ProHoster > blogg > administration > Troldesh i en ny mask: ytterligare en våg av massutskick av ett ransomware-virus

Troldesh i en ny mask: ytterligare en våg av massutskick av ett ransomware-virus

Från början av idag till idag har JSOC CERT-experter registrerat en massiv skadlig distribution av Troldesh-krypteringsviruset. Dess funktionalitet är bredare än bara en krypteringsfunktion: förutom krypteringsmodulen har den möjlighet att fjärrstyra en arbetsstation och ladda ner ytterligare moduler. I mars i år har vi redan informerad om Troldesh-epidemin - då maskerade viruset sin leverans med hjälp av IoT-enheter. Nu används sårbara versioner av WordPress och cgi-bin-gränssnittet för detta.

Troldesh i en ny mask: ytterligare en våg av massutskick av ett ransomware-virus

Utskicket skickas från olika adresser och innehåller i brevets brödtext en länk till komprometterade webbresurser med WordPress-komponenter. Länken innehåller ett arkiv som innehåller ett script i Javascript. Som ett resultat av dess exekvering laddas Troldesh-krypteringen ner och startas.

Skadliga e-postmeddelanden upptäcks inte av de flesta säkerhetsverktyg eftersom de innehåller en länk till en legitim webbresurs, men själva ransomwaren upptäcks för närvarande av de flesta tillverkare av antivirusprogram. Obs: eftersom skadlig programvara kommunicerar med C&C-servrar som finns på Tor-nätverket, är det potentiellt möjligt att ladda ner ytterligare externa laddningsmoduler till den infekterade maskinen som kan "berika" den.

Några av de allmänna funktionerna i detta nyhetsbrev inkluderar:

(1) exempel på ett nyhetsbrevsämne - "Om beställning"

(2) alla länkar är externt lika - de innehåller nyckelorden /wp-content/ och /doc/, till exempel:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademin[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) skadlig programvara kommer åt olika kontrollservrar via Tor

(4) en fil skapas Filnamn: C:ProgramDataWindowscsrss.exe, registrerad i registret i SOFTWAREMicrosoftWindowsCurrentVersionRun-grenen (parameternamn - Client Server Runtime Subsystem).

Vi rekommenderar att du ser till att dina antivirusprogramdatabaser är uppdaterade, överväger att informera anställda om detta hot och även, om möjligt, stärka kontrollen över inkommande brev med ovanstående symptom.

Källa: will.com

Lägg en kommentar