从今天开始到现在,JSOC CERT专家已经记录了Troldesh勒索软件病毒的大规模恶意分发。 它的功能比加密器更广泛:除了加密模块之外,它还具有远程控制工作站并重新加载其他模块的能力。 在今年3月,我们已经
了解了Troldesh流行病-然后该病毒掩盖了使用物联网设备的传播。 现在,使用易受攻击的WordPress版本和cgi-bin接口。
该新闻通讯是从不同的地址进行的,并且在信件的正文中包含指向使用WordPress组件破坏的Web资源的链接。 该链接包含一个归档文件,该归档文件包含Java语言的脚本。 执行结果是,下载并启动了Troldesh勒索软件。
大多数防护工具都不会检测到恶意消息,因为它们包含指向合法Web资源的链接,但是大多数防病毒软件制造商目前都检测到加密器本身。 注意:由于恶意软件与Tor网络上的C&C服务器通信,因此有可能将其他外部加载模块下载到受感染的计算机上,从而“丰富”它。
在此新闻稿的常见标志中,您可以注意:
(1)一个时事通讯主题的示例-“关于订单”
(2)所有链接都具有外部相似性-它们包含关键字/ wp-content /和/ doc /,例如:
Horsesmouth [。]机构/ wp-content /主题/ InspiredBits /图片/虚拟/ doc / doc /
www.montessori-academy [。]组织/ wp-content /主题/校园/神话核心/核心资产/图像/社会图标/长阴影/ doc /
Chestnutplacejp [。] com / wp-content / ai1wm-backups / doc /
(3)通过Tor c各种管理服务器进行恶意软件访问
(4)创建文件Filename:C:\ ProgramData \ Windows \ csrss.exe,它在SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run分支的注册表中注册(参数名称为Client Server Runtime Subsystem)。
我们建议您验证防病毒软件数据库的相关性,考虑将这种威胁告知员工,并在可能的情况下加强对带有上述标志的传入电子邮件的控制。