ransomware-2019.jpg

Ransomware Try2Cry abre caminho para atacar sistemas Windows

Ransomware ataca computadores com Windows infectando unidades flash USB e usando atalhos do sistema operacional, arquivos LNK
Da Redação
05/07/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um novo ransomware conhecido como Try2Cry está atacando computadores com Windows por meio de unidades flash USB e usando atalhos do sistema operacional (arquivos LNK) que se apresentam como arquivos para atrair as vítimas e infectar os sistemas.

O Try2Cry foi descoberto pelo analista de malware da G Data Karsten Hahn quando, ao analisar uma amostra de malware não identificada, foi acionada uma assinatura de detecção projetada para descobrir componentes de worm USB.

O Try2Cry é um ransomware .NET e outra variante da família de ransomware de código aberto Stupid, encontrado após análise de uma amostra oculta com a ferramenta de proteção de código DNGuard. Sabe-se que variantes do ransomware Stupid são criadas por desenvolvedores de malware menos qualificados e usam regularmente temas legais e cultura pop.

Dez outras amostras de malware Try2Cry foram encontradas pelo pesquisador no VirusTotal enquanto procurava uma variante que não foi ofuscada para facilitar a análise, algumas delas também sem o componente worm.

Ransomware descriptografável com segurança

Após infectar um dispositivo, o Try2Cry criptografa arquivos .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls e .xlsx, acrescentando uma extensão .Try2Cry a todos os arquivos criptografados. Os arquivos das vítimas são criptografados usando o algoritmo de criptografia de chave simétrica Rijndael e uma chave de criptografia codificada.

Veja isso
Novo ransomware para Mac fica escondido em software pirata
Ransomware Maze anuncia invasão nas redes da CPFL e da LG Electronics

O desenvolvedor do Try2Cry também incluiu um código de segurança no código do ransomware, que foi projetado para ignorar a criptografia em qualquer sistema infectado com nomes de máquina DESKTOP-PQ6NSM4 ou IK-PC2. Essa, provavelmente, é uma medida de salvaguarda projetada para permitir que o criador do malware teste o ransomware em seus próprios dispositivos sem correr o risco de bloquear inadvertidamente seus próprios arquivos.

O recurso mais devastador do Try2Cry é a capacidade de infectar e se espalhar para os dispositivos de outras vítimas por meio de unidades flash USB. Para fazer isso, ele usa uma técnica semelhante à usada pelo ransomware Spora e pelo malware de botnet Andromeda (Gamarue ou Wauchos).

O Try2Cry primeiro procura por unidades removíveis conectadas ao computador comprometido e envia uma cópia de si mesmo chamada Update.exe para a pasta raiz de cada unidade flash USB encontrada. Em seguida, ele oculta todos os arquivos na unidade removível e os substitui pelos atalhos do Windows (arquivos LNK) com o mesmo ícone. Quando clicados, todos esses atalhos abrirão o arquivo original e iniciarão a carga útil do Update.exe do Try2Cry em segundo plano.

O ransomware também cria cópias visíveis de si mesmo nas unidades USB, usando a pasta de ícones padrão do Windows e os nomes em árabe, na esperança de que curiosas vítimas cliquem nelas e se infectem. Felizmente, assim como várias outras variantes de ransomware Stupid, o Try2Cry também é descriptografável, um sinal claro de que ele também foi criado por alguém com pouca experiência em programação.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório