27/06/23
Специалисты по кибербезопасности Trend Micro обнаружили новые вариации вымогательского вируса Trigona, который активно распространяется с июня 2022 года. Trigona, как и большинство подобных программ, применяет метод двойного вымогательства: сначала выгружает файлы с заражённых компьютеров, а затем шифрует, угрожая опубликовать похищенные данные в Интернете, если жертвы не заплатят денежный выкуп.
Программа Trigona написана на языке программирования Delphi и использует 112-битный RSA и 256-битный AES для шифрования файлов в режиме OFB, согласно Securitylab. После шифрования файлов вирус добавляет к ним расширение «.locked» и оставляет файл «how_to_decrypt.hta», который содержит инструкции по восстановлению данных и контакты злоумышленников. Жертвам предлагают бесплатно расшифровать до трёх файлов в качестве доказательства, что свои данные возможно получить обратно.
Для оплаты выкупа жертвам, как правило, необходимо скачать и установить браузер Tor и перейти по ссылке, указанной в файле «how_to_decrypt.hta». На сайте злоумышленников жертвам нужно зарегистрироваться, ввести уникальный ключ из файла «how_to_decrypt.hta» и выбрать имя пользователя и пароль. Сумма выкупа заранее неизвестна, но вот что известно точно, — что злоумышленники требуют оплату в криптовалюте Monero (XMR). На сайте также есть опция чата с поддержкой для жертв.
Новые версии Trigona отличаются от уже существующих несколькими особенностями:
- поддерживают различные параметры командной строки, которые позволяют злоумышленникам гибко настраивать процесс шифрования и удаления файлов.
- они атакуют серверы MS-SQL, используя методы подбора паролей и инструмент CLR shell.
- они имеют версию для Linux, которая, впрочем, имеет сходства с версией для Windows.
- новые версии используют общедоступный веб-сайт вместо скрытого сервиса Tor для размещения украденных данных, а коммуникацию со злоумышленниками предлагают вести через обычную электронную почту.
Точный способ заражения компьютеров Trigona пока не установлен исследователями. Предполагается, что вирус распространяется с помощью другого вредоносного ПО, которое доставляется через электронную почту, протокол удаленного рабочего стола (RDP) или с помощью эксплуатации известных уязвимостей различного программного обеспечения. В некоторых случаях злоумышленники и вовсе проникают на серверы Microsoft SQL, устанавливая затем Trigona прямо на них.
Trigona регулярно обновляется и получает новые возможности, в том числе функцию стирания данных, которая перезаписывает файлы нулевыми байтами, переименовывает их с расширением «.erased» и безвозвратно удаляет их.
Эксперты по кибербезопасности рекомендуют пользователям Windows и Linux быть осторожными при открытии подозрительных писем и вложений, вовремя обновлять своё программное обеспечение и антивирусный софт, регулярно делать резервные копии. Причём при создании бэкапов нужно следовать правилу 3-2-1 (три резервные копии, хранящиеся в двух разных форматах, одна из копий хранится в отдельном месте).
Также очень важно настроить многофакторную аутентификацию, так как это эффективно помешает злоумышленникам перемещаться по сети и получать доступ к конфиденциальной информации.
