查看: 2872|回复: 3
收起左侧

[讨论] Trigona勒索病毒正在传播,火绒可拦截

[复制链接]
火绒工程师
发表于 2023-3-13 10:47:44 | 显示全部楼层 |阅读模式
近日,据火绒威胁情报系统显示:Trigona勒索病毒正在活跃。近一个月内,火绒已帮助数千台终端成功拦截该病毒。该病毒在2022年12月份首次出现,今年2月末爆发,其传播数量趋势如下图所示。

                              
传播趋势
黑客通过SQLServer弱口令暴破等手段,入侵受害者终端进行投放Trigona勒索病毒,该病毒会在终端添加自启动来进行持久化操作。
火绒工程师表示,该病毒会先使用AES-256(对称加密算法)对文件进行加密,随后再使用RSA-4096(非对称加密算法)对解密密钥进行加密,并保存在文件尾部,目前暂不支持解密。被加密后的文件后缀名为:_locked,勒索信如下所示:

勒索信内容界面
被勒索后,黑客仅提供了与其直接进行沟通的暗网页面。

暗网页面
火绒用户无需担心,"火绒安全软件"可拦截、查杀该病毒。

查杀图
火绒提醒广大网友,重要的文件请及时备份,并安装安全软件定期扫描,定期更新高危漏洞补丁以防御勒索病毒带来的危害。此外,通过分析勒索病毒关键节点的各种攻击方式,火绒安全产品在各个维度上都做了有针对性的防护措施,如【密码保护】、【程序执行控制】、【远程登录防护】等功能。
一、样本分析
病毒的执行流程,如下图所示:

病毒执行流程

初始化模块svcservice.exe启动之后,会释放勒索模块和bat脚本,先执行bat脚本来对系统做一些设置如:删除卷影副本、关闭UAC、关闭隐私设置、禁用系统还原,并运行勒索模块来对受害者系统进行加密,该模块跟系统文件同名svchost.exe, 相关bat脚本内容,如下图所示:

bat脚本内容

勒索模块svchost.exe启动后,会遍历系统磁盘,相关代码,如下图所示:

遍历磁盘

使用AES-256算法对文件进行加密,相关代码,如下图所示:

AES-256加密

将文件加密后,会将解密所需的信息用RSA-4096算法进行加密,并保存在被加密后的文件尾部,用于解密文件,相关代码,如下图所示:
RSA加密

RSA的公钥(E,N)其中E为65537,N的值,如下图所示:

N的值

加密完之后,会在对应目录下创建勒索信(how_to_decrypt.hta),相关代码,如下图所示:

创建勒索信
该勒索病毒还会添加自启动来进行持久化操作,相关代码,如下图所示:

持久化操作

二、附录
HASH:


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jirehlov1234
发表于 2023-3-13 12:21:22 | 显示全部楼层
游戏王武藤游戏
发表于 2023-3-13 12:47:27 | 显示全部楼层
主动防御不去增强,长期仅仅依靠更新病毒库的防御路还能走多远?
pengnengkai1989
发表于 2023-3-13 15:06:02 | 显示全部楼层
游戏王武藤游戏 发表于 2023-3-13 12:47
主动防御不去增强,长期仅仅依靠更新病毒库的防御路还能走多远?

坐等6.0吧!!!希望能变强!火绒初心很好
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 22:20 , Processed in 0.125837 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表