Trigona Ransomware
Trigona Ransomware to szkodliwe zagrożenie, które wydaje się być wykorzystywane głównie przeciwko podmiotom gospodarczym. Zagrożenie będzie atakować dane przechowywane na zaatakowanych urządzeniach i zaszyfrować je przy użyciu wystarczająco silnego algorytmu kryptograficznego. Ataki przy użyciu oprogramowania Trigona Ransomware dotknęły już wiele organizacji, w tym firmę zajmującą się nieruchomościami i wieś w Niemczech. Nazwa zagrożenia i organizacji aktorów zagrożeń wydaje się być oparta na rodzinie pszczół bezżądłowych. Hakerzy stworzyli nawet dla siebie logo przedstawiające osobę w kostiumie cybernetycznej pszczoły.
Ofiary, których to dotyczy, utracą dostęp do większości swoich dokumentów, plików PDF, obrazów, baz danych, archiwów itp., skutecznie tracąc potencjalnie ważne i wrażliwe informacje. Każdy zablokowany plik będzie miał dołączoną do oryginalnej nazwy „._locked”. Ponadto żądanie okupu zostanie przedstawione ofiarom jako nowe okno utworzone z pliku o nazwie „how_to_decrypt.hta”.
Szczegóły Trigona Ransomware
Aby uniknąć krytycznych błędów systemowych, zagrożenie pomija niektóre foldery, takie jak lokalizacje Windows i Program Files. Trigona wykona również kilka argumentów wiersza poleceń, aby sprawdzić, czy pliki lokalne lub sieciowe zostały już zaszyfrowane, czy klucz automatycznego uruchamiania systemu Windows jest dostępny lub czy użyć VID (testowy identyfikator ofiary) lub CID (identyfikator kampanii) . Zidentyfikowane argumenty wiersza poleceń obejmują:
/pełny
/!autouruchamianie
/test_cid
/test_vid
/ścieżka
/!lokalny
/!lan
/autorun_only
Żądanie i żądanie okupu
Aktorzy stojący za Trigona Ransomware ostrzegają, że oprócz szyfrowania plików ofiary zbierają również poufne informacje, które mogą zostać ujawnione opinii publicznej. Żądanie okupu zawarte w zagrożeniu wyjaśnia również, że cena okupu żądana przez atakujących będzie rosła z każdą mijającą godziną. Najwyraźniej jedynym sposobem na dotarcie do cyberprzestępców jest ich dedykowana strona internetowa hostowana w sieci TOR. Żądanie okupu wspomina, że ofiary mogą wysłać do 3 plików do bezpłatnego odszyfrowania, ale strona internetowa hakerów podaje, że w sumie można odblokować pięć plików. Jednak wybrane pliki muszą mieć mniej niż 5 MB każdy. Witryna wyjaśnia również, że akceptowane będą tylko płatności okupu dokonane przy użyciu kryptowaluty Monero.
Pełny tekst notatki Trigona Ransomware to:
„CAŁA SIEĆ JEST SZYFROWANA
TWÓJ BIZNES TRACI PIENIĄDZE
Wszystkie dokumenty, bazy danych, kopie zapasowe i inne krytyczne dane zostały zaszyfrowane i wyciekły
Program wykorzystuje bezpieczny algorytm AES, który uniemożliwia odszyfrowanie bez kontaktu z nami
Jeśli odmówisz negocjacji, dane zostaną zlicytowane
Aby odzyskać dane, postępuj zgodnie z instrukcjami
Pobierz przeglądarkę Tor
Otwórz stronę deszyfrowania
Autoryzuj przy użyciu tego klucza
Cena zależy od tego, jak szybko się z nami skontaktujesz
Potrzebuję pomocy?
Nie wątp
Możesz odszyfrować 3 pliki za darmo jako gwarancję
Nie trać czasu
Cena deszyfrowania rośnie z każdą godziną
Nie kontaktuj się ze sprzedawcami
Sprzedają nasze usługi z premią
Nie przywracaj plików
Dodatkowe oprogramowanie do odzyskiwania spowoduje uszkodzenie danych”
