Um novo ransomware conhecido como Try2Cry está atacando computadores com Windows por meio de unidades flash USB e usando atalhos do sistema operacional (arquivos LNK) que se apresentam como arquivos para atrair as vítimas e infectar os sistemas.
O Try2Cry foi descoberto pelo analista de malware da G Data Karsten Hahn quando, ao analisar uma amostra de malware não identificada, foi acionada uma assinatura de detecção projetada para descobrir componentes de worm USB.
O Try2Cry é um ransomware .NET e outra variante da família de ransomware de código aberto Stupid, encontrado após análise de uma amostra oculta com a ferramenta de proteção de código DNGuard. Sabe-se que variantes do ransomware Stupid são criadas por desenvolvedores de malware menos qualificados e usam regularmente temas legais e cultura pop.
Dez outras amostras de malware Try2Cry foram encontradas pelo pesquisador no VirusTotal enquanto procurava uma variante que não foi ofuscada para facilitar a análise, algumas delas também sem o componente worm.
Ransomware descriptografável com segurança
Após infectar um dispositivo, o Try2Cry criptografa arquivos .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls e .xlsx, acrescentando uma extensão .Try2Cry a todos os arquivos criptografados. Os arquivos das vítimas são criptografados usando o algoritmo de criptografia de chave simétrica Rijndael e uma chave de criptografia codificada.
Veja isso
Novo ransomware para Mac fica escondido em software pirata
Ransomware Maze anuncia invasão nas redes da CPFL e da LG Electronics
O desenvolvedor do Try2Cry também incluiu um código de segurança no código do ransomware, que foi projetado para ignorar a criptografia em qualquer sistema infectado com nomes de máquina DESKTOP-PQ6NSM4 ou IK-PC2. Essa, provavelmente, é uma medida de salvaguarda projetada para permitir que o criador do malware teste o ransomware em seus próprios dispositivos sem correr o risco de bloquear inadvertidamente seus próprios arquivos.
O recurso mais devastador do Try2Cry é a capacidade de infectar e se espalhar para os dispositivos de outras vítimas por meio de unidades flash USB. Para fazer isso, ele usa uma técnica semelhante à usada pelo ransomware Spora e pelo malware de botnet Andromeda (Gamarue ou Wauchos).
O Try2Cry primeiro procura por unidades removíveis conectadas ao computador comprometido e envia uma cópia de si mesmo chamada Update.exe para a pasta raiz de cada unidade flash USB encontrada. Em seguida, ele oculta todos os arquivos na unidade removível e os substitui pelos atalhos do Windows (arquivos LNK) com o mesmo ícone. Quando clicados, todos esses atalhos abrirão o arquivo original e iniciarão a carga útil do Update.exe do Try2Cry em segundo plano.
O ransomware também cria cópias visíveis de si mesmo nas unidades USB, usando a pasta de ícones padrão do Windows e os nomes em árabe, na esperança de que curiosas vítimas cliquem nelas e se infectem. Felizmente, assim como várias outras variantes de ransomware Stupid, o Try2Cry também é descriptografável, um sinal claro de que ele também foi criado por alguém com pouca experiência em programação.