一种名为 Try2Cry 的勒索软件通过 USB 闪存驱动器渗透 Windows 计算机,并使用 Windows 快捷方式冒充目标文件来引诱他们感染自己。 Try2Cry 勒索软件由 G DATA 恶意软件分析师发现 卡斯滕·哈恩(Karsten Hahn),在分析未识别的恶意软件样本期间激活了旨在识别 USB 蠕虫组件的检测签名。
Try2Cry 是一种 .NET 勒索软件,也是该勒索软件的变种 开源 Stupid 勒索软件家族。 愚蠢的勒索软件变体被认为是由技术水平较低的恶意软件开发人员创建的,并经常使用执法或流行文化主题。
感染计算机后,Try2Cry 勒索软件将加密 .doc、.ppt、.jpg、.xls、.pdf、.docx、.pptx、.xls 和 .xlsx 文件,并在加密文件后附加 .Try2Cry 扩展名。 这些文件使用 Rijndael 对称密钥加密算法以及硬编码加密密钥进行加密。
此外,Try2Cry 勒索软件在勒索软件代码中采用了故障保护功能,可跳过任何具有 DESKTOP-PQ6NSM4 或 IK-PC2 计算机名称的受感染系统上的加密。 这可能是一种保护措施,旨在防止恶意软件的创建者在自己的设备上测试勒索软件时锁定自己的文件。
Try2Cry 勒索软件通过 USB 闪存盘传播
Try2Cry 勒索软件能够通过 USB 闪存驱动器感染并传播到其他设备。 它使用与 孢子与仙女座 恶意软件菌株。 Try2Cry 勒索软件首先查找连接到计算机的任何可移动驱动器,然后发送其自身的副本,名为 Update.exe的 到它所在的每个 USB 闪存驱动器的根文件夹。
接下来,Try2Cry 勒索软件会隐藏可移动驱动器上的所有文件,并将它们替换为具有相同图标的 Windows 快捷方式或 LNK 文件。 单击后,这些快捷方式会打开原始文件并在后台启动 Try2Cry 勒索软件的 Update.exe。
幸运的是,Try2Cry 勒索软件与其他勒索软件之间还有一个相似之处: 愚蠢的勒索软件变种 Try2Cry 勒索软件也是可解密的,这是一个明显的迹象,表明它可能是由编程经验很少的人创建的,有望在不久的将来被根除。
