微软SQL服务器遭黑客入侵 全部文件都被加密

最近微软的SQL（MS-SQL）服务器的安全受到了威胁，因其安全性较差，入侵者进入服务器后直接安装了 Trigona 勒索软件，并加密了所有文件。

然后入侵者会在下一阶段安装一个恶意软件dropper，用作svcservice.exe服务，继而就能启动Trigona勒索软件，作为svchost.exe。此外，他们还会配置勒索软件二进制文件。在每次系统重新启动时，通过Windows自动运行密钥自动启动，以确保系统在重新启动后仍处于被加密的状态。

Trigona会加密受害者设备上的所有文件，除了特定文件夹中的文件，包括Windows和Program files目录。该软件通过添加“._locked”为扩展名，以重新命名加密文件，并在每个被锁定的文件中嵌入加密的解密密钥、活动ID和受害者ID(公司名称)。在进行这些加密操作之前，该团伙还声称已经窃取到了一些敏感文件，并且表示这些删除的文件将被恶意软件放到暗网上。

该软件还会创建名为“how_to_decrypt”的赎金笔记。每个文件夹中都包含一些入侵系统的信息，比如Trigona Tor协商网站的访问链接，以及包含登录协商网站所需的授权密钥。这些信息可以帮助攻击者绕过安全措施，从而进入受害者的计算机。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!