Rançongiciel Triclyde
Une nouvelle variante de logiciel malveillant de cryptage de fichiers a été repérée dans la nature. Le nouveau ransomware s'appelle Triclyde et appartient à la famille des clones de ransomware Nominatus.
Triclyde fait ce que font toutes les autres souches de rançongiciels : il crypte la majorité des fichiers sur le système cible, laissant intacts les fichiers essentiels au système afin que le système puisse continuer à fonctionner. Ce que le rançongiciel Triclyde fait un peu différemment, c'est la façon dont il gère les fichiers qui sont déjà cryptés.
Alors que presque toutes les autres souches de rançongiciels modifient d'une manière ou d'une autre les extensions des fichiers cryptés, en ajoutant de nouvelles chaînes après l'extension d'origine pour désigner un fichier crypté, Triclyde ne fait rien - les fichiers ne sont pas modifiés en ce qui concerne leurs noms et extensions dans Windows Explorateur. Vous ne pouvez pas dire si un fichier est crypté ou non si vous regardez simplement un dossier.
Le rançongiciel dépose ses demandes de rançon dans une fenêtre contextuelle qui s'affiche une fois le cryptage terminé. La note de rançon brève et trop dramatique se déroule comme suit :
Triclyde
Famille de rançongiciels Nominatus
2020-2022
-------------------------------
Tous les fichiers ont été cryptés par Triclyde !
Contactez le créateur de ce virus Nominatus#9251 pour plus d'informations
son ancien compte (Nominatus#1297) a été désactivé..
ne redémarrez pas car nous avons changé le mot de passe de votre compte !
vivre ou mourir? faites votre choix maintenant !
Le fait que l'opérateur de ransomware ait choisi Discord comme plate-forme de contact de choix devrait être révélateur de son expertise. Bien sûr, contacter des criminels et négocier avec eux n'est jamais conseillé.
