Try2Cry Ransomware si diffonde tramite unità USB

Try2Cry Ransomware si diffonde tramite unità USB

I ricercatori di G Data Security hanno identificato una nuova famiglia di ransomware che tenta di diffondersi utilizzando unità USB infette.

Soprannominato Try2Cry, il nuovo ransomware prende in prestito la funzionalità di Spora, che è emersa per la prima volta tre anni fa. Scritto in .NET, Try2Cry presenta un componente worm USB simile a quello precedentemente osservato nel Trojan di accesso remoto njRAT.

Il nuovo ransomware appare correlato alla famiglia di ransomware "Stupid", disponibile in open-source su GitHub.

Durante la loro indagine, i ricercatori sulla sicurezza di G Data hanno scoperto numerosi campioni Try2Cry, inclusi alcuni che non impacchettano il componente worm. Hanno anche scoperto che il malware utilizza Rijndael, il predecessore di AES, per la crittografia.

"La password di crittografia è codificata. La chiave di crittografia viene creata calcolando un hash SHA512 della password e utilizzando i primi 32 bit di questo hash (vedere la figura a sinistra di seguito). La creazione IV è quasi identica alla chiave, ma utilizza i successivi 16 bit (indici 32-47) dello stesso hash SHA512”, spiegano i ricercatori.

La tecnica utilizzata dal componente worm è simile a quella di Spora, Dinihou o Gamarue: il malware cerca eventuali unità rimovibili collegate, nasconde una copia di se stesso nella cartella principale (un file denominato Update.exe), quindi nasconde tutti i file su l'unità e li sostituisce con file LNK (collegamenti) non nascosti che puntano sia al file originale che a Update.exe.

Il ransomware posizionerebbe anche copie visibili di se stesso con nomi arabi (traducono in Very special, Important, password, a straniero e The Five Origins), tentando di attirare gli utenti ad aprirli.

Nonostante questi sforzi, l'infezione dell'unità USB è piuttosto facile da individuare, a causa delle icone di collegamento utilizzate per i file LNK e degli eseguibili arabi, sottolinea G Data. Inoltre, i file crittografati con questo ransomware sono decodificabili, dato che il malware sembra essere "solo una delle molte varianti di ransomware copia e incolla create da criminali che riescono a malapena a programmare", conclude G Data.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.