بازگشت باجافزار Troldesh و انتشار آن از طریق فایلهای ورد و حملات بروت فورس بر روی پروتکل RDP
مراقب باشید!
باجافزار Troldesh مجدداً بازگشته و در سراسر جهان در حال انتشار است...
باجافزار Troldesh، با نام مستعار «Encoder.858» یا «سایه»، یک تروجان و یک نوع باجافزار رمزنگاری است که حدود دو سال پیش در روسیه ایجاد شده و در سراسر جهان گسترش یافت. این بدافزار تمامی اطلاعات شخصی کاربر را رمزنگاری نموده و در ازای رمزگشایی فایلها از کاربر باج درخواست مینمود.
گونهی قبلی این باجافزار فایلهای کاربر را رمزنگاری نموده و پسوند “xtbl.” را به انتهای آنها میافزود، این در حالی است که گونهی جدید پسوند “no_more_ransom.” را به انتهای فایلهای آلوده میافزاید.
آزمایشگاههایی که این باجافزار را مورد تجزیه و تحلیل قرار دادند مشاهده نمودند که باجافزار از طریق حملات بروت فورس بر روی پروتکل RDP، ایمیلهای اسپم و فیشینگ و Exploit Kitها گسترش مییابد.
مهاجم به منظور دست یافتن به اطلاعات ورود به سیستم، پورت پیشفرض RDP، یعنی پورت ۳۳۸۹ را مورد هدف قرار داده و حمله بروت فورس را بر روی آن انجام میدهد، در صورتی که موفق شود به سیستم نفوذ کرده و کنترل آن را به دست بگیرد، آنگاه payload را به صورت مستقیم بر روی سیستم قربانی اجرا میکند.
از دیگر روشهای انتشار این باجافزار ایمیلهای اسپم و فیشینگ میباشد، که یک فایل ورد حاوی macro را دانلود نموده و یا خود، به طور مستقیم payload را اجرا میکنند.
فرآیند آلوده شدن به باجافزار Troldesh
زمانی که payload مخرب برای اولین بار اجرا میشود، خود را در مسیر “ AppData\Roaming\ “ کپی نموده و فایل دانلود شده را حذف میکند، سپس کپی payload را از مسیر AppData اجرا مینماید.
payload، اجرا شده و یک task زمانبندی شده به نام Encrypter را راهاندازی میکند، زمانبندی آن به گونهای است که با زمان انتظار ۱ ساعت و زمان محدودیت اجرای ۷۲ ساعت، هر یک دقیقه یک بار اجرا شود.
زمانی که payload مخرب اجرا گردد، فایلهای موجود در سیستم را رمزگذاری نموده و پسوند “no_more_ransom.” را به انتهای آنها میافزاید، سپس پیغام زیر را به کاربر نشان میدهد:
در سه ماهه دوم سال ۲۰۱۸، این باجافزار با نسخههای جدید GandCrab، Sigma، GlobeImposter بازمیگردد.
کار اصلی تهدیدات سایبری مانند باجافزارها این است که کامپیوتر شما را آلوده نموده و فایلهای شما را قفل نمایند و در ازای بازگشایی فایلها از شما درخواست باج نمایند.
*توصیه میشود تمامی ایمیلهای خود را به منظور یافتن لینکهای مخرب، محتوا و یا پیوستهای مخرب اسکن نموده و برای به حداقل رساندن میزان آلودگی به چنین تهدیداتی، شبکه فیزیکی و منطقی را تفکیک نمایید.
منبع خبر: https://gbhackers.com/troldesh-ransomware-word-document/
