ProHoster > BLOG > administrare > Troldesh într-o mască nouă: un alt val de corespondență în masă a unui virus ransomware

Troldesh într-o mască nouă: un alt val de corespondență în masă a unui virus ransomware

De la începutul zilei de astăzi și până în prezent, experții JSOC CERT au înregistrat o distribuție malițioasă masivă a virusului de criptare Troldesh. Funcționalitatea sa este mai largă decât cea a unui criptator: pe lângă modulul de criptare, are capacitatea de a controla de la distanță o stație de lucru și de a descărca module suplimentare. În martie a acestui an deja informat despre epidemia Troldesh - apoi virusul și-a mascat livrarea folosind dispozitive IoT. Acum, versiunile vulnerabile ale WordPress și interfața cgi-bin sunt folosite pentru aceasta.

Troldesh într-o mască nouă: un alt val de corespondență în masă a unui virus ransomware

Mailing-ul este trimis de la diferite adrese și conține în corpul scrisorii un link către resurse web compromise cu componente WordPress. Link-ul conține o arhivă care conține un script în Javascript. Ca urmare a execuției sale, criptatorul Troldesh este descărcat și lansat.

E-mailurile rău intenționate nu sunt detectate de majoritatea instrumentelor de securitate deoarece conțin un link către o resursă web legitimă, dar ransomware-ul în sine este detectat în prezent de majoritatea producătorilor de software antivirus. Notă: deoarece malware-ul comunică cu serverele C&C situate în rețeaua Tor, este posibil să descărcați module de încărcare externe suplimentare pe mașina infectată care o pot „îmbogăți”.

Unele dintre caracteristicile generale ale acestui buletin informativ includ:

(1) exemplu de subiect al unui buletin informativ - „Despre comandă”

(2) toate linkurile sunt similare din exterior - conțin cuvintele cheie /wp-content/ și /doc/, de exemplu:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) malware-ul accesează diverse servere de control prin Tor

(4) se creează un fișier Nume fișier: C:ProgramDataWindowscsrss.exe, înregistrat în registrul din ramura SOFTWAREMicrosoftWindowsCurrentVersionRun (nume parametru - Subsistem de rulare a serverului client).

Vă recomandăm să vă asigurați că bazele de date software antivirus sunt actualizate, luând în considerare informarea angajaților despre această amenințare și, de asemenea, dacă este posibil, consolidarea controlului asupra scrisorilor primite cu simptomele de mai sus.

Sursa: www.habr.com

Adauga un comentariu