Von heute bis heute haben JSOC CERT-Experten eine massive böswillige Verbreitung des Troldesh-Ransomware-Virus registriert. Die FunktionalitĂ€t ist breiter als die eines VerschlĂŒsselers: ZusĂ€tzlich zum VerschlĂŒsselungsmodul kann eine Workstation ferngesteuert und zusĂ€tzliche Module neu geladen werden. Bereits im MĂ€rz dieses Jahres haben wir ĂŒber die Troldesh-Epidemie
informiert - dann hat der Virus seine Verbreitung mit IoT-GerĂ€ten maskiert. HierfĂŒr werden jetzt anfĂ€llige Versionen von WordPress und der cgi-bin-OberflĂ€che verwendet.
Der Newsletter wird von verschiedenen Adressen aus durchgefĂŒhrt und enthĂ€lt im Hauptteil des Briefes einen Link zu kompromittierten Webressourcen mit WordPress-Komponenten. Der Link enthĂ€lt ein Archiv, das ein Skript in der Sprache Javascript enthĂ€lt. Aufgrund ihrer AusfĂŒhrung wird die Troldesh-Ransomware heruntergeladen und gestartet.
SchĂ€dliche Nachrichten werden von den meisten Schutztools nicht erkannt, da sie einen Link zu einer legitimen Webressource enthalten. Der VerschlĂŒsseler selbst wird derzeit jedoch von den meisten Herstellern von Antivirensoftware erkannt. Hinweis: Da die Malware mit C & C-Servern im Tor-Netzwerk kommuniziert, ist es möglicherweise möglich, zusĂ€tzliche externe Lademodule auf den infizierten Computer herunterzuladen, die sie âanreichernâ können.
Zu den hÀufigsten Anzeichen dieses Newsletters gehören:
(1) Ein Beispiel fĂŒr ein Newsletter-Thema - "Ăber Bestellung"
(2) Alle Links haben eine externe Ăhnlichkeit - sie enthalten die SchlĂŒsselwörter / wp-content / und / doc /, zum Beispiel:
Horsesmouth [.] Org / wp-content / themen / InspiredBits / images / dummy / doc / doc /
www.montessori-akademie [.] org / wp-inhalt / themen / campus / mythologie-kern / kern-ansÀtze / bilder / soziale-ikonen / long-shadow / doc /
cathnutplacejp [.] com / wp-content / ai1wm-backups / doc /
(3) Malware-Zugriffe ĂŒber verschiedene Verwaltungsserver von Tor c
(4) Die Datei Dateiname wird erstellt: C: \ ProgramData \ Windows \ csrss.exe, sie ist in der Registrierung im Zweig SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run registriert (der Parametername lautet Client Server Runtime Subsystem).
Wir empfehlen Ihnen, die Relevanz der Antivirensoftware-Datenbanken zu ĂŒberprĂŒfen, Mitarbeiter ĂŒber diese Bedrohung zu informieren und die Kontrolle ĂŒber eingehende E-Mails mit den oben genannten Zeichen nach Möglichkeit zu verschĂ€rfen.