Идёт очередная массовая рассылка вируса-вымогателя Troldesh

С конца сентября началась очередная волна массовой вируса-шифровальщика Troldesh (Shade). Цель злоумышленников — запустить программу в локальной сети компании, зашифровать файлы и запросить выкуп.
«Ростелеком-Solar» предупреждает: сейчас идёт очередная волна массовой рассылки вируса-шифровальщика Troldesh.

27 сентября эксперты JSOC CERT зафиксировали начало массовой вредоносной рассылки вируса-шифровальщика Troldesh. Его функциональность шире, чем просто у шифровальщика: помимо модуля шифрования в нем есть возможность удаленного управления рабочей станцией и дозагрузки дополнительных модулей.

В марте этого года РТК-Solar уже информировал об эпидемии Troldesh — тогда вирус маскировал свою доставку с помощью IoT-устройств. Теперь же для этого используются уязвимые версии WordPress и интерфейса cgi-bin. Рассылка ведется с разных адресов и содержит в теле письма ссылку на скомпрометированные web-ресурсы с компонентами WordPress. По ссылке располагается архив, содержащей скрипт на языке Javascript. В результате его исполнения скачивается и запускается шифровальщик Troldesh.

Вредоносные письма не детектируются большинством средств защиты, так как содержат ссылку на легитимный web-ресурс, однако сам шифровальщик на текущий момент детектируется большинством производителей средств антивирусного ПО. Отметим: так как вредонос общается с C&C-серверами, расположенными в сети Tor, потенциально возможно скачивание на зараженную машину дополнительных внешних модулей нагрузки, способных «обогатить» его.

Из общих признаков данной рассылки можно отметить:
(1) пример темы рассылки — «О заказе»
(2) все ссылки имеют внешнее сходство — содержат ключевые слова /wp-content/ и /doc/, например:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) вредонос обращается через Tor c различными серверами управления
(4) создается файл Filename: C:\ProgramData\Windows\csrss.exe, в реестре прописывается в ветке SOFTWARE\Microsoft\Windows\CurrentVersion\Run (имя параметра — Client Server Runtime Subsystem).

Troldesh — старый криптовымогатель, впервые замеченный ещё в 2015 году. Он также известен под названиями Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Злоумышленники регулярно меняют упаковщик и успешно обходят антивирусные средства защиты. К концу 2018 году Troldesh вошёл в топ-3 самых популярных вирусов-шифровальщиков, наряду с RTM и Pony.

Центр управления Troldesh располагается в сети Tor и постоянно меняет адрес домена, что осложняет его блокировку.

Troldesh продаётся и сдаётся в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но ещё майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы. #bryakingnews