• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Troldesh: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,133
Баллы
803
Шифровальщик-вымогатель Troldesh: Технология распространения

Вредонос Troldesh, детектируемый Microsoft как Win32/Troldesh, известен у специалистов с начала 2015 года, а широкое распространение он получил лишь в июне этого года. Использует расширение первой версии Shade (.xtbl). Варианты названия (алиасы): XBTL.

trol_001.png

По мнению экспертов причина всплеска популярности Troldesh среди хакеров может быть связана с ростом использования наборов эксплоитов Axpergle и Neclu, также известного как Nuclear. Их называют самыми известными распространителями вред ПО Troldesh.

trol_002.png
Они проверяют целевое устройство на наличие уязвимостей, а затем эксплуатируют бреши для инфицирования системы вредоносом Troldesh. Последний, в свою очередь, создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования). Troldesh зашифровывает пользовательских файлы, переименовывает их расширение на .xbtl или .cbtl, изменяет записи в реестре системы для самозапуска при включении компьютера.

trol_003.png trol_005.png
Пострадавшая сторона получает уведомление с требованием отправить специальный код из файла Key.txt (или сам файл) на email злоумышленника для получения инструкции и предупреждение о том, что все попытки расшифровать файлы приведут к безвозвратной потере данных. Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы.

trol_005-2.jpg trol_004.png

По статистике исследователей злонамеренная деятельность Troldesh чаще всего зафиксирована в России, Украине, а также в гораздо меньшей степени в Бразилии, Турции.

trol_006.png
Перечислять злоумышленникам деньги не рекомендуется, т.к. нет никаких гарантий того, что вымогатели в обмен на деньги действительно что-то расшифруют, а не скроются в неизвестном направлении.

 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,133
Баллы
803
Microsoft Malware Protection Center сообщил о появлении новой версии вымогателя Troldesh.

Новый вариант Troldesh претерпел ряд изменений:
- записки о выкупе получили ссылки на адрес в сети Tor для обратной связи (ранее был email-адрес);
- есть некая □-ошибка в вымогательском тексте изображения, встающего обоями рабочего стола;
- зашифрованные файлы теперь получают расширения .da_vinci_code и .magic_software_syndicate;
- новая версия вредоноса теперь доставляется на компьютер с помощью трояна Mexar.

Все технические подробности см. в боге Microsoft >>>
Или на обновленной странице вредоноса >>>
 
Сверху Снизу