ProHoster > blog > Amministrazzjoni > Troldesh f'maskra ġdida: mewġa oħra ta 'posta bil-massa ta' virus ransomware

Troldesh f'maskra ġdida: mewġa oħra ta 'posta bil-massa ta' virus ransomware

Mill-bidu tal-lum sal-preżent, l-esperti tal-JSOC CERT irreġistraw distribuzzjoni malizzjuża massiva tal-virus tal-kriptaġġ Troldesh. Il-funzjonalità tagħha hija usa 'minn dik ta' encryptor biss: minbarra l-modulu ta 'encryption, għandha l-abbiltà li tikkontrolla mill-bogħod stazzjon tax-xogħol u tniżżel moduli addizzjonali. F'Marzu ta 'din is-sena aħna diġà infurmat dwar l-epidemija ta 'Toldesh - imbagħad il-virus maskra l-kunsinna tiegħu bl-użu ta' apparati IoT. Issa, verżjonijiet vulnerabbli ta 'WordPress u l-interface cgi-bin huma użati għal dan.

Troldesh f'maskra ġdida: mewġa oħra ta 'posta bil-massa ta' virus ransomware

Il-posta tintbagħat minn indirizzi differenti u fiha fil-korp tal-ittra link għal riżorsi tal-web kompromessi b'komponenti WordPress. Il-link fiha arkivju li fih skript fil-Javascript. Bħala riżultat tal-eżekuzzjoni tiegħu, l-encryptor Troldesh huwa mniżżel u mniedi.

L-emails malizzjużi ma jiġux skoperti mill-biċċa l-kbira tal-għodod tas-sigurtà minħabba li fihom link għal riżors leġittimu tal-web, iżda r-ransomware innifsu huwa attwalment skopert mill-biċċa l-kbira tal-manifatturi tas-softwer antivirus. Nota: peress li l-malware jikkomunika ma 'servers C&C li jinsabu fuq in-netwerk Tor, huwa potenzjalment possibbli li tniżżel moduli ta' tagħbija esterni addizzjonali fuq il-magna infettata li tista '"arrikkixxiha".

Xi wħud mill-karatteristiċi ġenerali ta’ din in-newsletter jinkludu:

(1) eżempju ta' suġġett ta' newsletter - "Dwar l-ordni"

(2) il-links kollha huma esternament simili - fihom il-kliem kjavi /wp-content/ u /doc/, pereżempju:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akkademja[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) il-malware jaċċessa diversi servers ta 'kontroll permezz ta' Tor

(4) jinħoloq fajl Filename: C:ProgramDataWindowscsrss.exe, irreġistrat fir-reġistru fil-fergħa SOFTWAREMicrosoftWindowsCurrentVersionRun (isem tal-parametru - Client Server Runtime Subsystem).

Nirrakkomandaw li niżguraw li d-databases tas-softwer kontra l-virus tiegħek huma aġġornati, billi tikkunsidra li tinforma lill-impjegati dwar din it-theddida, u wkoll, jekk possibbli, it-tisħiħ tal-kontroll fuq ittri deħlin bis-sintomi ta 'hawn fuq.

Sors: www.habr.com

Żid kumment