内容摘要：近日，Microsoft SQL MS-SQL） 服务器遭到攻击，因其安全性较差，入侵者进入服务器后直接安装了 Trigona 勒索软件，并加密了所有文件。入侵者是利用了那些极易被猜到的帐户凭据为突破

近日，微软务器Microsoft SQL （MS-SQL） 服务器遭到攻击，遭黑因其安全性较差 ，客入入侵者进入服务器后直接安装了 Trigona 勒索软件，有文并加密了所有文件。被加

入侵者是微软务器利用了那些极易被猜到的帐户凭据为突破点 ，暴力攻击了MS-SQL 服务器 ，遭黑并安装了名为CLR Shell的客入恶意软件，这次攻击是有文被韩国网络安全公司AhnLab的高防服务器安全研究人员发现的 。

这种恶意软件专门用于收集系统信息 ，被加还可以直接更改那些被入侵的微软务器帐户配置。此外 
，遭黑该软件还可以利用Windows辅助登录服务中的客入漏洞将特权升级到LocalSystem ，不过想完成这个操作需要启动勒索软件。有文AhnLab表示，被加CLR Shell是一种CLR汇编恶意软件，云计算该软件在接收入侵者的命令后可直接执行恶意入侵行为 ，运行模式有点类似于web服务器的webshell。

然后入侵者会在下一阶段安装一个恶意软件dropper ，用作svcservice.exe服务
 ，继而就能启动Trigona勒索软件
，作为svchost.exe 。此外，他们还会配置勒索软件二进制文件 
。在每次系统重新启动时 ，通过Windows自动运行密钥自动启动
，源码库以确保系统在重新启动后仍处于被加密的状态。

在拿到赎金前，这个恶意软件会禁用系统针对Windows卷影副本进行恢复、删除的相关操作，所以要想恢复系统必须要有解密密钥。

Trigona勒索信，图源：BleepingComputer

2022年10月 ，MalwareHunterTeam首次发现了该恶意软件 。在赎金方面，Trigona勒索软件仅接受门罗币加密货币。香港云服务器

Trigona会加密受害者设备上的所有文件，除了特定文件夹中的文件
，包括Windows和Program files目录 。该软件通过添加“._locked”为扩展名，以重命名加密文件 ，并在每个被锁定的文件中嵌入加密的解密密钥 、活动ID和受害者ID(公司名称)。在进行这些加密操作之前
 ，亿华云该团伙还声称已经窃取到了一些敏感文件，并且表示这些文件将被放到暗网上 。

该软件还会创建名为“how_to_decrypt”的赎金笔记 。每个文件夹中都包含一些入侵系统的信息 ，比如Trigona Tor协商网站的访问链接，以及包含登录协商网站所需的授权密钥。

Trigona样本提交（ID勒索软件） 

自今年年初以来 ，Trigona勒索软件团伙已经发起了多次攻击事件。免费模板据统计，仅向ID勒索软件平台发起的攻击事件至少有190起。