Од почетка данашњег дана до данас, стручњаци ЈСОЦ ЦЕРТ-а су забележили масовну злонамерну дистрибуцију Тролдесх вируса за шифровање. Његова функционалност је шира него само код енкриптора: поред модула за шифровање, има могућност даљинске контроле радне станице и преузимања додатних модула. У марту ове године већ смо о епидемији Тролдеша – тада је вирус маскирао своју испоруку користећи ИоТ уређаје. Сада се за ово користе рањиве верзије ВордПресс-а и цги-бин интерфејс.
Порука се шаље са различитих адреса и садржи у телу писма везу ка угроженим веб ресурсима са компонентама ВордПресс-а. Веза садржи архиву која садржи скрипту у Јавасцрипт-у. Као резултат његовог извршења, Тролдесх енкриптор се преузима и покреће.
Већина безбедносних алата не открива злонамерне поруке е-поште јер садрже везу до легитимног веб ресурса, али сам рансомвер тренутно детектује већина произвођача антивирусног софтвера. Напомена: пошто злонамерни софтвер комуницира са Ц&Ц серверима који се налазе на Тор мрежи, потенцијално је могуће преузети додатне спољне модуле за учитавање на заражену машину који га могу „обогатити“.
Неке од општих карактеристика овог билтена укључују:
(1) пример теме билтена - „О наручивању“
(2) све везе су споља сличне - садрже кључне речи /вп-цонтент/ и /доц/, на пример:
Хорсесмоутх[.]орг/вп-цонтент/тхемес/ИнспиредБитс/имагес/думми/доц/доц/
[.]орг/вп-цонтент/тхемес/цампус/митхологи-цоре/цоре-ассетс/имагес/социал-ицонс/лонг-схадов/доц/
цхестнутплацејп[.]цом/вп-цонтент/аи1вм-бацкупс/доц/
(3) злонамерни софтвер приступа разним контролним серверима преко Тор-а
(4) креира се датотека Име датотеке: Ц:ПрограмДатаВиндовсцсрсс.еке, регистрована у регистратору у грани СОФТВАРЕМицрософтВиндовсЦуррентВерсионРун (назив параметра – подсистем времена извршавања клијентског сервера).
Препоручујемо да се уверите да је ваша база антивирусног софтвера ажурна, с обзиром на могућност информисања запослених о овој претњи, а такође, ако је могуће, појачате контролу над пристиглим писмима са горе наведеним симптомима.
Извор: ввв.хабр.цом