一个以前未命名的勒索软件已更名为“Trigona”,推出了一个新的 Tor 谈判网站,他们在该网站上接受 Monero 作为赎金付款。
Trigona 已经活跃了一段时间,并在今年年初看到了样本。然而,这些样本使用电子邮件进行谈判,并没有使用特定名称。
正如MalwareHunterTeam 所发现的那样,从 2022 年 10 月下旬开始,勒索软件行动启动了一个新的 Tor 谈判网站,他们在该网站上正式将自己命名为“Trigona”。
由于 Trigona 是大型无刺蜜蜂家族的名称,勒索软件操作采用了一个标志,显示一个人穿着类似网络蜜蜂的服装,如下所示。

图源:news.zzqidc.com
news.zzqidc.com了解到新勒索软件行动的众多受害者,包括一家房地产公司和一个看似德国的村庄。
Trigona 勒索软件
news.zzqidc.com分析了最近的 Trigona 样本,发现它支持各种命令行参数,这些参数可以确定本地文件或网络文件是否加密,是否添加了 Windows 自动运行密钥,以及是否应使用测试受害者 ID (VID) 或活动 ID (CID)用过的。
下面列出了命令行参数:
/full
/!autorun
/test_cid
/test_vid
/path
/!local
/!lan
/autorun_only
加密文件时,Trigona 将加密设备上的所有文件,但特定文件夹中的文件除外,例如 Windows 和 Program Files 文件夹。此外,勒索软件会将加密文件重命名为使用 ._locked 扩展名。
例如,文件 1.doc 将被加密并重命名为 1.doc._locked,如下所示。

来源:news.zzqidc.com
勒索软件还会在加密文件中嵌入加密的解密密钥、活动 ID 和受害者 ID(公司名称)。

来源:news.zzqidc.com
将在每个扫描的文件夹中创建一个名为 how_to_decrypt.hta的赎金票据。此注释显示有关攻击的信息、指向 Tor 协商站点的链接以及将授权密钥复制到登录 Tor 协商站点所需的 Windows 剪贴板的链接。

来源:news.zzqidc.com
登录 Tor 网站后,受害者将看到有关如何购买 Monero 以支付赎金的信息,以及他们可以用来与威胁行为者进行谈判的支持聊天。该站点还提供免费解密五个文件的功能,每个文件最大 5MB。
news.zzqidc.com没有看到任何积极的谈判,也不知道威胁者向受害者索要多少钱。

图源:news.zzqidc.com
支付赎金后,受害者将收到解密器链接和包含解密私钥的 keys.dat 文件。
解密器允许您解密本地设备和网络共享上的单个文件或文件夹。

来源:news.zzqidc.com
目前尚不清楚该行动如何破坏网络或部署勒索软件。此外,虽然他们的赎金票据声称他们在攻击期间窃取了数据,但尚未看到任何证据。
然而,他们的攻击在全球范围内一直在增加,并且随着对专用 Tor 平台的投资,他们可能会继续扩大业务。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Trigona勒索软件被发现在全球范围内不断增加的攻击