![]() |
Активный с середины прошлого года вредонос с каждым месяцем лишь развивается и представляет всё большую угрозу для корпоративного сектора. Специалисты по кибербезопасности Trend Micro обнаружили новые вариации вымогательского вируса Trigona, который активно распространяется с июня 2022 года. Trigona, как и большинство подобных программ, применяет метод двойного вымогательства: сначала выгружает файлы с заражённых компьютеров, а затем шифрует, угрожая опубликовать похищенные данные в Интернете, если жертвы не заплатят денежный выкуп. Программа Trigona написана на языке программирования Delphi и использует 112-битный RSA и 256-битный AES для шифрования файлов в режиме OFB. После шифрования файлов вирус добавляет к ним расширение «.locked» и оставляет файл «how_to_decrypt.hta», который содержит инструкции по восстановлению данных и контакты злоумышленников. Жертвам предлагают бесплатно расшифровать до трёх файлов в качестве доказательства, что свои данные возможно получить обратно. Для оплаты выкупа жертвам, как правило, необходимо скачать и установить браузер Tor и перейти по ссылке, указанной в файле «how_to_decrypt.hta». На сайте злоумышленников жертвам нужно зарегистрироваться, ввести уникальный ключ из файла «how_to_decrypt.hta» и выбрать имя пользователя и пароль. Сумма выкупа заранее неизвестна, но вот что известно точно, — что злоумышленники требуют оплату в криптовалюте Monero (XMR). На сайте также есть опция чата с поддержкой для жертв. Новые версии Trigona отличаются от уже существующих несколькими особенностями:<ul><li>поддерж� �вают различные параметры командной строки, которые позволяют злоумышленникам гибко настраивать процесс шифрования и удаления файлов.</li> </ul><ul><li>они атакуют серверы MS-SQL, используя методы подбора паролей и инструмент CLR shell.</li> </ul><ul><li>они имеют версию для Linux, которая, впрочем, имеет сходства с версией для Windows.</li> </ul><ul><li>новые версии используют общедоступный веб-сайт вместо скрытого сервиса Tor для размещения украденных данных, а коммуникацию со злоумышленниками предлагают вести через обычную электронную почту.</li> </ul>Точный способ заражения компьютеров Trigona пока не установлен исследователями. Предполагается, что вирус распространяется с помощью другого вредоносного ПО, которое доставляется через электронную почту, протокол удаленного рабочего стола (RDP) или с помощью эксплуатации известных уязвимостей различного программного обеспечения. В некоторых случаях злоумышленники и вовсе проникают на серверы Microsoft SQL, устанавливая затем Trigona прямо на них. Trigona регулярно обновляется и получает новые возможности, в том числе функцию стирания данных, которая перезаписывает файлы нулевыми байтами, переименовывает их с расширением «.erased» и безвозвратно удаляет их. Эксперты по кибербезопасности рекомендуют пользователям Windows и Linux быть осторожными при открытии подозрительных писем и вложений, вовремя обновлять своё программное обеспечение и антивирусный софт, регулярно делать резервные копии. Причём при создании бэкапов нужно следовать правилу 3-2-1 (три резервные копии, хранящиеся в двух разных форматах, одна из копий хранится в отдельном месте). Также очень важно настроить многофакторную аутентификацию, так как это эффективно помешает злоумышленникам перемещаться по сети и получать доступ к конфиденциальной информации. |
All times are GMT. The time now is 08:09 PM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.