Một ransomware chưa được đặt tên trước đây đã đổi tên thành 'Trigona', ra mắt một trang web đàm phán Tor mới nơi chúng chấp nhận Monero dưới dạng thanh toán tiền chuộc.

Thông báo đòi tiền chuộc cho biết tất cả tài liệu, cơ sở dữ liệu, bản sao lưu và dữ liệu khác đã bị mã hóa và rò rỉ.

Nó tuyên bố rằng việc giải mã mà không liên hệ với các tác nhân đe dọa là không thể. Tất cả dữ liệu sẽ được bán cho bên thứ ba nếu nạn nhân từ chối trả tiền chuộc.

Nó cũng kêu gọi nạn nhân liên hệ với những kẻ tấn công càng sớm càng tốt để tránh phải trả giá cao hơn cho việc giải mã dữ liệu vì nó tăng lên mỗi giờ. Trước khi trả tiền chuộc, nạn nhân có thể được giải mã miễn phí ba tệp.

Thông báo đòi tiền chuộc hướng dẫn nạn nhân trả tiền để giải mã dữ liệu thông qua trang web Tor.

Ví dụ về các nguồn không đáng tin cậy được tội phạm mạng sử dụng để phát tán phần mềm độc hại là mạng ngang hàng, các trang không chính thức (lừa đảo), trình tải xuống của bên thứ ba, các trang lưu trữ tệp miễn phí, v.v. Người dùng lây nhiễm vào máy tính thông qua các tệp JavaScript độc hại, Microsoft Office, PDF hoặc các tài liệu khác, tệp thực thi, tệp ISO, tệp lưu trữ (như ZIP và RAR), v.v.

➖➖➖➖➖

Tóm tắt mối đe dọa:

Tên: Virus Trigona

Loại mối đe dọa: Ransomware, Virus tiền điện tử, Khóa tệp Phần mở

rộng tệp được mã hóa: ._locked

Tin nhắn yêu cầu tiền chuộc: How_to_decrypt.hta

Bộ giải mã miễn phí có sẵn? Không có

liên hệ tội phạm mạng: Trò chuyện trên trang web Tor được cung cấp

Tên phát hiện: Avast (Win32:RansomX-gen [Ransom]), Combo Cleaner (Gen:Variant.Fragtor.168126), ESET-NOD32 (Một biến thể của Win32/Filecoding.OLC ), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Trojan:Win32/Wacatac.B!ml), Danh sách đầy đủ các phát hiện (VirusTotal)

Triệu chứng: Không thể mở các tệp được lưu trữ trên máy tính của bạn, các tệp chức năng trước đây hiện có một phần mở rộng khác (ví dụ: my.docx.locked). Một thông báo yêu cầu tiền chuộc được hiển thị trên màn hình của bạn. Tội phạm mạng yêu cầu thanh toán tiền chuộc (thường bằng bitcoin) để mở khóa các tệp của bạn.

Thông tin bổ sung: Tội phạm mạng yêu cầu được thanh toán bằng tiền điện tử Monero.

Phương thức phân phối: Tệp đính kèm email (macro) bị nhiễm độc, trang web torrent, quảng cáo độc hại.

Thiệt hại: Tất cả các tệp đều được mã hóa và không thể mở được nếu không trả tiền chuộc. Các trojan đánh cắp mật khẩu bổ sung và lây nhiễm phần mềm độc hại có thể được cài đặt cùng với việc lây nhiễm ransomware.

BleepingComputer đã phân tích một mẫu Trigona gần đây và nhận thấy nó hỗ trợ nhiều đối số dòng lệnh khác nhau để xác định xem tệp cục bộ hoặc mạng có được mã hóa hay không, liệu khóa tự động chạy Windows có được thêm hay không và liệu ID nạn nhân thử nghiệm (VID) hay ID chiến dịch (CID) phải được đặt đã sử dụng.

Các đối số dòng lệnh được liệt kê dưới đây:

/full

/!autorun

/test_cid

/test_vid

/path

/!local

/!lan

/autorun_only

Một thông báo đòi tiền chuộc có tên How_to_decrypt.hta sẽ được tạo trong mỗi thư mục được quét.

Ghi chú này hiển thị thông tin về cuộc tấn công, một liên kết đến trang đàm phán Tor và một liên kết sao chép khóa ủy quyền vào bảng nhớ tạm của Windows cần thiết để đăng nhập vào trang đàm phán Tor.

☕☕☕

➖➖➖➖➖

.

Tuần mới đầy năng lượng với Cafe sáng nha mọi người 😍.

.

Minh chia sẻ nhanh một chút và ransomware locked, vì dường như nó chiếm sóng trong thời gian gần đây với hàng loạt ticket mới được ghi nhận. Điều này chứng tỏ, có sự cạch tranh rất lớn giữa các băng nhóm tội phạm mạng trong cách tiếp cận nạn nhân.

.

Hy vọng, các bạn luôn luôn sao lưu đúng cách, kiểm tra và hãy xem nó là công việc quan trọng để giảm thiệt hại do ransomware nói chung và dòng locked nói riêng.

📌 Trigona *._locked ) : https://tek.tungtek.com/post/virus-ransomware-trigona-locked-cymulate-ransomware-tekpost-by-tungtek

.

TUNGTEK Tùng, 18.03.24

.

#ransomware #locked #trigona #tungtek #khoiphucdulieu #cuudulieu #noransomwarevn #encrypt #decrypt