ProHoster > Blog > Ma'muriyat > Troldesh yangi niqobda: ransomware virusini ommaviy yuborishning yana bir to'lqini

Troldesh yangi niqobda: ransomware virusini ommaviy yuborishning yana bir to'lqini

Bugungi kunning boshidan hozirgi kunga qadar JSOC CERT mutaxassislari Troldesh shifrlovchi virusining katta zararli tarqalishini qayd etishdi. Uning funksionalligi shifrlovchinikidan ham kengroqdir: shifrlash moduliga qo‘shimcha ravishda u ish stantsiyasini masofadan boshqarish va qo‘shimcha modullarni yuklab olish imkoniyatiga ega. Shu yilning mart oyida biz allaqachon xabardor qilingan Troldesh epidemiyasi haqida - keyin virus IoT qurilmalari yordamida uning tarqalishini niqobladi. Endi buning uchun WordPressning zaif versiyalari va cgi-bin interfeysi qo'llaniladi.

Troldesh yangi niqobda: ransomware virusini ommaviy yuborishning yana bir to'lqini

Pochta turli manzillardan yuboriladi va xatning asosiy qismida WordPress komponentlari bilan buzilgan veb-resurslarga havola mavjud. Havolada Javascript-dagi skriptni o'z ichiga olgan arxiv mavjud. Uning bajarilishi natijasida Troldesh shifrlovchisi yuklab olinadi va ishga tushiriladi.

Zararli elektron pochta xabarlari aksariyat xavfsizlik vositalari tomonidan aniqlanmaydi, chunki ular qonuniy veb-resursga havolani o'z ichiga oladi, ammo to'lov dasturining o'zi hozirda ko'pchilik antivirus dasturlari ishlab chiqaruvchilari tomonidan aniqlangan. Eslatma: zararli dastur Tor tarmog'ida joylashgan C&C serverlari bilan aloqa o'rnatganligi sababli, zararlangan mashinaga uni "boyitishi" mumkin bo'lgan qo'shimcha tashqi yuk modullarini yuklab olish mumkin.

Ushbu xabarnomaning umumiy xususiyatlaridan ba'zilari:

(1) axborot byulleteni mavzusiga misol - "Buyurtma haqida"

(2) barcha havolalar tashqi tomondan o'xshash - ular /wp-content/ va /doc/ kalit so'zlarini o'z ichiga oladi, masalan:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademiyasi[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) zararli dastur Tor orqali turli boshqaruv serverlariga kiradi

(4) fayl yaratiladi Fayl nomi: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun filialida ro'yxatga olingan (parametr nomi - Client Server Runtime Subsystem).

Virusga qarshi dasturiy ta'minot ma'lumotlar bazasi yangilanganligiga ishonch hosil qilishni, xodimlarni ushbu tahdid haqida xabardor qilishni, shuningdek, iloji bo'lsa, yuqoridagi belgilar bilan kiruvchi xatlar ustidan nazoratni kuchaytirishni tavsiya qilamiz.

Manba: www.habr.com

a Izoh qo'shish