Чергова кампанія розсилання електронних листів з шифрувальником Troldesh

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять rar-архів, що містить js-скрипт, який вже завантажує шкідливе ПЗ типу #ransomeware #troldesh.

Рівень загрози: СЕРЕДНІЙ

Зразкок електронного повідомлення:

Детальний опис:

Лист містить вкладення rar-архів, пароль до якого вказано у тексті листа, тому у більшості випадків легко проходить минаючи системи захисту організації.

Після запуску сценарію js-скрипт Подробности заказа АО «Авиакомпания «РОЯЛ ФЛАЙТ».js відбувається звернення до інструменту командного рядка

та завантаження шкідливого виконуваного файлу через https з mikesfitnesschallenge.com ip 104.27.130.82

C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet

Files\Content.IE5\H6QNMHE9\hp[1].gf та подальший запуск як C:\Users\admin\AppData\Local\Temp\rad80A7A.tmp

Шкідливий виконуваний файл rad80A7A.tmp є зразком Ransomware/Troldesh, який в результаті функціонування створює виконуваний файл у

Шляхом звернення до веб-ресурсів whatismyipaddress.com та whatsmyip.net здійснює перевірку ІР-адреси, виконує завантаження крипто-бібліотек для подальшого шифрування.

Також відбувається завантаження файлів-інструкцій README.txt із зовнішніх веб-ресурсів, запускається утиліта

тіньового копіювання томів C:\Windows\system32\vssadmin.exe та утиліта C:\Windows\system32\chcp.com.

Після закінчення процесу шифрування на екран виводиться повідомлення про зашифрування, а на робочому столі розміщуються файли інструкцій.

Поштовий лист –> rar-архів –> java-скрипт (.js) –> exe-файл –> Trojan/Ransomware/Troldesh

Механізм роботи:

Індикатори кіберзагроз:

Main object- "Подробности заказа АО «Авиакомпания «РОЯЛ ФЛАЙТ».js"
sha256 b009ab9bfec6e149e69f7bde46475600243637a7025de979cdb7ddb626b0b7f2
sha1 51b80e049c8ef5d4363277af6508f65c08e0ad91
md5 9815b3fbaed85b0da5a69d2eaf99d20f
Dropped executable file
sha256 C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H6QNMHE9\hp[1].gf - b5684501d0aad591ad4248ad10bd83d2489da9eada54e7b8547ae695a47eed05
DNS requests
domain www.themumshop.com
domain mikesfitnesschallenge.com
domain whatsmyip.net
domain whatismyipaddress.com
Connections
ip 68.183.131.83
ip 171.25.193.9
ip 104.27.130.82
ip 136.243.247.90
ip 37.187.75.165
ip 104.16.155.36
ip 213.254.32.26
ip 86.59.21.38
ip 104.18.35.131
HTTP/HTTPS requests
url hxxp://whatismyipaddress.com/
url hxxp://whatsmyip.net/
url mikesfitnesschallenge.com