Вредонос Troldesh инфицирует целевую систему и зашифровывает файлы

Вредонос TroldeshХакеры требуют выкуп за расшифровку важных данных пользователей из России и Украины.

Вредоносное ПО Troldesh, детектируемое также как Win32/Troldesh, было замечено ИБ-исследователями в начале 2015 года, а широкое распространение вредонос получил уже в июне. Эксперты Microsoft не могут определить точную причину всплеска популярности Troldesh среди хакеров, вероятнее всего, это связано со значительным ростом использования наборов эксплоитов Axpergle и Neclu, также известного как Nuclear.

Исследователи называют Axpergle и Neclu самыми известными распространителями Troldesh. Данные наборы эксплоитов, как и большинство других, проверяют целевое устройство на наличие уязвимостей, а затем эксплуатируют бреши для инфицирования системы вредоносом Troldesh. Вредоносное ПО, в свою очередь, создает следующие файлы — %APPDATA%\windows\csrss.exe (копия вредоносной программы) и %TEMP%\state.tmp (временный файл, используемый для шифрования). Вредонос изменяет некоторые записи в системном реестре для того, чтобы запускаться каждый раз, когда включается компьютер. Как и любой другой вредонос-вымогатель, Troldesh зашифровывает и переименовывает расширение файла на .xbtl или .cbtl.

Жертва получает уведомление, в котором сказано, что нужно отправить специальный код на электронную почту злоумышленника для получения детальной инструкции. Хакеры также предупреждают, что самостоятельные попытки расшифровать файлы приведут к безвозвратной потере данных. Troldesh также изменяет обои рабочего стола на сообщение на русском и английском языках о том, что файлы были зашифрованы.

ИБ-исследователи сообщили, что Troldesh больше всего используется в Украине и в России. На третьем и четвертом местах расположились Бразилия и Турция соответственно. Специалисты Microsoft не рекомендуют перечислять злоумышленникам деньги, так как нет никаких гарантий того, что файлы жертвы будут расшифрованы.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Вредонос Troldesh инфицирует целевую систему и зашифровывает файлы