技术分享
Trigona是一个新兴的勒索软件家族,该家族于2022年中下旬首次出现以来一直处于活跃状态。近期,矢安知深攻防实验室经过持续追踪,发现该勒索软件家族分别新增了Linux平台与Win64平台恶意样本。表明该威胁行为者正在积极开展勒索软件业务,希望广大用户提高安全意识,注意防范。
|
Trigona勒索家族摘要 |
|
|
首次出现 |
2022年中下旬 |
|
针对目标 |
全球用户 |
|
针对行业 |
金融、建筑、制造、农业、市场营销等高科技行业 |
|
传播方式 |
Microsoft SQL弱口令爆破 |
|
加密算法 |
AES、RSA |
|
加密后缀 |
_locked |
|
支付方式 |
门罗币 |
|
能否解密 |
无法解密 |
|
赎金通知 |
how_to_decrypt.hta、how_to_decrypt.txt |
|
联系方式 |
farusbig@tutanota[.]com、phandaledr@onionmail[.]org、http://3x55o3u2b7cjs54eifja5m3ottxntlubhjzt6k6htp5nrocjmsxxh7ad[.]onion/ |
本次样本通过伪装系统组件进行传播,样本执行时可通过多个特定参数执行不同操作。首先判断是否存在命令行参数:
下表分别对各参数进行说明:
|
命令 |
描述 |
|
/shdwn |
加密后强制关机 |
|
/r |
允许以随机顺序加密文件 |
|
/full |
加密目标文件的全部内容(如果未指定,则仅加密前512kb数据) |
|
/erase |
删除目标文件内容,默认只删除前512kb数据 |
|
/!autorun |
不创建Run注册表项 |
|
/is_testing |
测试/test_cid和/test_vid |
|
/test_cid |
使用指定的计算机ID |
|
/test_vid |
使用指定的用户ID |
|
/p |
指定加密路径 |
|
/path |
指定加密路径 |
|
/!local |
不加密local文件 |
|
/!lan |
不加密网络共享 |
|
/autorun_only |
创建Run注册表项 |
如果未指定命令行参数则通过计算机名称和系统目录时间计算CID,然后设置Run注册表键实现持久化:
解析完命令行参数后,Trigona会从资源目录中读取名为“CFGS”的配置文件,该配置文件以字符串资源形式存储在程序中: