Ransomware ataca computadores com Windows infectando unidades flash USB e usando atalhos do sistema operacional, arquivos LNK

ransomware-2019.jpg

Um novo ransomware conhecido como Try2Cry está atacando computadores com Windows por meio de unidades flash USB e usando atalhos do sistema operacional (arquivos LNK) que se apresentam como arquivos para atrair as vítimas e infectar os sistemas.

O Try2Cry foi descoberto pelo analista de malware da G Data Karsten Hahn quando, ao analisar uma amostra de malware não identificada, foi acionada uma assinatura de detecção projetada para descobrir componentes de worm USB.

O Try2Cry é um ransomware .NET e outra variante da família de ransomware de código aberto Stupid, encontrado após análise de uma amostra oculta com a ferramenta de proteção de código DNGuard. Sabe-se que variantes do ransomware Stupid são criadas por desenvolvedores de malware menos qualificados e usam regularmente temas legais e cultura pop.

Dez outras amostras de malware Try2Cry foram encontradas pelo pesquisador no VirusTotal enquanto procurava uma variante que não foi ofuscada para facilitar a análise, algumas delas também sem o componente worm.

Ransomware descriptografável com segurança

Após infectar um dispositivo, o Try2Cry criptografa arquivos .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls e .xlsx, acrescentando uma extensão .Try2Cry a todos os arquivos criptografados. Os arquivos das vítimas são criptografados usando o algoritmo de criptografia de chave simétrica Rijndael e uma chave de criptografia codificada.

O desenvolvedor do Try2Cry também incluiu um código de segurança no código do ransomware, que foi projetado para ignorar a criptografia em qualquer sistema infectado com nomes de máquina DESKTOP-PQ6NSM4 ou IK-PC2. Essa, provavelmente, é uma medida de salvaguarda projetada para permitir que o criador do malware teste o ransomware em seus próprios dispositivos sem correr o risco de bloquear inadvertidamente seus próprios arquivos.

O recurso mais devastador do Try2Cry é a capacidade de infectar e se espalhar para os dispositivos de outras vítimas por meio de unidades flash USB. Para fazer isso, ele usa uma técnica semelhante à usada pelo ransomware Spora e pelo malware de botnet Andromeda (Gamarue ou Wauchos).

O Try2Cry primeiro procura por unidades removíveis conectadas ao computador comprometido e envia uma cópia de si mesmo chamada Update.exe para a pasta raiz de cada unidade flash USB encontrada. Em seguida, ele oculta todos os arquivos na unidade removível e os substitui pelos atalhos do Windows (arquivos LNK) com o mesmo ícone. Quando clicados, todos esses atalhos abrirão o arquivo original e iniciarão a carga útil do Update.exe do Try2Cry em segundo plano.

O ransomware também cria cópias visíveis de si mesmo nas unidades USB, usando a pasta de ícones padrão do Windows e os nomes em árabe, na esperança de que curiosas vítimas cliquem nelas e se infectem. Felizmente, assim como várias outras variantes de ransomware Stupid, o Try2Cry também é descriptografável, um sinal claro de que ele também foi criado por alguém com pouca experiência em programação.

Fonte: CISO Advisor (https://www.cisoadvisor.com.br/ransomware-try2cry-abre-caminho-para-atacar-sistemas-windows/)