من بداية اليوم إلى الوقت الحاضر ، سجل خبراء JSOC CERT توزيعًا ضارًا هائلاً لفيروس Troldesh ransomware. وظيفتها أكبر من وظيفة المشفر: بالإضافة إلى وحدة التشفير ، لديها القدرة على التحكم عن بعد في محطة عمل وإعادة تحميل وحدات إضافية. في شهر مارس من هذا العام ،
أبلغنا بالفعل عن وباء Troldesh - ثم أخفى الفيروس توصيله باستخدام أجهزة إنترنت الأشياء. الآن ، يتم استخدام الإصدارات الضعيفة من WordPress وواجهة cgi-bin لهذا الغرض.
يتم إجراء النشرة الإخبارية من عناوين مختلفة وتحتوي في نص الرسالة على رابط لموارد الويب التي تتعرض لخطر مع مكونات WordPress. يحتوي الرابط على أرشيف يحتوي على برنامج نصي بلغة Javascript. نتيجة لتنفيذه ، يتم تنزيل وإطلاق Troldesh ransomware.
لا يتم اكتشاف الرسائل الضارة بواسطة معظم أدوات الحماية ، نظرًا لأنها تحتوي على رابط لمورد ويب شرعي ، ولكن يتم اكتشاف المشفر نفسه حاليًا بواسطة معظم الشركات المصنعة لبرامج مكافحة الفيروسات. ملاحظة: نظرًا لأن البرامج الضارة تتصل بخوادم C&C الموجودة على شبكة Tor ، فمن المحتمل تنزيل وحدات تحميل خارجية إضافية على الجهاز المصاب الذي يمكنه "إثراءها".
من العلامات الشائعة لهذه النشرة ، يمكنك ملاحظة:
(1) مثال على موضوع الرسالة الإخبارية - "حول الطلب"
(2) جميع الروابط لها تشابه خارجي - فهي تحتوي على الكلمات الرئيسية / wp-content / و / doc / ، على سبيل المثال:
Horsesmouth [.] ORG / الفسفور الابيض المحتوى / المواضيع / InspiredBits / الصور / دمية / وثيقة / وثيقة /
www.montessori-academy [.] org / wp-content / theme / الحرم الجامعي / الأساطير-الأساسية / الأصول الأساسية / الصور / الرموز الاجتماعية / الظل الطويل / doc /
chestnutplacejp [.] com / wp-content / ai1wm-backups / doc /
(3) وصول البرامج الضارة عبر خوادم إدارة Tor المختلفة
(4) يتم إنشاء اسم الملف: C: \ ProgramData \ Windows \ csrss.exe ، يتم تسجيله في التسجيل في فرع SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run (اسم المعلمة هو النظام الفرعي لوقت تشغيل عميل الخادم).
نوصي بالتحقق من أهمية قواعد بيانات أدوات برنامج مكافحة الفيروسات ، والنظر في إبلاغ الموظفين بهذا التهديد ، وإذا أمكن ، تشديد الرقابة على رسائل البريد الإلكتروني الواردة مع العلامات أعلاه.