Trigona Ransomware
Trigona lunavara on kahjulik oht, mis näib olevat enamasti suunatud äriüksuste vastu. Oht sihib rikutud seadmetesse salvestatud andmeid ja krüpteerib need piisavalt tugeva krüptoalgoritmi abil. Trigona Ransomware'i kasutanud rünnakud on juba mõjutanud paljusid organisatsioone, sealhulgas kinnisvarafirmat ja küla Saksamaal. Ohtu ja ohus osalejate organisatsiooni nimi näib põhinevat nõelamata mesilaste perekonnal. Häkkerid on loonud endale isegi logo, mis näib olevat küberneetilise mesilase kostüümis.
Mõjutatud ohvrid ei pääse enam juurde enamikule oma dokumentidest, PDF-idest, piltidest, andmebaasidest, arhiividest jne, kaotades tõhusalt potentsiaalselt olulise ja tundliku teabe. Iga lukustatud faili algsele nimele lisatakse "._locked". Lisaks esitatakse ohvritele lunaraha uue aknana, mis on loodud failist nimega 'how_to_decrypt.hta'.
Trigona lunavara üksikasjad
Kriitiliste süsteemivigade tekitamise vältimiseks jätab oht teatud kaustad vahele, näiteks Windowsi ja programmifailide asukohad. Trigona käivitab ka mitmeid käsurea argumente, et kontrollida, kas kohalikud või võrgufailid on juba krüptitud, kas Windowsi automaatkäivitusvõti on saadaval või kas kasutada VID-i (test ohvri ID) või CID-d (kampaania ID) . Tuvastatud käsurea argumendid hõlmavad järgmist:
/täis
/!autorun
/test_cid
/test_vid
/tee
/!kohalik
/!lan
/autorun_only
Lunaraha märkus ja nõuded
Trigona Ransomware taga olevad ohutegelased hoiatavad, et lisaks ohvri failide krüpteerimisele koguvad nad ka tundlikku teavet, mis võib avalikkusele lekkida. Samuti selgitab ähvarduse lunaraha, et ründajate nõutud lunaraha hind tõuseb iga tunniga. Ilmselt on ainus viis küberkurjategijateni jõudmiseks nende spetsiaalse veebisaidi kaudu, mis asub TOR-võrgus. Lunarahakirjas mainitakse, et ohvrid saavad tasuta dekrüpteerimiseks saata kuni 3 faili, kuid häkkerite veebisaidil on kirjas, et kokku saab avada viis faili. Siiski peavad valitud failid olema alla 5 MB. Sait selgitab ka, et aktsepteeritakse ainult Monero krüptovaluutat kasutades tehtud lunarahamakseid.
Trigona Ransomware märkuse täistekst on järgmine:
„KOGU VÕRK ON KRÜPTITUD
TEIE ETTEVÕTE KAOTAB RAHA
Kõik dokumendid, andmebaasid, varukoopiad ja muud olulised andmed krüpteeriti ja lekitati
Programm kasutab turvalist AES-algoritmi, mis muudab dekrüpteerimise ilma meiega ühendust võtmata võimatuks
Kui keeldute läbirääkimistest, müüakse andmed enampakkumisel
Andmete taastamiseks järgige juhiseid
Laadige alla Tor-brauser
Avage dekrüpteerimisleht
Autentimine selle võtmega
Hind sõltub sellest, kui kiiresti te meiega ühendust võtate
Abi vajama?
Ära kahtle
Tagatiseks saate 3 faili tasuta dekrüpteerida
Ära raiska aega
Dekrüpteerimise hind tõuseb iga tunniga
Ärge võtke ühendust edasimüüjatega
Nad müüvad meie teenuseid lisatasu eest
Ärge taastage faile
Täiendav taastetarkvara kahjustab teie andmeid"
