ProHoster > Blog > administratë > Toldesh në një maskë të re: një valë tjetër e postimeve masive të një virusi ransomware

Toldesh në një maskë të re: një valë tjetër e postimeve masive të një virusi ransomware

Nga fillimi i ditës së sotme e deri më sot, ekspertët e JSOC CERT kanë regjistruar një shpërndarje masive me qëllim të keq të virusit kodues Troldesh. Funksionaliteti i tij është më i gjerë se thjesht ai i një kriptori: përveç modulit të enkriptimit, ai ka aftësinë për të kontrolluar nga distanca një stacion pune dhe për të shkarkuar module shtesë. Në mars të këtij viti ne tashmë i informuar në lidhje me epideminë e Troldeshit - më pas virusi maskoi shpërndarjen e tij duke përdorur pajisje IoT. Tani, versionet e cenueshme të WordPress dhe ndërfaqja cgi-bin përdoren për këtë.

Toldesh në një maskë të re: një valë tjetër e postimeve masive të një virusi ransomware

Postimi dërgohet nga adresa të ndryshme dhe përmban në trupin e letrës një lidhje me burimet e komprometuara të uebit me komponentët e WordPress. Lidhja përmban një arkiv që përmban një skript në Javascript. Si rezultat i ekzekutimit të tij, enkriptuesi Troldesh shkarkohet dhe lëshohet.

Email-et me qëllim të keq nuk zbulohen nga shumica e mjeteve të sigurisë, sepse ato përmbajnë një lidhje me një burim legjitim në internet, por vetë ransomware zbulohet aktualisht nga shumica e prodhuesve të programeve antivirus. Shënim: meqenëse malware komunikon me serverët C&C të vendosura në rrjetin Tor, është potencialisht e mundur të shkarkohen module shtesë të ngarkesës së jashtme në makinën e infektuar që mund ta "pasurojë" atë.

Disa nga veçoritë e përgjithshme të këtij buletini përfshijnë:

(1) shembull i një subjekti të buletinit - "Rreth porosisë"

(2) të gjitha lidhjet janë të ngjashme nga jashtë - ato përmbajnë fjalë kyçe /wp-content/ dhe /doc/, për shembull:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) malware hyn në serverë të ndryshëm kontrolli nëpërmjet Tor

(4) krijohet një skedar Emri i skedarit: C:ProgramDataWindowscsrss.exe, i regjistruar në regjistër në degën SOFTWAREMicrosoftWindowsCurrentVersionRun (emri i parametrit - Nënsistemi i funksionimit të serverit të klientit).

Ne rekomandojmë të siguroheni që bazat e të dhënave tuaja të softuerit anti-virus të jenë të përditësuara, duke marrë parasysh informimin e punonjësve për këtë kërcënim dhe gjithashtu, nëse është e mundur, forcimin e kontrollit mbi letrat hyrëse me simptomat e mësipërme.

Burimi: www.habr.com

Shto një koment