Ботнет Kelihos недавно переключился на распространение вымогателей. По словам исследователей, вредоносная программа Troldesh как раз стала одной из распространяемых этим ботнетом.

Kelihos активен уже приблизительно восемь лет и смог пережить две попытки уничтожения - в сентябре 2011 года и марте 2012 года. Этот ботнет был известен тем, что распространял в свое время вымогатели MarsJoke и Wildfire.

Как было замечено специалистами, Kelihos распространяет шифровальщик Troldesh посредством спама, содержащего URL-адреса, ведущие на файл JavaScript и документ Microsoft Word. Согласно эксперту, это первый раз, когда ботнет использует файлы JavaScript, для заражения пользователей.

Вредоносная программа шифрует пользовательские файлы и добавляет к ним расширение .no_more_ransom, что является иронической отсылкой к кампании NoMoreRansom, которая была создана для борьбы с вымогателями и помощи их жертвам.

Темы всех спам-писем, распространяющих этого вымогателя намекала на кредитную задолженность. Жертву информировали о якобы имеющейся у нее задолженности и предлагали скачать вложение, чтобы ознакомиться с подробностями. После открытия подобного вложения, происходило инфицирование компьютера вредоносной программой Troldesh.

После того, как файлы зашифрованы, вымогатель отображает пользователю записку с требованием выкупа (как на английском, так и на русском языках) на рабочем столе. Жертве рекомендуется связаться с авторами вредоноса через почту Gmail, чтобы получить инструкции, необходимые для расшифровки файлов. Также указывается, что нужно скачать браузер Tor для доступа к адресам .onion.

Кроме того, Troldesh дополнительно загружает другие вредоносные программы и связывается с командным центром по определенному адресу. Среди загружаемых Troldesh вредоносных программ присутствует Pony – вредонос, похищающий конфиденциальную информацию пользователей.