AhnLab发现勒索软件Trigona攻击MS-SQL服务器的活动

17日，AhnLab称近期发现勒索软件Trigona攻击管理不善的MS-SQL服务器的活动。据推测，攻击者在安装Trigona之前首先安装了恶意软件CLR Shell。CLR Shell有一个利用提权漏洞的例程。MS-SQL进程sqlservr.exe以svcservice.exe的名义安装Trigona。svcservice.exe是一个dropper，它在同一路径上创建并执行实际的Trigona勒索软件，即svchost.exe。