• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Troldesh: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,896
Решения
1
Реакции
6,527
Шифровальщик-вымогатель Troldesh: Технология распространения

Вредонос Troldesh, детектируемый Microsoft как Win32/Troldesh, известен у специалистов с начала 2015 года, а широкое распространение он получил лишь в июне этого года. Использует расширение первой версии Shade (.xtbl). Варианты названия (алиасы): XBTL.

trol_001.webp

По мнению экспертов причина всплеска популярности Troldesh среди хакеров может быть связана с ростом использования наборов эксплоитов Axpergle и Neclu, также известного как Nuclear. Их называют самыми известными распространителями вред ПО Troldesh.

trol_002.webp

Они проверяют целевое устройство на наличие уязвимостей, а затем эксплуатируют бреши для инфицирования системы вредоносом Troldesh. Последний, в свою очередь, создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования). Troldesh зашифровывает пользовательских файлы, переименовывает их расширение на .xbtl или .cbtl, изменяет записи в реестре системы для самозапуска при включении компьютера.

trol_003.webp trol_005.webp
Пострадавшая сторона получает уведомление с требованием отправить специальный код из файла Key.txt (или сам файл) на email злоумышленника для получения инструкции и предупреждение о том, что все попытки расшифровать файлы приведут к безвозвратной потере данных. Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы.

trol_005-2.webp trol_004.webp

По статистике исследователей злонамеренная деятельность Troldesh чаще всего зафиксирована в России, Украине, а также в гораздо меньшей степени в Бразилии, Турции.

trol_006.webp

Перечислять злоумышленникам деньги не рекомендуется, т.к. нет никаких гарантий того, что вымогатели в обмен на деньги действительно что-то расшифруют, а не скроются в неизвестном направлении.

 
Microsoft Malware Protection Center сообщил о появлении новой версии вымогателя Troldesh.

Новый вариант Troldesh претерпел ряд изменений:
- записки о выкупе получили ссылки на адрес в сети Tor для обратной связи (ранее был email-адрес);
- есть некая □-ошибка в вымогательском тексте изображения, встающего обоями рабочего стола;
- зашифрованные файлы теперь получают расширения .da_vinci_code и .magic_software_syndicate;
- новая версия вредоноса теперь доставляется на компьютер с помощью трояна Mexar.

Все технические подробности см. в боге Microsoft >>>
Или на обновленной странице вредоноса >>>
 
Назад
Сверху Снизу