勒索软件Troldesh借助被入侵网站传播(2019.8.16)

Sucuri研究人员在近几周内发现勒索软件Troldesh的恶意活动。攻击者通过恶意电子邮件或社交媒体等服务传播恶意URL。点击恶意URL后，将下载JScript文件到受害者的Windows主机上。JScript文件名用俄语写成，主题为“JSC航空公司乌拉尔航空公司订单的详细信息”，这表明攻击者可能试图针对该航空公司用户。该文件被执行后将从入侵的网站上下载托管的勒索软件可执行文件来开始感染受害者计算机。攻击者还使用至少两个被入侵的网站进行托管勒索软件的备份。加密期间，攻击者收集受感染系统及其文件数据，然后使用TOR连接泄露到远程服务器。完整报告可在blog.sucuri.net下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理