DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Nhà nghiên cứ phát hiện Try2Cry ransomware có khả năng tự lây lan như sâu máy tính
Một ransomware mới xuất hiện được biết đến với tên Try2Cry, sử dụng phương thức tự lây lan như sâu máy tính sang các thiết bị khác được các nhà nghiên cứu Karsten Hahn từ G DATA phát hiện. Ransomware này lây lan sang các máy tính Windows khác thông qua ổ USB sử dụng Windows shortcuts (tệp LNK).
Try2Cry là một ransomware được viết trong .NET framework. Nó là một biến thể của ransomware nguồn mở Stupid. Karsten Hahn tình cờ phát hiện ransomware này khi phân tích một sâu máy tính lây lan qua USB trong một mẫu phần mềm độc hại chưa được xác định.
Stupid ransomware yêu cầu 0,25 Bitcoin cho khóa giải mã. Ransomware này tiếp tục được phát triển với nhiều biến thể mới, liên tục xuất hiện trong danh sách các ramsomware phổ biến hàng tháng được thống kê bởi McAfee.
Sau khi lây nhiễm thiết bị, Try2Cry ransomware mã hóa các tệp .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls, và .xlsx và thêm thành phần mở rộng tệp là .Try2Cry tới các tệp bị mã hóa.
Các tệp bị mã hóa bằng thuật toán mã hóa khóa đối xứng Rijndael và khóa mã hóa được mã hóa cứng. Nhà nghiên cứu cho biết:
Trong khi phân tích, nhà nghiên cứu phát hiện ra rằng Try2Cry sẽ không mã hóa các máy tính có tên DESKTOP-PQ6NSM4 hoặc IK-PC2. Đây có lẽ là một biện pháp bảo vệ được thiết kế để cho phép tác giả tạo phần mềm độc hại kiểm tra Try2Cry ransomware trên thiết bị của mình mà không có nguy cơ vô tình khóa các tệp của chính mình.
Tác giả của Try2Cry ransomware đã trang bị thêm khả năng tự lây lan sang thiết bị khác thông qua ổ USB cho ransomware này.
Để làm điều này, Try2Cry ransomware sử dụng một kỹ thuật tương tự được sử dụng trong Spora ransomware và phần mềm độc hại Andromeda botnet.
Đầu tiên, Try2Cry tìm kiếm mọi ổ đĩa di động được kết nối với máy tính bị nhiễm và nó sẽ gửi một bản sao có tên Update.exe đến thư mục gốc của mỗi ổ USB mà nó tìm thấy.
Tiếp theo, nó sẽ ẩn tất cả các tệp trên ổ đĩa di động và sẽ thay thế chúng bằng các phím tắt Windows (tệp LNK) với cùng một biểu tượng như tệp bị ẩn.
Khi được khởi chạy, tất cả các phím tắt Windows (tệp LNK) này sẽ mở tệp gốc (tệp đã bị ẩn) và đồng thời khởi chạy tệp Update.exe trong nền để lây lan Try2Cry ransomware cho thiết bị.
Try2Cry ransomware cũng tạo ra các bản sao của chính nó trên các ổ USB, sử dụng thư mục biểu tượng Windows mặc định và tên tiếng Ả Rập, với hy vọng nạn nhân tò mò sẽ nhấp vào các tệp và thư mục này và tự lây nhiễm.
May mắn thay, giống như nhiều biến thể Stupid ransomware, Try2Cry ransomware cũng có thể giải mã được, một dấu hiệu chắc chắn rằng ransomware này được tạo ra bởi một người có rất ít kinh nghiệm lập trình.
Try2Cry là một ransomware được viết trong .NET framework. Nó là một biến thể của ransomware nguồn mở Stupid. Karsten Hahn tình cờ phát hiện ransomware này khi phân tích một sâu máy tính lây lan qua USB trong một mẫu phần mềm độc hại chưa được xác định.
Stupid ransomware yêu cầu 0,25 Bitcoin cho khóa giải mã. Ransomware này tiếp tục được phát triển với nhiều biến thể mới, liên tục xuất hiện trong danh sách các ramsomware phổ biến hàng tháng được thống kê bởi McAfee.
Sau khi lây nhiễm thiết bị, Try2Cry ransomware mã hóa các tệp .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls, và .xlsx và thêm thành phần mở rộng tệp là .Try2Cry tới các tệp bị mã hóa.
Các tệp bị mã hóa bằng thuật toán mã hóa khóa đối xứng Rijndael và khóa mã hóa được mã hóa cứng. Nhà nghiên cứu cho biết:
Trong khi phân tích, nhà nghiên cứu phát hiện ra rằng Try2Cry sẽ không mã hóa các máy tính có tên DESKTOP-PQ6NSM4 hoặc IK-PC2. Đây có lẽ là một biện pháp bảo vệ được thiết kế để cho phép tác giả tạo phần mềm độc hại kiểm tra Try2Cry ransomware trên thiết bị của mình mà không có nguy cơ vô tình khóa các tệp của chính mình.
Tác giả của Try2Cry ransomware đã trang bị thêm khả năng tự lây lan sang thiết bị khác thông qua ổ USB cho ransomware này.
Để làm điều này, Try2Cry ransomware sử dụng một kỹ thuật tương tự được sử dụng trong Spora ransomware và phần mềm độc hại Andromeda botnet.
Đầu tiên, Try2Cry tìm kiếm mọi ổ đĩa di động được kết nối với máy tính bị nhiễm và nó sẽ gửi một bản sao có tên Update.exe đến thư mục gốc của mỗi ổ USB mà nó tìm thấy.
Tiếp theo, nó sẽ ẩn tất cả các tệp trên ổ đĩa di động và sẽ thay thế chúng bằng các phím tắt Windows (tệp LNK) với cùng một biểu tượng như tệp bị ẩn.
Khi được khởi chạy, tất cả các phím tắt Windows (tệp LNK) này sẽ mở tệp gốc (tệp đã bị ẩn) và đồng thời khởi chạy tệp Update.exe trong nền để lây lan Try2Cry ransomware cho thiết bị.
Try2Cry ransomware cũng tạo ra các bản sao của chính nó trên các ổ USB, sử dụng thư mục biểu tượng Windows mặc định và tên tiếng Ả Rập, với hy vọng nạn nhân tò mò sẽ nhấp vào các tệp và thư mục này và tự lây nhiễm.
May mắn thay, giống như nhiều biến thể Stupid ransomware, Try2Cry ransomware cũng có thể giải mã được, một dấu hiệu chắc chắn rằng ransomware này được tạo ra bởi một người có rất ít kinh nghiệm lập trình.
Theo: bleepingcomputer