Try2Cry 勒索軟件已經實現蠕蟲感染其他 Windows 系統的能力

一款名為Try2Cry的勒索軟件利用受感染的USB閃存驅動器和Windows快捷方式(LNK文件)感染其他Windows系統。

一種名為Try2Cry的新勒索軟件通過使用USB閃存驅動器或Windows快捷方式（LNK文件）實現了可感染病毒的功能，以感染其他Windows系統。

惡意軟件研究員Karsten Hahn在分析一個未識別的惡意軟件樣本時發現了Try2Cry勒索軟件。

專家正在測試公司產品的檢測簽名，當其中一個簽名用于檢查在基于.NET RAT的某些變體中實現的USB蠕蟲組件時，會觸發警報。專家發現了一個未知的.NET勒索軟件，該軟件似乎很常見。

Hann編寫了Yara規則，以查找其他上載到VirusTotal的樣本，并且能夠分析使用DNGuard代碼保護工具混淆的樣本。

在與惡意軟件研究員Michael Gillespie進行私人交談后，研究人員將樣本標識為“愚蠢”勒索軟件家族的變體。

“的確，我發現了另外10個Try2Cry樣本，這些樣本都沒有DNGuard保護。這些樣本中有一些具有蠕蟲成分，而有些則沒有。其中一些帶有阿拉伯贖金票據。它們都將.Try2Cry附加到加密文件中。” 專家發表的分析中寫道。

該惡意軟件使用Rijndael算法，并對加密密碼進行硬編碼。通過計算密碼的SHA512哈希值并使用此哈希值的前32位來創建加密密鑰。

Try2Cry勒索軟件針對多種文件類型，包括.doc，.ppt，.jpg，.xls，.pdf，.docx，.pptx，.xls和.xlsx文件，并將.Try2Cry擴展名附加到所有加密文件中。

使用Rijndael對稱密鑰加密算法和硬編碼加密密鑰對受害者的文件進行加密。

專家注意到，勒索軟件不會對名稱為DESKTOP-PQ6NSM4和IK-PC2的系統進行加密，這被認為是惡意軟件開發人員機器的名稱，并被用來測試惡意軟件。

Try2Cry的開發人員還在勒索軟件的代碼中包含了一個故障保護功能，該功能旨在在具有DESKTOP-PQ6NSM4或IK-PC2計算機名稱的任何受感染系統上跳過加密。

Try2Cry以其試圖通過USB閃存驅動器傳播到其他潛在受害者的設備而出眾。

它使用的技術類似于Spora勒索軟件和Spora，Dinihou或Gamarue惡意軟件所使用的技術。

Try2Cry勒索軟件會搜索連接到受感染計算機的任何可移動驅動器，然后將其自身的副本Update.exe保存 到找到的每個USB閃存驅動器的根文件夾中。

接下來，勒索軟件將隱藏可移動驅動器上的所有文件，并將其替換為帶有相同圖標的Windows快捷方式（LNK文件）。

單擊鏈接后，將 在后臺打開原始文件以及 Update.exe Try2Cry勒索軟件有效負載。

勒索軟件還使用默認的Windows圖標文件夾和阿拉伯名稱在USB驅動器上創建其自身的可見副本，以試圖誘騙受害者單擊它們。

“與Spora不同，有跡象表明USB驅動器已被感染，例如快捷方式圖標一角的箭頭和其他阿拉伯可執行文件。” 專家繼續說道。

好消息是，像Stupid勒索軟件變種的其他變體一樣，Try2Cry勒索軟件的受害者可以免費解密其文件。