پرو ہوسٹر > بلاگ > انتظامیہ > ٹرولڈش ایک نئے ماسک میں: رینسم ویئر وائرس کی بڑے پیمانے پر میلنگ کی ایک اور لہر

ٹرولڈش ایک نئے ماسک میں: رینسم ویئر وائرس کی بڑے پیمانے پر میلنگ کی ایک اور لہر

آج کے آغاز سے لے کر آج تک، JSOC CERT کے ماہرین نے Troldesh انکرپٹنگ وائرس کی بڑے پیمانے پر بدنیتی پر مبنی تقسیم کو ریکارڈ کیا ہے۔ اس کی فعالیت صرف ایک انکرپٹر کی نسبت وسیع ہے: انکرپشن ماڈیول کے علاوہ، اس میں ایک ورک سٹیشن کو دور سے کنٹرول کرنے اور اضافی ماڈیولز ڈاؤن لوڈ کرنے کی صلاحیت ہے۔ اس سال مارچ میں ہم پہلے ہی مطلع ٹرولڈیش کی وبا کے بارے میں - پھر وائرس نے IoT آلات کا استعمال کرتے ہوئے اپنی ترسیل کو نقاب پوش کردیا۔ اب، ورڈپریس کے کمزور ورژن اور cgi-bin انٹرفیس اس کے لیے استعمال کیے جاتے ہیں۔

ٹرولڈش ایک نئے ماسک میں: رینسم ویئر وائرس کی بڑے پیمانے پر میلنگ کی ایک اور لہر

میلنگ مختلف پتوں سے بھیجی جاتی ہے اور خط کے باڈی میں ورڈپریس اجزاء کے ساتھ سمجھوتہ کرنے والے ویب وسائل کا لنک ہوتا ہے۔ لنک میں جاوا اسکرپٹ میں اسکرپٹ پر مشتمل ایک آرکائیو ہے۔ اس کے نفاذ کے نتیجے میں، ٹرولڈیش انکرپٹر کو ڈاؤن لوڈ اور لانچ کیا گیا ہے۔

زیادہ تر سیکیورٹی ٹولز کے ذریعے نقصان دہ ای میلز کا پتہ نہیں چلتا ہے کیونکہ ان میں ایک جائز ویب وسیلہ کا لنک ہوتا ہے، لیکن ransomware خود فی الحال زیادہ تر اینٹی وائرس سافٹ ویئر مینوفیکچررز کے ذریعے دریافت کیا جاتا ہے۔ نوٹ: چونکہ میلویئر ٹور نیٹ ورک پر واقع C&C سرورز کے ساتھ بات چیت کرتا ہے، اس لیے ممکنہ طور پر متاثرہ مشین پر اضافی بیرونی لوڈ ماڈیولز ڈاؤن لوڈ کرنا ممکن ہے جو اسے "فروغ" بنا سکتے ہیں۔

اس نیوز لیٹر کی کچھ عمومی خصوصیات میں شامل ہیں:

(1) نیوز لیٹر کے مضمون کی مثال - "آرڈرنگ کے بارے میں"

(2) تمام لنکس بیرونی طور پر ایک جیسے ہیں - ان میں مطلوبہ الفاظ /wp-content/ اور /doc/ شامل ہیں، مثال کے طور پر:
ہارس ماؤتھ[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) میلویئر Tor کے ذریعے مختلف کنٹرول سرورز تک رسائی حاصل کرتا ہے۔

(4) ایک فائل بنائی گئی ہے فائل کا نام: C:ProgramDataWindowscsrss.exe، جو SOFTWARMicrosoftWindowsCurrentVersionRun برانچ میں رجسٹری میں رجسٹرڈ ہے (پیرامیٹر کا نام - کلائنٹ سرور رن ٹائم سب سسٹم)۔

ہم اس بات کو یقینی بنانے کی تجویز کرتے ہیں کہ آپ کا اینٹی وائرس سافٹ ویئر ڈیٹا بیس اپ ٹو ڈیٹ ہے، اس خطرے کے بارے میں ملازمین کو مطلع کرنے کے امکان کو مدنظر رکھتے ہوئے، اور اگر ممکن ہو تو، مندرجہ بالا علامات کے ساتھ آنے والے خطوط پر کنٹرول کو مضبوط کریں۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں