ProHoster > بلاگ > انتظامیہ > ٹرولڈش ایک نئے ماسک میں: رینسم ویئر وائرس کی بڑے پیمانے پر میلنگ کی ایک اور لہر

ٹرولڈش ایک نئے ماسک میں: رینسم ویئر وائرس کی بڑے پیمانے پر میلنگ کی ایک اور لہر

آج کے آغاز سے، JSOC CERT ماہرین Troldesh ransomware کی بڑے پیمانے پر تقسیم کا پتہ لگا رہے ہیں۔ اس کی فعالیت سادہ رینسم ویئر سے آگے بڑھی ہوئی ہے: انکرپشن ماڈیول کے علاوہ، یہ ریموٹ ورک سٹیشن کنٹرول اور اضافی ماڈیولز کو ڈاؤن لوڈ کرنے کی بھی اجازت دیتا ہے۔ ہم اس سال مارچ میں پہلے ہی اس کی اطلاع دے چکے ہیں۔ مطلع об эпидемии Troldesh — тогда вирус маскировал свою доставку с помощью IoT-устройств. Теперь же для этого используются уязвимые версии WordPress и интерфейса cgi-bin.

ٹرولڈش ایک نئے ماسک میں: رینسم ویئر وائرس کی بڑے پیمانے پر میلنگ کی ایک اور لہر

Рассылка ведется с разных адресов и содержит в теле письма ссылку на скомпрометированные web-ресурсы с компонентами WordPress. По ссылке располагается архив, содержащей скрипт на языке Javascript. В результате его исполнения скачивается и запускается шифровальщик Troldesh.

نقصان دہ ای میلز کا زیادہ تر حفاظتی حلوں سے پتہ نہیں چلتا ہے کیونکہ ان میں ایک جائز ویب سائٹ کا لنک ہوتا ہے۔ تاہم، ransomware خود فی الحال سب سے زیادہ اینٹی وائرس سافٹ ویئر فروشوں کے ذریعہ پتہ چلا ہے۔ یہ بات قابل غور ہے کہ چونکہ میلویئر ٹور نیٹ ورک پر واقع C&C سرورز سے رابطہ کرتا ہے، اس لیے یہ ممکنہ طور پر متاثرہ مشین پر اضافی بیرونی پے لوڈز ڈاؤن لوڈ کر سکتا ہے، ممکنہ طور پر اسے افزودہ کر سکتا ہے۔

اس میلنگ لسٹ کی عمومی خصوصیات میں شامل ہیں:

(1) نیوز لیٹر کے مضمون کی مثال: "آرڈر کے بارے میں"

(2) تمام لنکس میں بیرونی مماثلتیں ہیں - ان میں مطلوبہ الفاظ /wp-content/ اور /doc/ شامل ہیں، مثال کے طور پر:
ہارس ماؤتھ[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) میلویئر ٹور کے ذریعے مختلف کمانڈ اور کنٹرول سرورز کے ساتھ بات چیت کرتا ہے۔

(4) создается файл Filename: C:ProgramDataWindowscsrss.exe, в реестре прописывается в ветке SOFTWAREMicrosoftWindowsCurrentVersionRun (имя параметра — Client Server Runtime Subsystem).

ہم اس بات کو یقینی بنانے کی تجویز کرتے ہیں کہ آپ کے اینٹی وائرس سافٹ ویئر ڈیٹا بیسز اپ ٹو ڈیٹ ہیں، ملازمین کو اس خطرے کے بارے میں مطلع کرنے پر غور کریں، اور، اگر ممکن ہو تو، اوپر بیان کردہ خصوصیات کے ساتھ آنے والی ای میلز کی نگرانی کو مضبوط کریں۔

ماخذ: www.habr.com

DDoS تحفظ، VPS VDS سرورز والی سائٹوں کے لیے قابل اعتماد ہوسٹنگ خریدیں۔ DDoS تحفظ، VPS VDS سرورز کے ساتھ قابل اعتماد ویب سائٹ ہوسٹنگ خریدیں۔ ProHoster