Manuel Statik Analiz — Trigona Ransomware | Tehdit: YUKSEK

文件 Kimliği

SHA25648877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
文件名build.exe (geliştirici yapı ismi — OPSEC yok!)
大小535.040 byte (522KB)
String Sayisi7.849

xigcgabbzkswmicmkatl: 20 Karakter Rastgele Mutex

MUTEX: Benzersiz rastgele tanımlayıcı!
xigcgabbzkswmicmkatl
-- 20 karakter, tamamı küçük harf, rastgele
-- Trigona'nın sistem mutex tanımlayıcısı
-- Aynı sistemde iki örnek çalışmasın diye kontrol edilir
-- Rastgele üretim: her build için farklı olabilir (anti-tracking)
-- Uzunluk 20: UUID'nin 32 karakterine yakın ama UUID formatında değil

build.exe: Geliştirici Build Adı

build.exe
-- Geliştirici: test/build aşamasındaki binary'yi "build.exe" olarak adlandırmış
-- Production OPSEC: uygulamak için vakit bulamadı
-- Karşılaştırma: diğer ransomware "w.exe" (Akira), "bl3.exe" (LockBit), anonim isimler kullanır
-- "build.exe" = geliştirme sürecinin kopyası kurbanların eline geçmiş

IOC

SHA25648877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Mutexxigcgabbzkswmicmkatl (20 char rastgele)

Trigona — 恶意软件档案

Trigona ransomware. xigcgabbzkswmicmkatl rastgele mutex. build.exe gelistirici ismi. MoneyMessage ile ilişkili.

恶意软件类型
Ransomware
编程语言
C++
C2协议
HTTP/TOR
目标系统
Küresel

能力与行为

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC列表 (1 个指标)

IOC — Trigona
# SHA256 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
类型备注
sha256 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
标签
trigonaxigcgabbzkswmicmkatl-random-mutexbuild-exe-developer-namegettickcountcomp-dualmutex-random-stringransomware-c2