Jump to content

Try2Cry ransomware: Μολύνει μονάδες flash USB


Recommended Posts

Δημοσίευσε

Ένα νέο ransomware γνωστό ως Try2Cry προσπαθεί να “φτάσει” σε άλλους υπολογιστές Windows μολύνοντας μονάδες flash USB, χρησιμοποιώντας συντομεύσεις Windows (αρχεία LNK) παριστάνωντας αρχεία χρηστών για να τους παρασύρουν να μολύνουν τον εαυτό τους.

Το ransomware Try2Cry ανακαλύφθηκε από τον αναλυτή κακόβουλου λογισμικού G DATA, Karsten Hahn, όταν ενεργοποιήθηκε μια υπογραφή ανίχνευσης που έχει σχεδιαστεί για να εντοπίζει USB worm components κατά την ανάλυση ενός δείγματος κακόβουλου λογισμικού.

Το Try2Cry είναι ένα .NET ransomware και μια άλλη παραλλαγή της οικογένειας Stupid ransomware, όπως εντόπισε ο Hann μετά από ανάλυση ενός δείγματος που συγκαλύφθηκε με το εργαλείο προστασίας κώδικα DNGuard.

Οι παραλλαγές του Stupid ransomware είναι συνήθως γνωστό ότι δημιουργούνται από λιγότερο εξειδικευμένους προγραμματιστές κακόβουλου λογισμικού.

Try2Cry ransomware

Πως λειτουργεί το Try2Cry ransomware;

Αφού μολύνει μια συσκευή, το Try2Cry ransomware θα κρυπτογραφήσει τα αρχεία .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls και .xlsx, προσαρτώντας μια επέκταση .Try2Cry σε όλα τα κρυπτογραφημένα αρχεία.

Τα αρχεία των θυμάτων κρυπτογραφούνται χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης συμμετρικού κλειδιού Rijndael και ένα κλειδί κρυπτογράφησης.

“Το κλειδί κρυπτογράφησης δημιουργείται με τον υπολογισμό ενός SHA512 hash του κωδικού πρόσβασης και χρησιμοποιώντας τα πρώτα 32 bit αυτού του hash”, εξηγεί ο Hahn.

Try2Cry-encryption-key-calculation.png

Ο προγραμματιστής του Try2Cry έχει επίσης συμπεριλάβει ένα «failsafe» στον κώδικα ransomware που έχει σχεδιαστεί για να παραλείψει την κρυπτογράφηση σε όλα τα μολυσμένα συστήματα με ονόματα συστημάτων DESKTOP-PQ6NSM4 ή IK-PC2.

Αυτό είναι πιθανότατα ένα μέτρο διασφάλισης που έχει σχεδιαστεί για να επιτρέπει στον δημιουργό του κακόβουλου λογισμικού να δοκιμάζει το ransomware στις δικές του συσκευές χωρίς να κινδυνεύει να κλειδώσει κατά λάθος τα δικά του αρχεία.

Try2Cry-ransom-note-in-strings-listing.p

Το πιο ενδιαφέρον χαρακτηριστικό του Try2Cry είναι η ικανότητά του να μολύνει και να προσπαθεί να εξαπλωθεί σε άλλες συσκευές πιθανών θυμάτων μέσω μονάδων flash USB.

Για να το κάνει αυτό χρησιμοποιεί μια παρόμοια τεχνική με αυτήν που χρησιμοποιείται από το Spora ransomware και το κακόβουλο λογισμικό Andromeda (Gamarue ή Wauchos).

Το Try2Cry αναζητά πρώτα για τυχόν αφαιρούμενες μονάδες που είναι συνδεδεμένες στον παραβιασμένο υπολογιστή και μετά στέλνει ένα αντίγραφο του ίδιου με το όνομα Update.exe στον root φάκελο κάθε μονάδας flash USB που βρίσκει.

Try2Cry-infecting-USB-drives.png

Στη συνέχεια, κρύβει όλα τα αρχεία στην αφαιρούμενη μονάδα δίσκου και τα αντικαθιστά με συντομεύσεις Windows (αρχεία LNK) με το ίδιο εικονίδιο.

Όταν ο χρήστης κάνει κλικ, όλες αυτές οι συντομεύσεις θα ανοίξουν το αρχικό αρχείο και θα κάνουν εκκίνηση επίσης το payload Update.exe Try2Cry ransomware στο παρασκήνιο.

Το ransomware δημιουργεί επίσης ορατά αντίγραφα του εαυτού του στις μονάδες USB, χρησιμοποιώντας τον προεπιλεγμένο φάκελο εικονιδίων των Windows και αραβικά ονόματα, με την ελπίδα ότι τα θύματα θα κάνουν κλικ σε αυτά και θα μολύνουν τους εαυτούς τους.

Ευτυχώς, όπως και πολλές άλλες παραλλαγές Stupid ransomware, το Try2Cry ransomware είναι επίσης αποκρυπτογραφημένο, ένα σίγουρο σημάδι ότι δημιουργήθηκε από κάποιον με πολύ μικρή εμπειρία προγραμματισμού.

Let's block ads! (Why?)

Πηγή Είδησης

Δημιουργήστε έναν λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε ένα σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε για έναν νέο λογαριασμό στην κοινότητά μας.

Δημιουργία νέου λογαριασμού

Συνδεθείτε

Έχετε ήδη λογαριασμό? Συνδεθείτε εδώ.

Συνδεθείτε τώρα
×
×
  • Δημιουργία νέου...