Ransomware Try2Cry rozprzestrzenia się za pośrednictwem pamięci USB

Analitycy G DATA odkryli nowe złośliwe oprogramowanie ransomware, w którym dodatkowo znajdziemy robaka komputerowego

Eksperci bezpieczeństwa z G DATA odkryli nowy rodzaj oprogramowania ransomware. Try2Cry rozprzestrzenia się za pośrednictwem pamięci USB i jest przeznaczony do dystrybucji masowej. Po zainfekowaniu komputera Try2Cry niezauważalnie przedziera się na podłączoną pamięć USB, dzięki czemu może się dalej rozprzestrzeniać. Klienci G DATA są skutecznie chronieni przed Try2Cry.

Analitycy z G DATA CyberDefense odkryli nowy wariant oprogramowania Try2Cry Ransomware, które działa podobnie do oprogramowania Spora Ransomware odkrytego w 2017 roku. Try2Cry zawiera komponent robaka, dzięki któremu następuje automatyczna dystrybucja, gdy tylko pamięć USB zostanie rozpoznana jako napęd. Następnie złośliwe oprogramowanie umieszcza swoją kopię w głównym folderze urządzenia o nazwie Update.exe. Później szyfruje wszystkie pliki na komputerze i tworzy skrót do każdego z nich, czyniąc oryginalne pliki niedostępnymi dla ofiary. Gdy użytkownik otworzy skrót, który ma tę samą ikonę co oryginalny plik, pojawi się informacja dotycząca żądania okupu.

Tim Berghoff Specjalista ds. bezpieczeństwa G DATA CyberDefense

Dla ransomware sposób przenoszenia się za pomocą pamięci USB jest obecnie dość nietypowy. Ten rodzaj złośliwego oprogramowania częściej rozprzestrzenia się za pośrednictwem poczty elektronicznej lub zmanipulowanych stron internetowych, ponieważ umożliwia to dotarcie do większej liczby użytkowników.

Tim Berghoff
Specjalista ds. bezpieczeństwa w G DATA

Try2Cry należy do rodziny oprogramowania ransomware „Stupid”, które jest dostępne jako oprogramowanie typu Open Source w serwisie Github. W przeciwieństwie do Spory, istnieją oznaki infekcji dysku USB przez Try2Cry. W rogu ikon skrótów znajduje się strzałka, a foldery są oznaczone arabskimi nazwami plików. Do szyfrowania używany jest algorytm Rijndael – z hasłem statycznym, zakodowanym na stałe.

Rozwiązania G DATA automatycznie sprawdzają pamięci USB podłączone do komputera pod kątem infekcji złośliwym oprogramowaniem. Klienci G DATA są skutecznie chronieni przed opisywanym Try2Cry.

Rozprzestrzenianie się złośliwego oprogramowania za pośrednictwem nośników danych takich jak pendrive’y USB, przywodzi na myśl odległe lata 90., kiedy to wiele wirusów krążyło na dyskietkach. Obecnie z reguły wysyłane są zainfekowane e-maile phishingowe z załącznikami lub zmanipulowanymi linkami. Inną popularną metodą jest dostarczanie złośliwego oprogramowania bezpośrednio poprzez luki w zabezpieczeniach komputera.

Więcej szczegółów dotyczących Try2Cry można znaleźć na naszym anglojęzycznym blogu technicznym, w artykule Try2Cry: Ransomware tries to worm.

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...