ในช่วงต้นปีที่ผ่านมา ทีมงาน MalwareHunterTeam ค้นพบ Ransomware ชนิดใหม่ที่ยังไม่มีการระบุชื่อ ในช่วงแรกมีการใช้อีเมลเพื่อการเจรจาต่อรองกับเหยื่อ แต่ในปัจจุบันมีการรีแบรนด์ใหม่โดยใช้ชื่อว่า Trigona ซึ่งนอกจากการรีแบรนด์ใหม่แล้วยังมีการเปิดตัวเว็ปไซต์เพื่อเจรจากับเป้าหมายผ่าน Tor Browser อีกด้วย ซึ่งในปัจจุบันมีเหยื่อหลายรายที่ตกเป็นเป้าหมายของ Ransomware ชนิดนี้ มีทั้งบริษัทอสังหาริมทรัพย์ และหมู่บ้านในเยอรมนี

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก BleepingComputer วิเคราะห์ตัวอย่างล่าสุดของ Trigona พบว่ามีการใช้ Command Line ดังต่อไปนี้
/full
/!autorun
/test_cid
/test_vid
/path
/!local
/!lan
/autorun_only
/autorun_only
การเข้ารหัสไฟล์ Trigona จะทำการเข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์ ยกเว้นไฟล์ที่อยู่ใน Folder เฉพาะ เช่น Windows และ Program Files
หลังจากเข้ารหัสเรียบร้อย Ransomware จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสเพื่อใช้นามสกุล ._locked ตัวอย่างเช่น ไฟล์ 1.doc จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 1.doc.