautan ke sumber web yang terjejas dengan komponen WordPress. Pautan mengandungi arkib yang mengandungi skrip dalam Javascript. Hasil daripada pelaksanaannya, penyulitan Troldesh dimuat turun dan dilancarkan.

E-mel berniat jahat tidak dikesan oleh kebanyakan alat keselamatan kerana ia mengandungi pautan ke sumber web yang sah, tetapi perisian tebusan itu sendiri kini dikesan oleh kebanyakan pengeluar perisian antivirus. Nota: memandangkan perisian hasad berkomunikasi dengan pelayan C&C yang terletak pada rangkaian Tor, kemungkinan besar untuk memuat turun modul beban luaran tambahan ke mesin yang dijangkiti yang boleh "memperkayakannya".

Beberapa ciri umum surat berita ini termasuk:

(1) contoh subjek surat berita - "Mengenai pesanan"

(2) semua pautan adalah serupa secara luaran - ia mengandungi kata kunci /wp-content/ dan /doc/, contohnya:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) perisian hasad mengakses pelbagai pelayan kawalan melalui Tor

(4) fail dicipta Nama fail: C:ProgramDataWindowscsrss.exe, didaftarkan dalam pendaftaran dalam cawangan SOFTWAREMicrosoftWindowsCurrentVersionRun (nama parameter - Subsistem Masa Jalan Pelayan Pelanggan).

Kami mengesyorkan untuk memastikan pangkalan data perisian anti-virus anda dikemas kini, mempertimbangkan untuk memaklumkan pekerja tentang ancaman ini, dan juga, jika boleh, mengukuhkan kawalan ke atas surat masuk dengan gejala di atas.

Sumber: www.habr.com

Tambah komen