இன்றைய தொடக்கத்தில் இருந்து தற்போது வரை, JSOC CERT வல்லுநர்கள் Troldesh என்க்ரிப்டிங் வைரஸின் மிகப்பெரிய தீங்கிழைக்கும் விநியோகத்தைப் பதிவு செய்துள்ளனர். அதன் செயல்பாடு ஒரு என்க்ரிப்டரை விட விரிவானது: குறியாக்க தொகுதிக்கு கூடுதலாக, இது ஒரு பணிநிலையத்தை தொலைவிலிருந்து கட்டுப்படுத்தும் மற்றும் கூடுதல் தொகுதிகளை பதிவிறக்கும் திறனைக் கொண்டுள்ளது. இந்த ஆண்டு மார்ச் மாதத்தில் நாங்கள் ஏற்கனவே ட்ரோல்டேஷ் தொற்றுநோயைப் பற்றி - பின்னர் வைரஸ் IoT சாதனங்களைப் பயன்படுத்தி அதன் விநியோகத்தை மறைத்தது. இப்போது, WordPress இன் பாதிக்கப்படக்கூடிய பதிப்புகள் மற்றும் cgi-bin இடைமுகம் இதற்குப் பயன்படுத்தப்படுகின்றன.
அஞ்சல் வெவ்வேறு முகவரிகளிலிருந்து அனுப்பப்படுகிறது மற்றும் கடிதத்தின் உடலில் வேர்ட்பிரஸ் கூறுகளுடன் சமரசம் செய்யப்பட்ட வலை ஆதாரங்களுக்கான இணைப்பைக் கொண்டுள்ளது. இணைப்பில் ஜாவாஸ்கிரிப்டில் ஸ்கிரிப்ட் உள்ள காப்பகம் உள்ளது. அதன் செயல்பாட்டின் விளைவாக, ட்ரோல்டேஷ் என்க்ரிப்டர் பதிவிறக்கம் செய்யப்பட்டு தொடங்கப்பட்டது.
தீங்கிழைக்கும் மின்னஞ்சல்கள் பெரும்பாலான பாதுகாப்புக் கருவிகளால் கண்டறியப்படுவதில்லை, ஏனெனில் அவை முறையான இணைய வளத்திற்கான இணைப்பைக் கொண்டிருப்பதால், ransomware ஆனது தற்போது பெரும்பாலான வைரஸ் தடுப்பு மென்பொருள் உற்பத்தியாளர்களால் கண்டறியப்பட்டுள்ளது. குறிப்பு: தீம்பொருள் Tor நெட்வொர்க்கில் உள்ள C&C சேவையகங்களுடன் தொடர்புகொள்வதால், பாதிக்கப்பட்ட கணினியில் கூடுதல் வெளிப்புற சுமை தொகுதிகளை பதிவிறக்கம் செய்ய முடியும், அது அதை "வளப்படுத்த" முடியும்.
இந்த செய்திமடலின் சில பொதுவான அம்சங்கள் பின்வருமாறு:
(1) செய்திமடல் விஷயத்தின் உதாரணம் - "ஆர்டர் செய்வது பற்றி"
(2) அனைத்து இணைப்புகளும் வெளிப்புறமாக ஒரே மாதிரியானவை - அவை /wp-content/ மற்றும் /doc/ போன்ற முக்கிய வார்த்தைகளைக் கொண்டிருக்கின்றன, எடுத்துக்காட்டாக:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) தீம்பொருள் Tor வழியாக பல்வேறு கட்டுப்பாட்டு சேவையகங்களை அணுகுகிறது
(4) கோப்பு உருவாக்கப்பட்டது கோப்பு பெயர்: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun கிளையில் உள்ள பதிவேட்டில் பதிவுசெய்யப்பட்டுள்ளது (அளவுரு பெயர் - கிளையண்ட் சர்வர் இயக்க நேர துணை அமைப்பு).
உங்களின் வைரஸ் எதிர்ப்பு மென்பொருள் தரவுத்தளங்கள் புதுப்பித்த நிலையில் இருப்பதை உறுதிசெய்யவும், இந்த அச்சுறுத்தலைப் பற்றி ஊழியர்களுக்குத் தெரிவிக்கவும், முடிந்தால், மேலே உள்ள அறிகுறிகளுடன் உள்வரும் கடிதங்களின் மீதான கட்டுப்பாட்டை வலுப்படுத்தவும் பரிந்துரைக்கிறோம்.
ஆதாரம்: www.habr.com