- PVSM.RU - https://www.pvsm.ru -
Сайт знаменитой компании по сертификации в области информационной безопасности EC Council [1] начиная с понедельника 21го марта 2016 заражал посетителей вымогательским ПО TeslaCrypt.
Как описывает источник [2] в своем блоге (Yonathan Klijnsma), атаке были подвержены определенные пользователи с некоторых стран, а именно:
После перенаправления со страниц сайта, жертва попадала в итоге на страницу Angler exploit kit где используется flash или silverlight компоненты для експлуатации уязвимости. Angler exploit kit сначала запускает троян ‘Bedep’ на машине жертвы, который загружает последний пэйлоад payload.
Как описано в источнике, скорее всего сайт компании EC Council использует известный CMS WordPress с уязвимым модулем, который и оказался дырявым и привел к заражению.
После заражения TeslaCrypt треубет от жертвы 1.5 BTC или 622$ для расшифровки файлов.
Для дополнительной информации Yonathan оставил адреса серверов управления и распространения малвари, так что в корпоративных сетях можно добавить этот список в blacklist:
Bedep C&C:
TeslaCrypt C&C:
Автор: Ml1ght
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/116082
Ссылки в тексте:
[1] EC Council: https://www.eccouncil.org/
[2] источник: http://blog.fox-it.com/2016/03/24/website-of-security-certification-provider-spreading-ransomware/
[3] Источник: https://habrahabr.ru/post/280139/
Нажмите здесь для печати.