Triclyde-Ransomware

Eine neue Variante von Malware zur Dateiverschlüsselung wurde in freier Wildbahn entdeckt. Die neue Ransomware heißt Triclyde und gehört zur Familie der Nominatus-Ransomware-Klone.

Triclyde tut, was jeder andere Ransomware-Stamm tut – es verschlüsselt die meisten Dateien auf dem Zielsystem und lässt systemrelevante Dateien intakt, damit das System weiterlaufen kann. Was die Triclyde-Ransomware ein wenig anders macht, ist der Umgang mit bereits verschlüsselten Dateien.

Während fast jeder andere Ransomware-Stamm irgendeine Art von Änderung an den Erweiterungen verschlüsselter Dateien vornimmt, indem neue Zeichenfolgen an die ursprüngliche Erweiterung angehängt werden, um eine verschlüsselte Datei zu kennzeichnen, tut Triclyde nichts – Dateien bleiben unberührt, wenn es um ihre Namen und Erweiterungen in Windows geht Forscher. Sie können nicht erkennen, ob eine Datei verschlüsselt ist oder nicht, wenn Sie sich nur einen Ordner ansehen.

Die Ransomware lässt ihre Lösegeldforderungen in einem Popup-Fenster fallen, das angezeigt wird, sobald die Verschlüsselung abgeschlossen ist. Die kurze und übermäßig dramatische Lösegeldforderung lautet wie folgt:

Triklyde

Nominatus Ransomware-Familie

2020-2022

-------------------------------

Alle Dateien wurden von Triclyde verschlüsselt!

Wenden Sie sich an den Ersteller dieses Virus Nominatus#9251, um weitere Informationen zu erhalten

sein altes Konto (Nominatus#1297) wurde deaktiviert.

Starten Sie nicht neu, weil wir das Passwort Ihres Kontos geändert haben!

lebe oder sterbe? treffen Sie jetzt Ihre Wahl!

Die Tatsache, dass der Ransomware-Betreiber Discord als bevorzugte Kontaktplattform gewählt hat, sollte ein Hinweis auf seine Expertise sein. Natürlich ist es niemals ratsam, Kriminelle zu kontaktieren und mit ihnen zu verhandeln.