Fra begynnelsen av i dag til i dag har JSOC CERT-eksperter registrert en massiv ondsinnet distribusjon av Troldesh-krypteringsviruset. Dens funksjonalitet er bredere enn bare en kryptering: i tillegg til krypteringsmodulen har den muligheten til å fjernstyre en arbeidsstasjon og laste ned tilleggsmoduler. I mars i år har vi allerede
Utsendelsen sendes fra forskjellige adresser og inneholder i selve brevet en lenke til kompromitterte nettressurser med WordPress-komponenter. Lenken inneholder et arkiv som inneholder et script i Javascript. Som et resultat av utføringen blir Troldesh-krypteringen lastet ned og lansert.
Ondsinnede e-poster oppdages ikke av de fleste sikkerhetsverktøy fordi de inneholder en kobling til en legitim nettressurs, men selve løsepengevaren oppdages for øyeblikket av de fleste produsenter av antivirusprogramvare. Merk: siden skadelig programvare kommuniserer med C&C-servere som ligger på Tor-nettverket, er det potensielt mulig å laste ned ekstra eksterne belastningsmoduler til den infiserte maskinen som kan "berike" den.
Noen av de generelle funksjonene i dette nyhetsbrevet inkluderer:
(1) eksempel på et nyhetsbrevsemne - "Om bestilling"
(2) alle lenker er eksternt like - de inneholder nøkkelordene /wp-content/ og /doc/, for eksempel:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) skadelig programvare får tilgang til forskjellige kontrollservere via Tor
(4) en fil opprettes Filnavn: C:ProgramDataWindowscsrss.exe, registrert i registret i SOFTWAREMicrosoftWindowsCurrentVersionRun-grenen (parameternavn - Client Server Runtime Subsystem).
Vi anbefaler å sørge for at antivirusprogramvaredatabasene dine er oppdatert, vurderer å informere ansatte om denne trusselen, og også, hvis mulig, styrke kontrollen over innkommende brev med symptomene ovenfor.
Kilde: www.habr.com