Trigona-ransomware
De Trigona Ransomware is een schadelijke dreiging die vooral lijkt te worden ingezet tegen zakelijke entiteiten. De dreiging zal zich richten op de gegevens die zijn opgeslagen op de geschonden apparaten en deze versleutelen met een voldoende sterk cryptografisch algoritme. Aanvallen met de Trigona Ransomware hebben al tal van organisaties getroffen, waaronder een vastgoedbedrijf en een dorp in Duitsland. De naam van de organisatie van de dreiging en de dreigingsactor lijkt te zijn gebaseerd op een familie van angelloze bijen. De hackers hebben zelfs een logo voor zichzelf gemaakt van wat lijkt op een persoon in een cybernetisch bijenkostuum.
De getroffen slachtoffers zullen niet langer toegang hebben tot de meeste van hun documenten, pdf's, afbeeldingen, databases, archieven, enz., waardoor potentieel vitale en gevoelige informatie effectief verloren gaat. Aan elk vergrendeld bestand wordt '._locked' toegevoegd aan de oorspronkelijke naam. Bovendien zal er een losgeldbrief aan de slachtoffers worden gepresenteerd in de vorm van een nieuw venster dat is gemaakt op basis van een bestand met de naam 'how_to_decrypt.hta'.
De Trigona Ransomware-details
Om kritieke systeemfouten te voorkomen, slaat de dreiging bepaalde mappen over, zoals de locaties van Windows en Program Files. Trigona voert ook verschillende opdrachtregelargumenten uit, om te controleren of lokale of netwerkbestanden al zijn gecodeerd, of er een Windows-autorun-sleutel beschikbaar is, of om een VID (test Victim ID) of CID (Campagne-ID) te gebruiken. . De geïdentificeerde opdrachtregelargumenten omvatten:
/vol
/!autorun
/test_cid
/test_vid
/pad
/!lokaal
/!lan
/autorun_only
Losgeldbrief en eisen
De bedreigingsactoren achter de Trigona Ransomware waarschuwen dat ze niet alleen de bestanden van het slachtoffer versleutelen, maar ook gevoelige informatie verzamelen die naar het publiek kan worden gelekt. De losgeldbrief van de dreiging verduidelijkt ook dat de prijs van het losgeld dat door de aanvallers wordt geëist elk uur zal stijgen. Blijkbaar is de enige manier om de cybercriminelen te bereiken via hun speciale website die wordt gehost op het TOR-netwerk. De losgeldbrief vermeldt dat slachtoffers maximaal 3 bestanden kunnen verzenden voor gratis decodering, maar op de website van de hackers staat dat er in totaal vijf bestanden kunnen worden ontgrendeld. De gekozen bestanden moeten echter elk kleiner zijn dan 5 MB. De site verduidelijkt ook dat alleen losgeldbetalingen die zijn gedaan met de Monero-cryptocurrency worden geaccepteerd.
De volledige tekst van de notitie van Trigona Ransomware is:
'HET HELE NETWERK IS VERSLEUTELD
UW BEDRIJF LAAT GELD VERLIEZEN
Alle documenten, databases, back-ups en andere kritieke gegevens werden versleuteld en gelekt
Het programma maakt gebruik van een veilig AES-algoritme, waardoor decryptie onmogelijk is zonder contact met ons op te nemen
Als u weigert te onderhandelen, worden de gegevens geveild
Volg de instructies om uw gegevens te herstellen
Tor-browser downloaden
Open decoderingspagina
Verifieer met deze sleutel
De prijs is afhankelijk van hoe snel u contact met ons opneemt
Hulp nodig?
Twijfel niet
U kunt als garantie 3 bestanden gratis decoderen
Verspil geen tijd
De decoderingsprijs stijgt elk uur
Neem geen contact op met wederverkopers
Ze verkopen onze diensten tegen een meerprijs door
Herstel geen bestanden
Aanvullende herstelsoftware zal uw gegevens beschadigen'
