Dari awal hari ini hingga saat ini, para ahli JSOC CERT telah mencatat penyebaran besar-besaran virus ransomware Troldesh. Fungsionalitasnya lebih luas dari pada enkripsi: selain modul enkripsi, ia memiliki kemampuan untuk mengontrol workstation dari jarak jauh dan memuat kembali modul tambahan. Pada bulan Maret tahun ini, kami telah
menginformasikan tentang epidemi Troldesh - kemudian virus menutupi pengirimannya menggunakan perangkat IoT. Sekarang, versi WordPress yang rentan dan antarmuka cgi-bin digunakan untuk ini.
Newsletter ini dilakukan dari berbagai alamat dan di dalam surat itu terdapat tautan ke sumber daya web yang dikompromikan dengan komponen WordPress. Tautan berisi arsip yang berisi skrip dalam bahasa Javascript. Sebagai hasil dari pelaksanaannya, ransomware Troldesh diunduh dan diluncurkan.
Pesan berbahaya tidak terdeteksi oleh sebagian besar alat perlindungan, karena mengandung tautan ke sumber daya web yang sah, tetapi penyandinya sendiri saat ini terdeteksi oleh sebagian besar produsen perangkat lunak anti-virus. Catatan: karena malware berkomunikasi dengan server C&C yang terletak di jaringan Tor, ada kemungkinan untuk mengunduh modul muatan eksternal tambahan ke mesin yang terinfeksi yang dapat "memperkaya" itu.
Dari tanda-tanda umum buletin ini, Anda dapat mencatat:
(1) Contoh topik buletin - โTentang Pesananโ
(2) semua tautan memiliki kesamaan eksternal - tautan tersebut berisi kata kunci / wp-content / dan / doc /, misalnya:
Horsesmouth [.] Org / wp-content / tema / InspiredBits / gambar / dummy / doc / doc /
www.montessori-academy [.] org / wp-content / tema / kampus / mitologi-inti / aset-inti / gambar / sosial-ikon / bayangan panjang / doc /
chestnutplacejp [.] com / wp-content / ai1wm-backups / doc /
(3) malware mengakses melalui Tor c berbagai server manajemen
(4) file Nama file dibuat: C: \ ProgramData \ Windows \ csrss.exe, terdaftar di registri di PERANGKAT LUNAK \ Microsoft \ Windows \ CurrentVersion \ Jalankan cabang (nama parameter adalah Client Server Runtime Subsystem).
Kami menyarankan Anda memverifikasi relevansi database alat perangkat lunak anti-virus, pertimbangkan untuk memberi tahu karyawan tentang ancaman ini, dan, jika mungkin, kencangkan kontrol atas email yang masuk dengan tanda-tanda di atas.