Un ransomware precedentemente operativo senza nome è stato identificato nel corso degli ultimi giorni come Trigona e sta diventando poco alla volta attivo in tutto il mondo. Alcuni campioni erano già stati individuati a inizio anno, ma sino ad allora veniva sfruttata l’email per le trattative, mentre ora c’è un sito di negoziazione Tor ed è stato svelato il nome esatto.
Trigona: nuovo ransomware attivo in tutto il mondo
A rendere nota la cosa è stato il team di ricercatori di MalwareHunterTeam. Inoltre, poiché Trigona è il nome di una famiglia di grandi api senza pungiglione, l'operazione ransomware ha adottato un logo che mostra una persona in un costume simile a un'ape.
Il ransomware supporta vari argomenti della riga di comando che determinano se i file locali o di rete sono crittografati, se viene aggiunta una chiave di accesso automatica di Windows e se è necessario utilizzare un ID vittima di prova (VID) o un ID campagna (CID).
Durante la sua attività, Trigona crittografa tutti i file sul dispositivo colpito, ad eccezione di alcuni che risiedono in specifiche cartelle, come le cartelle Windows e quelle dei file dei programmi installati Inoltre, il ransomware va a rinominare i file crittografati per utilizzare l'estensione ._locked.
Dopo aver effettuato l'accesso al sito Tor, alla vittima vengono poi mostrate informazioni su come acquistare Monero per pagare un riscatto e una chat di supporto che possono sfruttare per negoziare con i criminali informatici. Il sito offre anche la possibilità di decrittografare cinque file, fino a 5 MB ciascuno, in maniera gratuita.
Da tenere presente che per evitare di incappare in minacce informatiche di questo tipo è fondamentale installare sul computer un buon software antivirus, come nel caso di Norton 360 Premium.