ProHoster > Blog > Administrasi > Troldesh dina topéng énggal: gelombang milis massal anu sanés tina virus ransomware

Troldesh dina topéng énggal: gelombang milis massal anu sanés tina virus ransomware

Ti mimiti dinten ayeuna dugi ka ayeuna, para ahli JSOC CERT parantos ngarékam panyebaran jahat anu ageung tina virus énkripsi Troldesh. Fungsionalitasna langkung lega tibatan énkripsi: salian modul énkripsi, éta gaduh kamampuan pikeun ngadalikeun workstation tina jarak jauh sareng ngaunduh modul tambahan. Dina Maret taun ieu kami geus informed ngeunaan wabah Troldesh - teras virus éta masker pangirimanna nganggo alat IoT. Ayeuna, versi WordPress anu rentan sareng antarmuka cgi-bin dianggo pikeun ieu.

Troldesh dina topéng énggal: gelombang milis massal anu sanés tina virus ransomware

Suratna dikirimkeun tina alamat anu béda-béda sareng ngandung dina awak surat tautan ka sumber wéb anu dikompromi sareng komponén WordPress. Tautan ngandung arsip anu ngandung skrip dina Javascript. Salaku hasil tina palaksanaan na, encryptor Troldesh diundeur jeung dibuka.

Surélék jahat henteu dideteksi ku kalolobaan alat kaamanan sabab ngandung tumbu ka sumber wéb anu sah, tapi ransomware sorangan ayeuna dideteksi ku kalolobaan pabrik software antipirus. Catetan: Kusabab malware komunikasi sareng server C&C anu aya dina jaringan Tor, kamungkinan kamungkinan pikeun ngaunduh modul beban éksternal tambahan ka mesin anu kainféksi anu tiasa "memperkaya" éta.

Sababaraha fitur umum buletin ieu kalebet:

(1) conto subjék buletin - "Ngeunaan mesen"

(2) kabéh tumbu sacara éksternal sarupa - ngandung kecap konci /wp-content/ jeung /doc/, contona:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademi[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) malware ngakses rupa server kontrol via Tor

(4) file dijieun Ngaran koropak: C: ProgramDataWindowscsrss.exe, didaptarkeun dina pendaptaran di SOFTWAREMicrosoftWindowsCurrentVersionRun cabang (ngaran parameter - Client Server Runtime Subsystem).

Kami ngarékoméndasikeun pikeun mastikeun yén database software anti-virus anjeun up to date, tempo kamungkinan informing karyawan ngeunaan anceman ieu, sarta ogé, upami mungkin, strengthening kontrol ngaliwatan surat asup jeung gejala di luhur.

sumber: www.habr.com

Tambahkeun komentar