Ransomware Try2Cry lây lan qua các thiết bị USB

Ransomware này có tên gọi Try2Cry, sử dụng một kỹ thuật tương tự được sử dụng trong mã độc tống tiền Spora xuất hiện cách đây 3 năm. Được viết bằng ngôn ngữ .NET, Try2Cry là một biến thể của ransomware nguồn mở Stupid có sẵn trên GitHub. Các tính năng của Try2Cry có thành phần "sâu" (worm) giống như đã thấy trước đây trong Trojan truy nhập từ xa njRAT.

Trong quá trình điều tra, các nhà nghiên cứu bảo mật của G Data phát hiện ra nhiều mẫu Try2Cry, có cả các mẫu không đóng gói thành phần "sâu" này. Họ cũng phát hiện ra mã độc sử dụng Rijndael, tiền thân của thuật toán mã hóa dữ liệu AES để mã hóa.

Các nhà nghiên cứu cho biết: "Việc mã hóa mật khẩu là mã hóa cứng (hardcoded). Khóa mã hóa được tạo dựa trên hàm băm SHA512 của mật khẩu và sử dụng 32 bít đầu tiên của hàm này."

Công nghệ mà thành phần "sâu" này sử dụng giống như Spora, Dinihou hoặc Gamarue: mã độc tìm kiếm mọi ổ đĩa di động đã được kết nối, sau đó gửi một bản sao có tên Update.exe đến thư mục gốc của mỗi ổ đĩa USB mà nó tìm thấy. Tiếp theo, nó sẽ ẩn tất cả các tệp tin trên ổ đĩa và thay thế chúng bằng các tệp LNK (shortcuts) trỏ vào cả tệp gốc và tệp Update.exe.

Ransomware này cũng tạo ra các bản sao của chính nó trên các ổ USB, sử dụng thư mục biểu tượng Windows mặc định và tên tiếng Ả Rập, với hy vọng kích thích nạn nhân tò mò và nhấp vào các tệp, thư mục này và tự lây nhiễm.

Theo kết luận của G Data: "Bất chấp những nỗ lực này, ổ USB bị lây nhiễm rất dễ phát hiện, do các biểu tượng phím tắt sử dụng các tệp tin LNK và tệp thực thi tiếng Ả Rập".

G Data cũng chỉ ra rằng, các tệp mà ransomware mã hóa có thể được giải mã vì phần mềm độc hại dường như "chỉ là một trong nhiều biến thể cắt dán ransomware được tạo bởi những tên tội phạm không có nhiều kỹ năng về lập trình".