Un ransomware appelé Try2Cry pénètre dans les ordinateurs Windows via des clés USB et utilise des raccourcis Windows pour se faire passer pour les fichiers des cibles afin de les inciter à s'infecter. Le ransomware Try2Cry a été découvert par l'analyste des logiciels malveillants de G DATA Karsten Hahn, lorsqu'une signature de détection conçue pour identifier les composants du ver USB a été activée lors de l'analyse d'un échantillon de logiciel malveillant non identifié.
Try2Cry est un ransomware .NET et une variante du Famille de ransomwares open source Stupid. On pense que les variantes stupides des ransomwares sont créées par des développeurs de logiciels malveillants moins qualifiés et utilisent régulièrement des thèmes liés aux forces de l'ordre ou à la culture pop.
Après avoir infecté un ordinateur, le ransomware Try2Cry cryptera les fichiers .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls et .xlsx, en ajoutant une extension .Try2Cry aux fichiers cryptés. Les fichiers sont cryptés à l'aide de l'algorithme de cryptage à clé symétrique Rijndael ainsi que d'une clé de cryptage codée en dur.
De plus, le ransomware Try2Cry utilise une sécurité intégrée dans le code du ransomware, qui ignore le cryptage sur tout système infecté portant les noms de machine DESKTOP-PQ6NSM4 ou IK-PC2. Il s'agit probablement d'une protection conçue pour empêcher le créateur du malware de verrouiller ses propres fichiers tout en testant le ransomware sur ses propres appareils.
Try2Cry Ransomware se propage via des clés USB
Le ransomware Try2Cry a la capacité d’infecter et de se propager à d’autres appareils via des clés USB. Pour ce faire, il utilise une technique similaire à celle utilisée par le Spora et Andromède souches de logiciels malveillants. Le ransomware Try2Cry recherche d'abord tous les lecteurs amovibles connectés à l'ordinateur, puis envoie une copie de lui-même nommée Update.exe au dossier racine de chaque clé USB qu’il localise.
Ensuite, le ransomware Try2Cry masque tous les fichiers du lecteur amovible et les remplace par des raccourcis Windows ou des fichiers LNK, avec la même icône. Lorsque vous cliquez dessus, ces raccourcis ouvrent le fichier d'origine et lancent Update.exe du ransomware Try2Cry en arrière-plan.
Heureusement, une autre similitude entre le ransomware Try2Cry et d'autres Variantes stupides de ransomware est que le ransomware Try2Cry est également déchiffrable, signe révélateur qu'il a peut-être été créé par une personne ayant très peu d'expérience en programmation et qu'il sera, espérons-le, éradiqué dans un avenir pas trop lointain.
