Manuel Statik Analiz — Trigona Ransomware | Tehdit: YUKSEK

Dosya Kimliği

SHA25648877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya Adıbuild.exe (geliştirici yapı ismi — OPSEC yok!)
Boyut535.040 byte (522KB)
String Sayisi7.849

xigcgabbzkswmicmkatl: 20 Karakter Rastgele Mutex

MUTEX: Benzersiz rastgele tanımlayıcı!
xigcgabbzkswmicmkatl
-- 20 karakter, tamamı küçük harf, rastgele
-- Trigona'nın sistem mutex tanımlayıcısı
-- Aynı sistemde iki örnek çalışmasın diye kontrol edilir
-- Rastgele üretim: her build için farklı olabilir (anti-tracking)
-- Uzunluk 20: UUID'nin 32 karakterine yakın ama UUID formatında değil

build.exe: Geliştirici Build Adı

build.exe
-- Geliştirici: test/build aşamasındaki binary'yi "build.exe" olarak adlandırmış
-- Production OPSEC: uygulamak için vakit bulamadı
-- Karşılaştırma: diğer ransomware "w.exe" (Akira), "bl3.exe" (LockBit), anonim isimler kullanır
-- "build.exe" = geliştirme sürecinin kopyası kurbanların eline geçmiş

IOC

SHA25648877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Mutexxigcgabbzkswmicmkatl (20 char rastgele)

Trigona — Malware Profile

Trigona ransomware. xigcgabbzkswmicmkatl rastgele mutex. build.exe gelistirici ismi. MoneyMessage ile ilişkili.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTP/TOR
Target Systems
Küresel

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — Trigona
# SHA256 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 48877a3a4c72c1da535040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
trigonaxigcgabbzkswmicmkatl-random-mutexbuild-exe-developer-namegettickcountcomp-dualmutex-random-stringransomware-c2