Manuel Statik Analiz — Trigona Ransomware | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | build.exe (geliştirici yapı ismi — OPSEC yok!) |
| Boyut | 535.040 byte (522KB) |
| String Sayisi | 7.849 |
xigcgabbzkswmicmkatl: 20 Karakter Rastgele Mutex
MUTEX: Benzersiz rastgele tanımlayıcı!
xigcgabbzkswmicmkatl -- 20 karakter, tamamı küçük harf, rastgele -- Trigona'nın sistem mutex tanımlayıcısı -- Aynı sistemde iki örnek çalışmasın diye kontrol edilir -- Rastgele üretim: her build için farklı olabilir (anti-tracking) -- Uzunluk 20: UUID'nin 32 karakterine yakın ama UUID formatında değil
build.exe: Geliştirici Build Adı
build.exe -- Geliştirici: test/build aşamasındaki binary'yi "build.exe" olarak adlandırmış -- Production OPSEC: uygulamak için vakit bulamadı -- Karşılaştırma: diğer ransomware "w.exe" (Akira), "bl3.exe" (LockBit), anonim isimler kullanır -- "build.exe" = geliştirme sürecinin kopyası kurbanların eline geçmiş
IOC
| SHA256 | 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Mutex | xigcgabbzkswmicmkatl (20 char rastgele) |
Trigona — Malware Profile
Trigona ransomware. xigcgabbzkswmicmkatl rastgele mutex. build.exe gelistirici ismi. MoneyMessage ile ilişkili.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTP/TOR
Target Systems
Küresel
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — Trigona
# SHA256
48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |