Mill-bidu tal-lum sal-preżent, l-esperti tal-JSOC CERT irreġistraw distribuzzjoni malizzjuża massiva tal-virus tal-kriptaġġ Troldesh. Il-funzjonalità tagħha hija usa 'minn dik ta' encryptor biss: minbarra l-modulu ta 'encryption, għandha l-abbiltà li tikkontrolla mill-bogħod stazzjon tax-xogħol u tniżżel moduli addizzjonali. F'Marzu ta 'din is-sena aħna diġà
Il-posta tintbagħat minn indirizzi differenti u fiha fil-korp tal-ittra link għal riżorsi tal-web kompromessi b'komponenti WordPress. Il-link fiha arkivju li fih skript fil-Javascript. Bħala riżultat tal-eżekuzzjoni tiegħu, l-encryptor Troldesh huwa mniżżel u mniedi.
L-emails malizzjużi ma jiġux skoperti mill-biċċa l-kbira tal-għodod tas-sigurtà minħabba li fihom link għal riżors leġittimu tal-web, iżda r-ransomware innifsu huwa attwalment skopert mill-biċċa l-kbira tal-manifatturi tas-softwer antivirus. Nota: peress li l-malware jikkomunika ma 'servers C&C li jinsabu fuq in-netwerk Tor, huwa potenzjalment possibbli li tniżżel moduli ta' tagħbija esterni addizzjonali fuq il-magna infettata li tista '"arrikkixxiha".
Xi wħud mill-karatteristiċi ġenerali ta’ din in-newsletter jinkludu:
(1) eżempju ta' suġġett ta' newsletter - "Dwar l-ordni"
(2) il-links kollha huma esternament simili - fihom il-kliem kjavi /wp-content/ u /doc/, pereżempju:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) il-malware jaċċessa diversi servers ta 'kontroll permezz ta' Tor
(4) jinħoloq fajl Filename: C:ProgramDataWindowscsrss.exe, irreġistrat fir-reġistru fil-fergħa SOFTWAREMicrosoftWindowsCurrentVersionRun (isem tal-parametru - Client Server Runtime Subsystem).
Nirrakkomandaw li niżguraw li d-databases tas-softwer kontra l-virus tiegħek huma aġġornati, billi tikkunsidra li tinforma lill-impjegati dwar din it-theddida, u wkoll, jekk possibbli, it-tisħiħ tal-kontroll fuq ittri deħlin bis-sintomi ta 'hawn fuq.
Sors: www.habr.com