In. de afgelopen jaren waren veel van de ransomware-infecties en malware. af vallen. Er zijn echter enkele ransomware-families die het hebben overleefd en. nog steeds in actie. Losgeld. Troldesh aka 'Shade' is een van de overblijfselen die terug is. nieuwe gebruikers te targeten. Volgens de bronnen is Troldesh ransomware razendsnel. slaat zijn vleugels uit vanaf de tweede helft van 2018 en is nog steeds actief in 2019.
Deze duistere ransomware is een van de bedreigingen waar gebruikers in 2019 op moeten letten. Laten we eens kijken hoe de schaduw zich verspreidt? Wat zijn de symptomen? Hoe het te voorkomen?
Lees ook: Astaroth Trojan: alles wat u moet weten
Trodesh. werd voor het eerst erkend in 2014 en sindsdien speelt het verstoppertje. De. vector is vooral in het spel gekomen met malspam-achtige phishing-aanvallen. Hackers sturen kwaadaardige e-mailbijlagen en linken om mensen te targeten.
De. malware zelf wordt aangeboden als download in een beschadigd zipbestand. Wanneer gebruiker. toegang krijgt tot het bestand of download uitvoert, dan downloadt JavaScript ook de. kwaadaardige lading samen met het. De payload wordt meestal gehost op websites met. het gecompromitteerde CMS (Content Management System).
De. Shade-e-mails worden vaak vervalst. Het Troldesh-doelwit gebruikt een phishing-campagne om. richten op de slachtoffers. Aangezien de losgeldnota's van Troldesh in het Engels zijn geschreven en Russisch, dus de oorsprong van Shade wordt als Russisch beschouwd. Meestal is schaduw. geïnteresseerd in het Windows-besturingssysteem.
Als u de schadelijke bijlage of Shade-link in uw e-mail hebt ontvangen en u het bestand niet hebt uitgepakt, wordt u geen slachtoffer. Om geïnfecteerd te raken, moet u de zip uitpakken door te dubbelklikken op het JavaScript-bestand.
Een keer. de Troldesh-ransomware op het systeem is geïnstalleerd, daalt het eindnummer van. leesmij-bestanden (.txt-bestanden) op dezelfde computer. Na het volgen van de encryptie. proces, het motief van schaduw om ervoor te zorgen dat de gebruiker/het slachtoffer het losgeld leest. bericht. Deze bestanden bevatten dezelfde losgeldnota's in elk bestand.
De. normale gerichte bestandsextensies zijn zoals .odm, .j2c, .asm, .m1v, .j2k, .iqy, .jps, .ods, .odb, .obj, .potm, .pdd, .pot, .dpx, .ics, .icb, .php5, .pcx, .slk, .shtml, .sdpx, .tbx, .wpd, .wmv, .wml, .wim, .vtml, .vtx, .wav, .wbm, .wbmp, .vsd, .vtm, .vst, .vrp, .wmf, .dc3, .tiff, .tbk, .vcs, .torrent, .tdi, .u3d, .tld, .thmx, .tif, .asmx, .avs, .asa, .arw, .asx, .avs, .backup, .as, .db, .djvu, .dcm, .dc3, .dat, .doc, .dib, .docm, .dbx.
Alle bestanden worden gecodeerd met behulp van de AES 256 in de modus Cipher Block Chaining. Voor elk versleuteld bestand worden twee willekeurige 256-bits AES-sleutels gegenereerd. De eerste sleutel wordt gebruikt voor bestandsinhoud, waarbij de tweede coderingssleutel wordt gebruikt voor het coderen van de naam van het bestand. Alle bovengenoemde extensienamen worden toegevoegd na encryptie van de bestandsnaam.
Lees ook: Bijna onmogelijk te detecteren phishing-aanval, separ malware!
Net zo. voorzorg is altijd beter dan genezen, het wordt aanbevolen om de. vereiste beveiligingsmaatregelen om dergelijke aanvallen te voorkomen.
U. kan de beveiligingsaspecten serieus nemen en regelmatig een scan uitvoeren om te identificeren. de systeem- en softwarekwetsbaarheden. U kunt ook contact opnemen met een professional. beveiligingsproviders om mazen op te sporen en u te helpen met hun oplossingen.