Ботнет Kelihos распространяет вымогателя Troldesh

Ботнет Kelihos недавно переключился на распространение вымогателей. По словам исследователей, вредоносная программа Troldesh как раз стала одной из распространяемых этим ботнетом.

Kelihos активен уже приблизительно восемь лет и смог пережить две попытки уничтожения - в сентябре 2011 года и марте 2012 года. Этот ботнет был известен тем, что распространял в свое время вымогатели MarsJoke и Wildfire.

Как было замечено специалистами, Kelihos распространяет шифровальщик Troldesh посредством спама, содержащего URL-адреса, ведущие на файл JavaScript и документ Microsoft Word. Согласно эксперту, это первый раз, когда ботнет использует файлы JavaScript, для заражения пользователей.

Вредоносная программа шифрует пользовательские файлы и добавляет к ним расширение .no_more_ransom, что является иронической отсылкой к кампании NoMoreRansom, которая была создана для борьбы с вымогателями и помощи их жертвам.

Темы всех спам-писем, распространяющих этого вымогателя намекала на кредитную задолженность. Жертву информировали о якобы имеющейся у нее задолженности и предлагали скачать вложение, чтобы ознакомиться с подробностями. После открытия подобного вложения, происходило инфицирование компьютера вредоносной программой Troldesh.

После того, как файлы зашифрованы, вымогатель отображает пользователю записку с требованием выкупа (как на английском, так и на русском языках) на рабочем столе. Жертве рекомендуется связаться с авторами вредоноса через почту Gmail, чтобы получить инструкции, необходимые для расшифровки файлов. Также указывается, что нужно скачать браузер Tor для доступа к адресам .onion.

Кроме того, Troldesh дополнительно загружает другие вредоносные программы и связывается с командным центром по определенному адресу. Среди загружаемых Troldesh вредоносных программ присутствует Pony – вредонос, похищающий конфиденциальную информацию пользователей.