一種名為Try2Cry的新勒索軟件正在嘗試通過感染USB閃存驅(qū)動(dòng)器并使用windows快捷方式（LNK文件）作為目標(biāo)文件誘使它們感染自己，從而將其傳播到其他Windows計(jì)算機(jī)上。

當(dāng)數(shù)據(jù)分析未識(shí)別的惡意軟件樣本被觸發(fā)時(shí)，G DATA惡意軟件分析師Karsten Hahn發(fā)現(xiàn)了Try2Cry勒索軟件。

Try2Cry是.NET勒索軟件，也是Hann在分析由DNGuard代碼保護(hù)工具混淆的樣本后發(fā)現(xiàn)的開源Stupid勒索軟件系列的另一種變體。

愚蠢的勒索軟件變體通常是由技術(shù)水平較低的惡意軟件開發(fā)人員創(chuàng)建的，并且經(jīng)常使用執(zhí)法和流行文化主題。

研究人員在VirusTotal上發(fā)現(xiàn)了另外10個(gè)Try2Cry惡意軟件樣本，同時(shí)尋找了一種不會(huì)混淆的變體，以簡(jiǎn)化分析過程，其中一些還缺少蠕蟲成分。

具有故障保護(hù)功能的可解密勒索軟件

感染設(shè)備后，Try2Cry勒索軟件將加密.doc，.ppt，.jpg，.xls，.pdf，.docx，.pptx，.xls和.xlsx文件，并在所有加密文件后附加.Try2Cry擴(kuò)展名。

受害者的文件使用Rijndael對(duì)稱密鑰加密算法和硬編碼的加密密鑰進(jìn)行加密。

“通過計(jì)算密碼的SHA512哈希值并使用該哈希值的前32位來(lái)創(chuàng)建加密密鑰，” Hahn解釋道。

“ IV的創(chuàng)建幾乎與密鑰相同，但是它使用相同的SHA512哈希的下一個(gè)16位（索引32-47）。”

Try2Cry加密密鑰計(jì)算（Karsten Hahn）

Try2Cry的開發(fā)人員還在勒索軟件的代碼中包含了一個(gè)故障保護(hù)功能，該功能旨在在具有DESKTOP-PQ6NSM4或IK-PC2機(jī)器名稱的任何受感染系統(tǒng)上跳過加密。

這很可能是一種安全措施，旨在使惡意軟件的創(chuàng)建者可以在自己的設(shè)備上測(cè)試?yán)账鬈浖粫?huì)冒險(xiǎn)無(wú)意中鎖定自己的文件。

字符串列表中的Try2Cry贖金記錄（Karsten Hahn）

破壞USB驅(qū)動(dòng)器的方式

Try2Cry最有趣的功能是它能夠感染并嘗試通過USB閃存驅(qū)動(dòng)器傳播到其他潛在受害者的設(shè)備。

為此，它使用與Spora勒索軟件和Andromeda（Gamarue或Wauchos）僵尸網(wǎng)絡(luò)惡意軟件相同的技術(shù)。

Try2Cry首先查找連接到受感染計(jì)算機(jī)的所有可移動(dòng)驅(qū)動(dòng)器，然后它將自己的副本Update.exe發(fā)送到找到的每個(gè)USB閃存驅(qū)動(dòng)器的根文件夾中。

接下來(lái)，它將隱藏可移動(dòng)驅(qū)動(dòng)器上的所有文件，并將其替換為帶有相同圖標(biāo)的Windows快捷方式（LNK文件）。

單擊所有這些快捷方式將打開原始文件，還將在后臺(tái)啟動(dòng)Update.exe Try2Cry勒索軟件有效負(fù)載。

Try2Cry感染USB驅(qū)動(dòng)器（Karsten Hahn）

勒索軟件還使用默認(rèn)的Windows圖標(biāo)文件夾和阿拉伯名稱在USB驅(qū)動(dòng)器上創(chuàng)建其自身的可見副本，以希望好奇的受害者能夠點(diǎn)擊它們并感染自己。

與Spora不同，Try2Cry的Windows快捷方式在快捷方式圖標(biāo)的側(cè)面還具有箭頭，這使得在感染閃存驅(qū)動(dòng)器后更容易發(fā)現(xiàn)。

阿拉伯名稱的使用也是一種致命的放棄，那就是如果某些內(nèi)容感染了不會(huì)說(shuō)阿拉伯語(yǔ)的目標(biāo)使用的USB設(shè)備，那是不對(duì)的。

幸運(yùn)的是，就像其他多個(gè)Stupid勒索軟件變體一樣，Try2Cry勒索軟件也可以解密，這肯定表明它也是由很少編程經(jīng)驗(yàn)的人創(chuàng)建的。

Thanos是另一種具有內(nèi)置的自動(dòng)傳播功能的勒索軟件，這是一種勒索軟件菌株，它使用捆綁了SharpExec攻擊性安全工具包的PSExec程序在同一網(wǎng)絡(luò)上的其他計(jì)算機(jī)上復(fù)制并啟動(dòng)勒索軟件可執(zhí)行文件。

就在上個(gè)月，針對(duì)來(lái)自德國(guó)，奧地利和瑞士的幾個(gè)組織的中層雇員的Thanos運(yùn)動(dòng)遭到遇難者的拒絕，他們拒絕支付贖金以解密其數(shù)據(jù)。

關(guān)注“墻頭說(shuō)安全”，了解更多安全咨詢。