Manuel Statik Analiz — Trigona Ransomware | Tehdit: YUKSEK

Fichier Kimliği

SHA25648877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Nom du fichierbuild.exe (geliştirici yapı ismi — OPSEC yok!)
Taille535.040 byte (522KB)
String Sayisi7.849

xigcgabbzkswmicmkatl: 20 Karakter Rastgele Mutex

MUTEX: Benzersiz rastgele tanımlayıcı!
xigcgabbzkswmicmkatl
-- 20 karakter, tamamı küçük harf, rastgele
-- Trigona'nın sistem mutex tanımlayıcısı
-- Aynı sistemde iki örnek çalışmasın diye kontrol edilir
-- Rastgele üretim: her build için farklı olabilir (anti-tracking)
-- Uzunluk 20: UUID'nin 32 karakterine yakın ama UUID formatında değil

build.exe: Geliştirici Build Adı

build.exe
-- Geliştirici: test/build aşamasındaki binary'yi "build.exe" olarak adlandırmış
-- Production OPSEC: uygulamak için vakit bulamadı
-- Karşılaştırma: diğer ransomware "w.exe" (Akira), "bl3.exe" (LockBit), anonim isimler kullanır
-- "build.exe" = geliştirme sürecinin kopyası kurbanların eline geçmiş

IOC

SHA25648877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Mutexxigcgabbzkswmicmkatl (20 char rastgele)

Trigona — Profil du malware

Trigona ransomware. xigcgabbzkswmicmkatl rastgele mutex. build.exe gelistirici ismi. MoneyMessage ile ilişkili.

Type de malware
Ransomware
Langage de programmation
C++
Protocole C2
HTTP/TOR
Systèmes ciblés
Küresel

Capacités et comportement

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Liste IOC (1 indicateurs)

IOC — Trigona
# SHA256 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValeurNote
sha256 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
trigonaxigcgabbzkswmicmkatl-random-mutexbuild-exe-developer-namegettickcountcomp-dualmutex-random-stringransomware-c2