Експерти компанії Trend Micro виявили нові версії віруса-вимагача Trigona, який перший раз було помічено в червні 2022 року. Trigona застосовує тактику подвійного вимагання, тобто спочатку краде файли з інфікованого комп’ютера та завантажує їх на сервер зловмисників, а вже потім шифрує файли безпосередньо на комп’ютері. У випадку, коли жертва не проявляє зацікавленості в придбані ключа для розшифрування файлів, зловмисники починають погрожувати, що опублікують вкрадені файли в інтернеті.
Зловред-вимагач генерує 112-ний ключ RSA та безпосередньо шифрує файли за принципом зворотного зв’язку по виходу (Output- Feedback, OFB), застосовуючи алгоритм AES-256. До імен зашифрованих файлів додається розширення ".locked". Після завершення атаки вірус-вимагач створює файл "how_to_decrypt.hta" із інструкціями по відновленню інформації, а також пропонує без оплати розшифрувати до трьох файлів, як доказ того, що дані можливо відновити.
Жертва повинна встановити браузер Tor та перейти по запропонованому в файлі "how_to_decrypt.hta" посиланню. Після цього потрібно зареєструватися на сайті зловмисників та ввести унікальний код, який також наведено в файлі з інструкцією "how_to_decrypt.hta". Зловмисники вимагають оплату викупу в крипто-валюті Monero (XMR) та цю суму неможливо дізнатися без реєстрації.
Виявлені нові версії вірусу-вимагача Trigona вміють атакувати Microsoft SQL Server, підбираючи паролі та підтримують параметри командної строки, що дозволяє зловмисникам гнучко налаштувати процес шифрування та видалення файлів з комп’ютера жертви. Нова версія вірусу Нова версія зловреду Trigona може атакувати не лише операційні системи сімейства Windows, а також машини з Linux.
Дослідники ще вивчаюсь яким чином відбувається інфікування комп’ютерів. Існує гіпотеза, що для його розповсюдження використовується інше шкідливе програмне забезпечення, яке експлуатує наявні вразливості. Також вивчаються випадки проникнення вірусу безпосередньо на Microsoft SQL Server.
Trigona постійно оновлюється та кожного разу отримує новий функціонал, зокрема тепер може не лише шифрувати файли, а й безповоротно видаляти їх, шляхом перезапису вмісту "нулями" (такі файли отримують розширення ".erased".
Експерти з кібербезпеки радять користувачам обережно поводитися з підозрілими електронними листами та не відкривати вкладення в них. Своєчасно встановлювати оновлення для операційної системи, антивірусів та іншого програмного забезпечення. Виконувати резервування інформації із суворим дотриманням правила 3-2-1 (мати мінімум 3 екземпляри даних в двох різних форматах та зберігати одну копію інформації в окремому місці).
- 14.04.2024 Mirai розгортає ботнет на вразливих NAS D-Link
- 13.04.2024 Крупне оновлення Microsoft закриває дві 0-day вразливості
- 30.03.2024 World Backup Day – час перевірити процес резервування за чек-листом
- 19.11.2023 Microsoft виправила критичні вразливості, які вже було використано в реальних атаках
- 12.11.2023 NTLM-токени можливо вкрасти за допомогою Access