CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

ransomware-2019.jpg

Ransomware Try2Cry abre caminho para atacar sistemas Windows

Da Redação
05/07/2020

Um novo ransomware conhecido como Try2Cry está atacando computadores com Windows por meio de unidades flash USB e usando atalhos do sistema operacional (arquivos LNK) que se apresentam como arquivos para atrair as vítimas e infectar os sistemas.

O Try2Cry foi descoberto pelo analista de malware da G Data Karsten Hahn quando, ao analisar uma amostra de malware não identificada, foi acionada uma assinatura de detecção projetada para descobrir componentes de worm USB.

O Try2Cry é um ransomware .NET e outra variante da família de ransomware de código aberto Stupid, encontrado após análise de uma amostra oculta com a ferramenta de proteção de código DNGuard. Sabe-se que variantes do ransomware Stupid são criadas por desenvolvedores de malware menos qualificados e usam regularmente temas legais e cultura pop.

Dez outras amostras de malware Try2Cry foram encontradas pelo pesquisador no VirusTotal enquanto procurava uma variante que não foi ofuscada para facilitar a análise, algumas delas também sem o componente worm.

Ransomware descriptografável com segurança

Após infectar um dispositivo, o Try2Cry criptografa arquivos .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls e .xlsx, acrescentando uma extensão .Try2Cry a todos os arquivos criptografados. Os arquivos das vítimas são criptografados usando o algoritmo de criptografia de chave simétrica Rijndael e uma chave de criptografia codificada.

Veja isso
Novo ransomware para Mac fica escondido em software pirata
Ransomware Maze anuncia invasão nas redes da CPFL e da LG Electronics

O desenvolvedor do Try2Cry também incluiu um código de segurança no código do ransomware, que foi projetado para ignorar a criptografia em qualquer sistema infectado com nomes de máquina DESKTOP-PQ6NSM4 ou IK-PC2. Essa, provavelmente, é uma medida de salvaguarda projetada para permitir que o criador do malware teste o ransomware em seus próprios dispositivos sem correr o risco de bloquear inadvertidamente seus próprios arquivos.

O recurso mais devastador do Try2Cry é a capacidade de infectar e se espalhar para os dispositivos de outras vítimas por meio de unidades flash USB. Para fazer isso, ele usa uma técnica semelhante à usada pelo ransomware Spora e pelo malware de botnet Andromeda (Gamarue ou Wauchos).

O Try2Cry primeiro procura por unidades removíveis conectadas ao computador comprometido e envia uma cópia de si mesmo chamada Update.exe para a pasta raiz de cada unidade flash USB encontrada. Em seguida, ele oculta todos os arquivos na unidade removível e os substitui pelos atalhos do Windows (arquivos LNK) com o mesmo ícone. Quando clicados, todos esses atalhos abrirão o arquivo original e iniciarão a carga útil do Update.exe do Try2Cry em segundo plano.

O ransomware também cria cópias visíveis de si mesmo nas unidades USB, usando a pasta de ícones padrão do Windows e os nomes em árabe, na esperança de que curiosas vítimas cliquem nelas e se infectem. Felizmente, assim como várias outras variantes de ransomware Stupid, o Try2Cry também é descriptografável, um sinal claro de que ele também foi criado por alguém com pouca experiência em programação.

Compartilhar: