Ti mimiti dinten ayeuna dugi ka ayeuna, para ahli JSOC CERT parantos ngarékam panyebaran jahat anu ageung tina virus énkripsi Troldesh. Fungsionalitasna langkung lega tibatan énkripsi: salian modul énkripsi, éta gaduh kamampuan pikeun ngadalikeun workstation tina jarak jauh sareng ngaunduh modul tambahan. Dina Maret taun ieu kami geus
Suratna dikirimkeun tina alamat anu béda-béda sareng ngandung dina awak surat tautan ka sumber wéb anu dikompromi sareng komponén WordPress. Tautan ngandung arsip anu ngandung skrip dina Javascript. Salaku hasil tina palaksanaan na, encryptor Troldesh diundeur jeung dibuka.
Surélék jahat henteu dideteksi ku kalolobaan alat kaamanan sabab ngandung tumbu ka sumber wéb anu sah, tapi ransomware sorangan ayeuna dideteksi ku kalolobaan pabrik software antipirus. Catetan: Kusabab malware komunikasi sareng server C&C anu aya dina jaringan Tor, kamungkinan kamungkinan pikeun ngaunduh modul beban éksternal tambahan ka mesin anu kainféksi anu tiasa "memperkaya" éta.
Sababaraha fitur umum buletin ieu kalebet:
(1) conto subjék buletin - "Ngeunaan mesen"
(2) kabéh tumbu sacara éksternal sarupa - ngandung kecap konci /wp-content/ jeung /doc/, contona:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) malware ngakses rupa server kontrol via Tor
(4) file dijieun Ngaran koropak: C: ProgramDataWindowscsrss.exe, didaptarkeun dina pendaptaran di SOFTWAREMicrosoftWindowsCurrentVersionRun cabang (ngaran parameter - Client Server Runtime Subsystem).
Kami ngarékoméndasikeun pikeun mastikeun yén database software anti-virus anjeun up to date, tempo kamungkinan informing karyawan ngeunaan anceman ieu, sarta ogé, upami mungkin, strengthening kontrol ngaliwatan surat asup jeung gejala di luhur.
sumber: www.habr.com