Triclyde Ransomware
Na wolności wykryto nowy wariant złośliwego oprogramowania szyfrującego pliki. Nowe oprogramowanie ransomware nosi nazwę Triclyde i należy do rodziny klonów oprogramowania ransomware Nominatus.
Triclyde robi to samo, co każda inna odmiana oprogramowania ransomware — szyfruje większość plików w systemie docelowym, pozostawiając nienaruszone pliki kluczowe, aby system mógł działać dalej. To, co ransomware Triclyde robi nieco inaczej, to sposób obsługi plików, które są już zaszyfrowane.
Podczas gdy prawie każdy inny szczep ransomware wprowadza jakieś zmiany w rozszerzeniach zaszyfrowanych plików, dodając nowe ciągi po oryginalnym rozszerzeniu w celu oznaczenia zaszyfrowanego pliku, Triclyde nic nie robi – pliki pozostają nietknięte, jeśli chodzi o ich nazwy i rozszerzenia w systemie Windows Poszukiwacz. Nie możesz stwierdzić, czy plik jest zaszyfrowany, czy nie, jeśli po prostu spojrzysz na folder.
Oprogramowanie ransomware zrzuca żądanie okupu w wyskakującym oknie, które jest wyświetlane po zakończeniu szyfrowania. Krótka i zbyt dramatyczna notatka dotycząca okupu brzmi następująco:
Triclyde
Rodzina Nominatus Ransomware
2020-2022
-------------------------------
Wszystkie pliki zostały zaszyfrowane przez Triclyde!
Skontaktuj się z twórcą tego wirusa Nominatus#9251, aby uzyskać więcej informacji
jego stare konto (Nominatus#1297) zostało wyłączone..
nie uruchamiaj ponownie, ponieważ zmieniliśmy hasło do Twojego konta!
Żyj lub umieraj? dokonaj wyboru już teraz!
Fakt, że operator ransomware wybrał Discord jako swoją ulubioną platformę kontaktową, powinien wskazywać na ich wiedzę fachową. Oczywiście kontaktowanie się z przestępcami i negocjowanie z nimi nigdy nie jest wskazane.