從今天開始到現在,JSOC CERT 專家記錄了 Troldesh 加密病毒的大規模惡意傳播。它的功能比加密器更廣泛:除了加密模組之外,它還能夠遠端控制工作站並下載其他模組。今年三月我們已經 關於特羅德什流行病 - 然後病毒使用物聯網設備掩蓋了其傳播。現在,WordPress 的易受攻擊版本和 cgi-bin 介面用於此目的。
郵件從不同的地址發送,並在信件正文中包含指向受感染的 WordPress 元件 Web 資源的連結。該連結包含一個包含 Javascript 腳本的存檔。執行後,Troldesh 加密器將被下載並啟動。
大多數安全工具無法檢測到惡意電子郵件,因為它們包含指向合法網路資源的鏈接,但勒索軟體本身目前已被大多數防毒軟體製造商檢測到。注意:由於惡意軟體與位於 Tor 網路上的 C&C 伺服器進行通信,因此有可能將額外的外部載入模組下載到受感染的電腦上,從而「豐富」它。
本通訊的一些一般特色包括:
(1) 新聞通訊主題範例 - “關於訂購”
(2) 所有連結外部相似 - 它們包含關鍵字 /wp-content/ 和 /doc/,例如:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) 惡意軟體透過Tor存取各種控制伺服器
(4)建立一個檔案 檔名:C:ProgramDataWindowscsrss.exe,註冊在登錄中的SOFTWAREMicrosoftWindowsCurrentVersionRun分支中(參數名稱-Client Server Runtime Subsystem)。
我們建議確保您的防毒軟體資料庫是最新的,考慮向員工通報此威脅,並且如果可能的話,加強對具有上述症狀的傳入信件的控制。
來源: www.habr.com