Troldesh Ransomware

Troldesh представляет собой ransomware - вредоносную программу, которая требует оплаты для разблокировки зашифрованных файлов. Она также может искать и красть информацию из банковских программ, если таковые обнаружены на зараженном компьютере.

27 апреля 2020 года авторы Troldesh ransomware объявили, что прекратили распространение этой программы и опубликовали ключи дешифровки с дешифратором и инструкциями. Они извинились перед всеми жертвами трояна и выразили надежду, что опубликованные ими ключи помогут им восстановить свои данные. По такому же сценарию действовали и другие авторы ransomware, даже печально известный Maze.

Что такое вымогательское ПО Troldesh?

Troldesh, также известная как Encoder.858, - это ransomware, принадлежащая к семейству Shade ransomware. Она была создана в 2014 году. Вредоносная программа шифрует файлы на компьютере жертвы и требует выкуп за восстановление данных.

Пытаясь получить как можно больше информации, вредоносная программа также сканирует целевой компьютер на наличие банковских файлов или банковских программ, чтобы выжать все до последней копейки.

Общее описание Troldesh

Атакуя пользователей Windows в основном в России, Украине и Германии, Troldesh является одним из наиболее распространенных программ-шифровальщиков.

В дополнение к этому поведению, Troldesh ransomware часто поставляется в сочетании с двумя конкретными образцами вредоносного ПО, а именно Mexar и Teamspy, что позволяет злоумышленникам удаленно контролировать ПК жертвы и дает вирусу возможность устанавливать на зараженный ПК другие вредоносные программы, включая трояны.

Фактически, в отличие от большинства других программ-вымогателей Nemty или других, этот вирус не прекращает выполнение после шифрования файлов жертвы. Вместо этого он запускает бесконечный цикл, в котором запрашивает URL-адреса других вредоносных программ с командного сервера, загружая и устанавливая их на зараженную машину. Такая стратегия означает, что большинство жертв, зараженных Troldesh, могут оказаться с целым рядом инфекций на своем компьютере. И даже с помощью инструментов удаления и дешифровщиков избавиться от этой проблемы может быть непросто.

Несмотря на то, что сама вредоносная программа за время своего существования не претерпела значительных изменений, изменился метод злоумышленников требовать выкуп. Первые образцы вредоносного ПО использовали для предоставления адреса электронной почты, по которому жертва могла связаться с хакерами и договориться об оплате. В более новых кампаниях узел выкупа требует от жертв использовать браузер Tor для перехода на страницу оплаты, расположенную в "темной паутине".

Trodlesh, как часть семейства Shade, имеет несколько общих черт с родственными вредоносными программами: они написаны на C++, используют CTL, используют статическую ссылку с Tor-клиентом. Каждый конкретный образец вредоносной программы также имеет жестко закодированный URL-адрес командного сервера. Известно также, что вредоносные программы этого семейства демонстрируют схожее или идентичное поведение. Так, они создают десять одинаковых записок с выкупом на двух языках - русском и английском - и называют их README1.txt или README10.txt.

Процесс выполнения Troldesh

Troldesh ransomware распространяется в виде файла сценария, либо Javascript, либо JScript. Обычно эти файлы упаковываются в архивный файл, который иногда защищен паролем.  Следует отметить, что в случае с Troldesh исполняемые файлы обычно имеют "не вызывающие подозрений" расширения наряду с такими, как .jpg. После загрузки файлы переименовываются и исполняются.

После запуска файл сразу же начинал выполнять вредоносную деятельность, а именно: шифровать файлы, красть личные данные, удалять теневые копии и изменять значения автозапуска в реестре. Известно, что файлы, зашифрованные последними версиями Troldesh, имеют расширение .crypted000007. Наконец, после завершения шифрования вредоносный исполняемый файл выбрасывал на рабочий стол инструкции по выкупу.

Как избежать заражения Troldesh?

Поскольку Troldesh обычно распространяется с помощью вредоносных спам-кампаний, имитирующих настоящие информационные бюллетени компаний, хорошим способом обезопасить себя является тщательная проверка подлинности писем перед загрузкой любых вложений. При необходимости можно связаться с компанией, которая предположительно является автором рассылки, и подтвердить, что именно она отправила письмо.

После заражения Troldesh устанавливает на компьютер жертвы несколько вторичных образцов вредоносного ПО, поэтому после удаления Troldesh - вредоносного ПО с компьютера, необходимо провести глобальное сканирование системы и убедиться, что машина не кишит другими вирусами.

Распространение Troldesh

Известно, что Troldesh ransomware использует два основных вектора атаки - спам по электронной почте и наборы эксплойтов. Вредоносные спам-кампании обычно имитируют легитимные информационные рассылки от реальных российских компаний, включая банки и крупные сети супермаркетов. Сами письма содержат архивный файл, в который включен еще один файл скрипта.

После распаковки архива и нажатия на файл устанавливается вредоносный загрузчик. Он, в свою очередь, загружает и устанавливает основную полезную нагрузку - сам Troldesh. Известно, что загрузчик хранится на легитимных, но взломанных сайтах WordPress, где он скрыт в виде файла изображения.

Также известно, что Troldesh использует наборы эксплойтов Axpergle и Nuclear, и эти атаки, пожалуй, более опасны, чем почтовый спам, поскольку не требуют активных действий от пользователя для начала процесса заражения. Вместо этого, после посещения скомпрометированного URL-адреса, который может быть веб-сайтом, размещенным злоумышленниками, или легитимным веб-сайтом, который был взломан, вредоносная программа использует уязвимость либо в самом браузере, либо в одном из плагинов браузера, успешно проникает на компьютер пользователя и начинает автоматическое выполнение. Таким образом, жертвы могут заразиться, даже не осознавая опасности, поэтому обзаведитесь программой для удаления и дешифратором.

Связь с C&C

Информация об адресах серверов C&C вложена в тело каждого образца вредоносного ПО. Сами серверы размещаются в темной паутине, а связь устанавливается с помощью клиента Tor.

После установки на компьютер жертвы вредоносная программа запрашивает у сервера значение открытого ключа для шифрования файлов жертвы. Если попытка соединения не удается, вирус использует одно из ста значений закрытого ключа, хранящихся в его памяти.

Заключение

Troldesh - чрезвычайно опасная программа-вымогатель, способная заразить жертв, которые просто зашли не туда и не вовремя, попав на сайт, взломанный злоумышленниками. В отличие от многих других программ-вымогателей, которые просто требуют деньги в обмен на зашифрованные данные пользователя, Troldesh не останавливается на достигнутом и идет дальше, распространяя другие опасные образцы вредоносного ПО на ПК жертвы.

Поделиться с друзьями
SEC-1275-1