近日，據(jù)火絨威脅情報(bào)系統(tǒng)顯示：Trigona勒索病毒正在活躍。近一個(gè)月內(nèi)，火絨已幫助數(shù)千臺(tái)終端成功攔截該病毒。該病毒在2022年12月份首次出現(xiàn)，今年2月末爆發(fā)，其傳播數(shù)量趨勢(shì)如下圖所示。

黑客通過(guò)SQLServer弱口令暴破等手段，入侵受害者終端進(jìn)行投放Trigona勒索病毒，該病毒會(huì)在終端添加自啟動(dòng)來(lái)進(jìn)行持久化操作。

火絨工程師表示，該病毒會(huì)先使用AES-256（對(duì)稱加密算法）對(duì)文件進(jìn)行加密，隨后再使用RSA-4096（非對(duì)稱加密算法）對(duì)解密密鑰進(jìn)行加密，并保存在文件尾部，目前暫不支持解密。被加密后的文件后綴名為：_locked，勒索信如下所示：

被勒索后，黑客僅提供了與其直接進(jìn)行溝通的暗網(wǎng)頁(yè)面。

火絨用戶無(wú)需擔(dān)心，"火絨安全軟件"可攔截、查殺該病毒。

火絨提醒廣大網(wǎng)友，重要的文件請(qǐng)及時(shí)備份，并安裝安全軟件定期掃描，定期更新高危漏洞補(bǔ)丁以防御勒索病毒帶來(lái)的危害。此外，通過(guò)分析勒索病毒關(guān)鍵節(jié)點(diǎn)的各種攻擊方式，火絨安全產(chǎn)品在各個(gè)維度上都做了有針對(duì)性的防護(hù)措施，如【密碼保護(hù)】、【程序執(zhí)行控制】、【遠(yuǎn)程登錄防護(hù)】等功能。

一、樣本分析

病毒的執(zhí)行流程，如下圖所示：

初始化模塊svcservice.exe啟動(dòng)之后，會(huì)釋放勒索模塊和bat腳本，先執(zhí)行bat腳本來(lái)對(duì)系統(tǒng)做一些設(shè)置如：刪除卷影副本、關(guān)閉UAC、關(guān)閉隱私設(shè)置、禁用系統(tǒng)還原，并運(yùn)行勒索模塊來(lái)對(duì)受害者系統(tǒng)進(jìn)行加密，該模塊跟系統(tǒng)文件同名svchost.exe， 相關(guān)bat腳本內(nèi)容，如下圖所示：

勒索模塊svchost.exe啟動(dòng)后，會(huì)遍歷系統(tǒng)磁盤，相關(guān)代碼，如下圖所示：

使用AES-256算法對(duì)文件進(jìn)行加密，相關(guān)代碼，如下圖所示：

將文件加密后，會(huì)將解密所需的信息用RSA-4096算法進(jìn)行加密，并保存在被加密后的文件尾部，用于解密文件，相關(guān)代碼，如下圖所示：

RSA的公鑰（E,N）其中E為65537，N的值，如下圖所示：

加密完之后，會(huì)在對(duì)應(yīng)目錄下創(chuàng)建勒索信（how_to_decrypt.hta），相關(guān)代碼，如下圖所示：

該勒索病毒還會(huì)添加自啟動(dòng)來(lái)進(jìn)行持久化操作，相關(guān)代碼，如下圖所示：

二、附錄

HASH：