Trigona勒索软件被发现在全球范围内不断增加的攻击

一个以前未命名的勒索软件已更名为“Trigona”，推出了一个新的 Tor 谈判网站，他们在该网站上接受 Monero 作为赎金付款。

Trigona 已经活跃了一段时间，并在今年年初看到了样本。然而，这些样本使用电子邮件进行谈判，并没有使用特定名称。

正如MalwareHunterTeam 所发现的那样，从 2022 年 10 月下旬开始，勒索软件行动启动了一个新的 Tor 谈判网站，他们在该网站上正式将自己命名为“Trigona”。

由于 Trigona 是大型无刺蜜蜂家族的名称，勒索软件操作采用了一个标志，显示一个人穿着类似网络蜜蜂的服装，如下所示。

news.zzqidc.com了解到新勒索软件行动的众多受害者，包括一家房地产公司和一个看似德国的村庄。

Trigona 勒索软件

news.zzqidc.com分析了最近的 Trigona 样本，发现它支持各种命令行参数，这些参数可以确定本地文件或网络文件是否加密，是否添加了 Windows 自动运行密钥，以及是否应使用测试受害者 ID (VID) 或活动 ID (CID)用过的。

下面列出了命令行参数：

/full
/!autorun
/test_cid
/test_vid
/path
/!local
/!lan
/autorun_only

加密文件时，Trigona 将加密设备上的所有文件，但特定文件夹中的文件除外，例如 Windows 和 Program Files 文件夹。此外，勒索软件会将加密文件重命名为使用 ._locked 扩展名。

例如，文件 1.doc 将被加密并重命名为 1.doc._locked，如下所示。

勒索软件还会在加密文件中嵌入加密的解密密钥、活动 ID 和受害者 ID（公司名称）。

将在每个扫描的文件夹中创建一个名为 how_to_decrypt.hta的赎金票据。此注释显示有关攻击的信息、指向 Tor 协商站点的链接以及将授权密钥复制到登录 Tor 协商站点所需的 Windows 剪贴板的链接。

登录 Tor 网站后，受害者将看到有关如何购买 Monero 以支付赎金的信息，以及他们可以用来与威胁行为者进行谈判的支持聊天。该站点还提供免费解密五个文件的功能，每个文件最大 5MB。

news.zzqidc.com没有看到任何积极的谈判，也不知道威胁者向受害者索要多少钱。

支付赎金后，受害者将收到解密器链接和包含解密私钥的 keys.dat 文件。

解密器允许您解密本地设备和网络共享上的单个文件或文件夹。

目前尚不清楚该行动如何破坏网络或部署勒索软件。此外，虽然他们的赎金票据声称他们在攻击期间窃取了数据，但尚未看到任何证据。

然而，他们的攻击在全球范围内一直在增加，并且随着对专用 Tor 平台的投资，他们可能会继续扩大业务。

转载请注明：VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Trigona勒索软件被发现在全球范围内不断增加的攻击