Troldesh: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 10 авг 2015.

Метки:
  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель Troldesh: Технология распространения

    Вредонос Troldesh, детектируемый Microsoft как Win32/Troldesh, известен у специалистов с начала 2015 года, а широкое распространение он получил лишь в июне этого года. Использует расширение первой версии Shade (.xtbl). Варианты названия (алиасы): XBTL.

    trol_001.png

    По мнению экспертов причина всплеска популярности Troldesh среди хакеров может быть связана с ростом использования наборов эксплоитов Axpergle и Neclu, также известного как Nuclear. Их называют самыми известными распространителями вред ПО Troldesh.

    trol_002.png
    Они проверяют целевое устройство на наличие уязвимостей, а затем эксплуатируют бреши для инфицирования системы вредоносом Troldesh. Последний, в свою очередь, создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования). Troldesh зашифровывает пользовательских файлы, переименовывает их расширение на .xbtl или .cbtl, изменяет записи в реестре системы для самозапуска при включении компьютера.

    trol_003.png trol_005.png
    Пострадавшая сторона получает уведомление с требованием отправить специальный код из файла Key.txt (или сам файл) на email злоумышленника для получения инструкции и предупреждение о том, что все попытки расшифровать файлы приведут к безвозвратной потере данных. Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы.

    trol_005-2.jpg trol_004.png

    По статистике исследователей злонамеренная деятельность Troldesh чаще всего зафиксирована в России, Украине, а также в гораздо меньшей степени в Бразилии, Турции.

    trol_006.png
    Перечислять злоумышленникам деньги не рекомендуется, т.к. нет никаких гарантий того, что вымогатели в обмен на деньги действительно что-то расшифруют, а не скроются в неизвестном направлении.

     
    Kиpилл и Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Microsoft Malware Protection Center сообщил о появлении новой версии вымогателя Troldesh.

    Новый вариант Troldesh претерпел ряд изменений:
    - записки о выкупе получили ссылки на адрес в сети Tor для обратной связи (ранее был email-адрес);
    - есть некая □-ошибка в вымогательском тексте изображения, встающего обоями рабочего стола;
    - зашифрованные файлы теперь получают расширения .da_vinci_code и .magic_software_syndicate;
    - новая версия вредоноса теперь доставляется на компьютер с помощью трояна Mexar.

    Все технические подробности см. в боге Microsoft >>>
    Или на обновленной странице вредоноса >>>
     
    Kиpилл и Охотник нравится это.

Поделиться этой страницей