从今天开始到现在,JSOC CERT 专家记录到了 Troldesh 加密病毒的大规模恶意传播。 它的功能比加密器更广泛:除了加密模块之外,它还能够远程控制工作站并下载其他模块。 今年三月份我们就已经 关于特罗德什流行病 - 然后病毒使用物联网设备掩盖了其传播。 现在,WordPress 的易受攻击版本和 cgi-bin 接口用于此目的。
邮件从不同的地址发送,并在信件正文中包含指向受感染的 WordPress 组件 Web 资源的链接。 该链接包含一个包含 Javascript 脚本的存档。 执行后,Troldesh 加密器将被下载并启动。
大多数安全工具无法检测到恶意电子邮件,因为它们包含指向合法网络资源的链接,但勒索软件本身目前已被大多数防病毒软件制造商检测到。 注意:由于恶意软件与位于 Tor 网络上的 C&C 服务器进行通信,因此有可能将额外的外部加载模块下载到受感染的计算机上,从而“丰富”它。
本通讯的一些一般特点包括:
(1) 新闻通讯主题示例 - “关于订购”
(2) 所有链接外部相似 - 它们包含关键字 /wp-content/ 和 /doc/,例如:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) 恶意软件通过Tor访问各种控制服务器
(4)创建一个文件 文件名:C:ProgramDataWindowscsrss.exe,注册在注册表中的SOFTWAREMicrosoftWindowsCurrentVersionRun分支中(参数名称-Client Server Runtime Subsystem)。
我们建议确保您的防病毒软件数据库是最新的,考虑向员工通报此威胁,并且如果可能的话,加强对具有上述症状的传入信件的控制。
来源: habr.com