Triclyde Ransomware
En ny variant af filkryptering af malware er blevet opdaget i naturen. Den nye ransomware hedder Triclyde og tilhører familien af Nominatus ransomware-kloner.
Triclyde gør, hvad enhver anden ransomware-stamme gør - den krypterer størstedelen af filerne på målsystemet og efterlader system-essentielle filer intakte, så systemet kan fortsætte med at køre. Hvad Triclyde ransomware gør lidt anderledes, er hvordan den håndterer filer, der allerede er krypteret.
Mens næsten alle andre stammer af ransomware foretager en eller anden form for ændring af udvidelserne af krypterede filer, ved at tilføje nye strenge efter den originale udvidelse for at angive en krypteret fil, gør Triclyde intet - filer efterlades uberørt, når det kommer til deres navne og udvidelser i Windows Explorer. Du kan ikke se, om en fil er krypteret eller ej, hvis du blot ser på en mappe.
Ransomwaren dropper sine krav om løsesum i et pop-up-vindue, der vises, når krypteringen er færdig. Den korte og alt for dramatiske løsesum lyder som følger:
Triclyde
Nominatus Ransomware-familie
2020-2022
------------------------------------
Alle filer er blevet krypteret af Triclyde!
Kontakt skaberen af denne virus Nominatus#9251 for mere information
hans gamle konto (Nominatus#1297) er blevet deaktiveret..
genstart ikke, fordi vi har ændret din kontos adgangskode!
leve eller dø? tag dit valg nu!
Det faktum, at ransomware-operatøren valgte Discord som deres foretrukne kontaktplatform, burde være et udtryk for deres ekspertise. Det er selvfølgelig aldrig tilrådeligt at kontakte kriminelle og forhandle med dem.
