Sodinokibi verbreitet sich über gefälschte Foren. Deren Betreiber hacken Websites Wordpress und einbetten JavaScript-Code, der Beiträge aus dem gefälschten Q zeigt&Ein Forum auf der ursprünglichen Website-Content.
Messages enthält eine angebliche „Antwort vom Administrator“ der Website mit einem aktiven Link zu dem Installateur des Ransomware-Programms.Laut der aktuellen Veröffentlichung in BleepingComputer, ein JS-Skript in HTML-Code Angreifer hacken Websites und einbetten. Die eingebettete URL wird für alle Besucher aktiv sein, aber funktioniert nur, wenn der Benutzer die Website zum ersten Mal besucht oder hat die Website für einen bestimmten Zeitraum besucht.
Wenn es ein erstes Mal des Besuchs auf einer Website, wird eine gefälschte Nachricht von der Q erscheinen&Ein Forum, die sich über die Inhalte des Web-Portals angezeigt werden.
Der Benutzer wird nichts vermuten, da die gefälschte Nachricht auf dem Forum ist es, den Inhalt der gehackten Seite verwandte.
„Für den Benutzer, die oben sieht aus wie der normale Standort wie der Inhalt des gefälschten Forenbeitrages wird auf den Inhalt der gehackten Seite verbunden, aber in Wirklichkeit ist nur ein Overlay von dem Skript erstellt“, - Berichte BleepingComputer.
Wenn der Benutzer aktualisiert die Seite wieder, das Skript wird nicht funktionieren und der üblicher Inhalt der Ressource wird stattdessen angezeigt.
jedoch, wenn der Benutzer nicht aktualisiert die Seite, er wird eine Frage angeblich von einem anderen Besucher und die Administrators Reaktion mit einem aktiven Link sehen.
“Hallo, Ich suche Kündigungsschreiben Vertrag Fotokopierer Modell zum Download. Ein Freund erzählte mir, dass er auf dem Forum. Kannst du mir helfen?”
Als Antwort auf die Frage, eine gefälschte Antwort wird vom Admin zur Verfügung gestellt werden, die einen Link zu dem begehrten Vertrag sehen.
“Hier ist ein direkter Download-Link, Modell Kündigungsschreiben Vertrag Kopierer.”
Ein Klick auf den Link wird das Zip-Archiv von einem anderen gehackten Website herunterladen. Die Datei enthält verschleierten Code, der eine große Menge von Daten von einem Remote-Server herunterlädt, die nach der Entschlüsselung wird auf dem Computer als GIF-Datei gespeichert.
Die Datei enthält einen leicht verschleierten Powershell-Befehl verwendet Sodinokibi Ransomware zum Download.
lesen Sie auch: Hacker nutzen Schwachstellen in mehr als 10 Wordpress-Plugins in einer Kampagne
Während des Verschlüsselungsprozesses, Angreifer Schattenkopien der Datei löschen und geben die Löse Anforderungen und Informationen darüber, wie die Entschlüsselungsvorrichtung in der beigefügten Notiz erwerben.
So schützen Sie sich von einem Angriff wie dieser, sicher sein, eine Art von Sicherheits-Software mit Echtzeit-Schutz installiert haben und niemals Dateien ausführen, die mit dem Ende .js Erweiterung.
