Эксперты компании Trend Micro обнаружили новые версии вируса-вымогателя Trigona, который впервые был замечен в июне 2022 года. Trigona использует тактику двойного вымогательства: сначала он крадет файлы с зараженного компьютера и загружает их на сервер злоумышленников, а затем шифрует файлы непосредственно на компьютере. Если жертва не проявляет интереса к приобретению ключа для расшифровки файлов, злоумышленники начинают угрожать публикацией украденных файлов в Интернете.
Вредонос генерирует 112-битный ключ RSA и непосредственно шифрует файлы с использованием обратной связи по выходу (Output-Feedback, OFB) и алгоритма AES-256. К зашифрованным файлам добавляется расширение ".locked". По окончании атаки вирус-вымогатель создает файл "how_to_decrypt.hta" с инструкциями по восстановлению информации и предлагает бесплатное расшифрование до трех файлов в качестве доказательства возможности восстановления данных.
Жертва должна установить браузер Tor и перейти по предложенной в файле "how_to_decrypt.hta" ссылке. Затем необходимо зарегистрироваться на сайте злоумышленников и ввести уникальный код, также указанный в файле с инструкциями "how_to_decrypt.hta". Злоумышленники требуют выкуп в криптовалюте Monero (XMR), и эту сумму невозможно узнать без регистрации.
Обнаружены новые версии вируса-вымогателя Trigona, способные атаковать Microsoft SQL Server, подбирая пароли, а также поддерживают параметры командной строки, что позволяет злоумышленникам гибко настраивать процесс шифрования и удаления файлов с компьютера жертвы. Новая версия вируса может атаковать не только операционные системы семейства Windows, но и машины с Linux.
Исследователи пока изучают способы заражения компьютеров. Существует гипотеза, что для его распространения используется другое вредоносное программное обеспечение, которое эксплуатирует имеющиеся уязвимости. Также изучаются случаи проникновения вируса непосредственно на Microsoft SQL Server.
Trigona постоянно обновляется и каждый раз получает новый функционал, в том числе теперь может не только шифровать файлы, но и безвозвратно удалять их, перезаписывая содержимое "нулями" (такие файлы получают расширение ".erased").
Эксперты по кибербезопасности рекомендуют пользователям быть осторожными с подозрительными электронными письмами и не открывать вложения в них. Своевременно устанавливать обновления для операционной системы, антивирусов и другого программного обеспечения. Создавать резервные копии информации с соблюдением правила 3-2-1 (иметь как минимум 3 экземпляра данных в двух разных форматах и хранить одну копию информации в отдельном месте).
- 14.04.2024 Mirai разворачивает ботнет на уязвимых NAS D-Link
- 13.04.2024 Крупное обновление Microsoft закрывает две 0-day уязвимости
- 30.03.2024 World Backup Day - время проверить процесс резервного копирования по чек-листу
- 19.11.2023 Microsoft устранила серию критических уязвимостей под атаками
- 12.11.2023 Токены NTLM можно украсть при содействии Microsoft Access