ProHoster > Блог > Isakoso > Troldesh ni iboju-boju tuntun: igbi miiran ti ifiweranṣẹ pupọ ti ọlọjẹ ransomware kan

Troldesh ni iboju-boju tuntun: igbi miiran ti ifiweranṣẹ pupọ ti ọlọjẹ ransomware kan

Lati ibẹrẹ oni titi di isisiyi, awọn amoye JSOC CERT ti ṣe igbasilẹ pinpin irira nla ti ọlọjẹ Troldesh fifi ẹnọ kọ nkan. Iṣẹ ṣiṣe rẹ gbooro ju ti olupilẹṣẹ kan lọ: ni afikun si module fifi ẹnọ kọ nkan, o ni agbara lati ṣakoso latọna jijin iṣẹ kan ati ṣe igbasilẹ awọn modulu afikun. Ni Oṣù ti odun yi a tẹlẹ alaye nipa ajakale-arun Troldesh - lẹhinna ọlọjẹ naa boju ifijiṣẹ rẹ ni lilo awọn ẹrọ IoT. Bayi, awọn ẹya ipalara ti Wodupiresi ati wiwo cgi-bin ni a lo fun eyi.

Troldesh ni iboju-boju tuntun: igbi miiran ti ifiweranṣẹ pupọ ti ọlọjẹ ransomware kan

Ifiweranṣẹ naa ni a firanṣẹ lati oriṣiriṣi awọn adirẹsi ati pe o ni ninu ara lẹta naa ọna asopọ si awọn orisun wẹẹbu ti o gbogun pẹlu awọn paati Wodupiresi. Ọna asopọ ni ile-ipamọ ti o ni iwe afọwọkọ ninu Javascript ninu. Bi abajade ti ipaniyan rẹ, Troldesh encryptor ti ṣe igbasilẹ ati ṣe ifilọlẹ.

Awọn imeeli irira ni a ko rii nipasẹ ọpọlọpọ awọn irinṣẹ aabo nitori wọn ni ọna asopọ kan si orisun wẹẹbu ti o tọ, ṣugbọn ransomware funrararẹ ni a rii lọwọlọwọ lọwọlọwọ nipasẹ ọpọlọpọ awọn aṣelọpọ sọfitiwia antivirus. Akiyesi: niwọn igba ti malware n ba awọn olupin C&C sọrọ ti o wa lori nẹtiwọọki Tor, o ṣee ṣe lati ṣe igbasilẹ afikun awọn modulu fifuye ita si ẹrọ ti o ni arun ti o le “fikun” rẹ.

Diẹ ninu awọn ẹya gbogbogbo ti iwe iroyin yii pẹlu:

(1) apẹẹrẹ ti koko-ọrọ iwe iroyin - “Nipa pipaṣẹ”

(2) gbogbo awọn ọna asopọ jẹ iru ita - wọn ni awọn koko-ọrọ /wp-content/ ati /doc/, fun apẹẹrẹ:
Horsesmouth[.]org/wp-akoonu/awọn akori/InspiredBits/images/dummy/doc/doc/
www.montessori-ẹkọ[.]org/wp-akoonu/awọn akori/campus/mythology-core/core-assets/images/social-content/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) malware n wọle si ọpọlọpọ awọn olupin iṣakoso nipasẹ Tor

(4) faili kan ti ṣẹda Orukọ faili: C:ProgramDataWindowscsrss.exe, ti a forukọsilẹ ni iforukọsilẹ ni ẹka SOFTWAREMIcrosoftWindowsCurrentVersionRun (orukọ paramita - Subsystem-Server Runtime Server).

A ṣeduro rii daju pe awọn apoti isura infomesonu sọfitiwia ọlọjẹ rẹ ti wa titi di oni, ni ero lati sọfun awọn oṣiṣẹ nipa irokeke yii, ati paapaa, ti o ba ṣeeṣe, iṣakoso agbara lori awọn lẹta ti nwọle pẹlu awọn ami aisan loke.

orisun: www.habr.com

Fi ọrọìwòye kun