Triclyde ransomware
Una nuova variante del malware per la crittografia dei file è stata individuata in natura. Il nuovo ransomware si chiama Triclyde e appartiene alla famiglia dei cloni ransomware Nominatus.
Triclyde fa quello che fa qualsiasi altro tipo di ransomware: crittografa la maggior parte dei file sul sistema di destinazione, lasciando intatti i file essenziali per il sistema in modo che il sistema possa continuare a funzionare. Ciò che il ransomware Triclyde fa in modo leggermente diverso è il modo in cui gestisce i file che sono già crittografati.
Mentre quasi tutti gli altri tipi di ransomware apportano una sorta di alterazione alle estensioni dei file crittografati, aggiungendo nuove stringhe dopo l'estensione originale per denotare un file crittografato, Triclyde non fa nulla: i file non vengono toccati quando si tratta di nomi ed estensioni in Windows Esploratore. Non puoi dire se un file è crittografato o meno se guardi semplicemente una cartella.
Il ransomware rilascia le sue richieste di riscatto all'interno di una finestra pop-up che viene visualizzata al termine della crittografia. La breve ed eccessivamente drammatica richiesta di riscatto è la seguente:
Triclide
Nominatus ransomware famiglia
2020-2022
-------------------------------
Tutti i file sono stati crittografati da Triclyde!
Contatta il creatore di questo virus Nominatus#9251 per ulteriori informazioni
il suo vecchio account (Nominatus#1297) è stato disabilitato..
non riavviare perché abbiamo cambiato la password del tuo account!
vivi o muori? fai la tua scelta ora!
Il fatto che l'operatore di ransomware abbia scelto Discord come piattaforma di contatto preferita dovrebbe essere indicativo della sua esperienza. Naturalmente non è mai consigliabile contattare i criminali e negoziare con loro.
