Вредонос Troldesh инфицирует целевую систему и зашифровывает пользовательские файлы

Вредоносное ПО Troldesh, детектируемое также как Win32/Troldesh, было  замечено  ИБ-исследователями в начале 2015 года, а широкое распространение вредонос получил уже в июне. Эксперты Microsoft не могут определить точную причину всплеска популярности Troldesh среди хакеров, вероятнее всего, это связано со значительным ростом использования наборов эксплоитов Axpergle и Neclu, также известного как Nuclear.

Исследователи называют Axpergle и Neclu самыми известными распространителями Troldesh. Данные наборы эксплоитов, как и большинство других, проверяют целевое устройство на наличие уязвимостей, а затем эксплуатируют бреши для инфицирования системы вредоносом Troldesh. Вредоносное ПО, в свою очередь, создает следующие файлы - %APPDATA%\windows\csrss.exe (копия вредоносной программы) и %TEMP%\state.tmp (временный файл, используемый для шифрования). Вредонос изменяет некоторые записи в системном реестре для того, чтобы запускаться каждый раз, когда включается компьютер. Как и любой другой вредонос-вымогатель, Troldesh зашифровывает и переименовывает расширение файла на .xbtl или .cbtl.

Жертва получает уведомление, в котором сказано, что нужно отправить специальный код на электронную почту злоумышленника для получения детальной инструкции. Хакеры также предупреждают, что самостоятельные попытки расшифровать файлы приведут к безвозвратной потере данных. Troldesh также изменяет обои рабочего стола на сообщение на русском и английском языках о том, что файлы были зашифрованы.

ИБ-исследователи сообщили, что Troldesh больше всего используется в Украине и в России. На третьем и четвертом местах расположились Бразилия и Турция соответственно. Специалисты Microsoft не рекомендуют перечислять злоумышленникам деньги, так как нет никаких гарантий того, что файлы жертвы будут расшифрованы.