Trinity ransomware - это новый вид злонамеренного программного обеспечения, который применяет двойную стратегию вымогательства для шифрования файлов и угрозы публикации конфиденциальных данных жертв. Этот тип программы использует алгоритм шифрования ChaCha20 и помечает зашифрованные файлы расширением «.trinitylock». Она также имеет схожие черты с другими группами вымогателей, такими как 2023Lock и Venus-susch.
Trinity Ransomware
Trinity ransomware обычно попадает в системы жертв через различные векторы атак, включая фишинговые письма, вредоносные веб-сайты и использование программных уязвимостей. Оно также сканирует сеть и может осуществлять атаки на несколько систем в целевой сети. После установки, программе удается обойти протоколы безопасности и средства защиты.
Trinity ransomware шифрует файлы жертв с помощью надежного алгоритма шифрования и добавляет расширение «.trinitylock». Затем злоумышленники требуют выкупа в криптовалюте в обмен на ключ дешифрования. Она также использует сайты поддержки жертв и утечки данных, где жертвы имеют возможность загрузить образец файла для расшифровки.
Исследователи обнаружили, что Trinity ransomware имеет сходства с другими группами вымогателей, такими как Venus ransomware и 2023Lock. Они используют схожий код и тактику, включая алгоритм шифрования ChaCha20. Некоторые из жертв удалось восстановить свои файлы с помощью инструментов для восстановления данных или с помощью специалистов по кибербезопасности.
Trinity ransomware является серьезной угрозой для критически важных отраслей, особенно для здравоохранения. На данный момент известно о семи жертвах этой программы, две из которых - медицинские учреждения. Trinity ransomware утверждает, что получил доступ к большому объему конфиденциальных данных одного американского поставщика гастроэнтерологических услуг.
Хотя для Trinity ransomware пока нет известных инструментов для дешифровки, некоторые жертвы смогли восстановить свои файлы с помощью других методов. Это подчеркивает важность превентивных мер и регулярного обновления систем для защиты от таких угроз.
Indicators of Compromise
MD5
- 949c438e4ed541877dce02b38bf593ad
SHA1
- 4c58d2d624d9bdf6b14a6f8563788785074947a7
SHA256
- 36696ba25bdc8df0612b638430a70e5ff6c5f9e75517ad401727be03b26d8ec4