Try2Cry: Neue Ransomware mit Wurm-Funktion infiziert Windows-Systeme

G Data warnt vor einer neuen Ransomware für Windows. Der Try2Cry genannte Schädling verfügt über eine zusätzliche Wurmfunktion, um weitere Systeme auch außerhalb eines Netzwerks zu infizieren. Zu diesem Zweck kopiert sich die Erpressersoftware auf USB-Laufwerke.

Try2Cry ist eine .NET basierte Ransomware und zudem eine Variante aus der Stupid-Familie. Das ergab eine Untersuchung von Karsten Hahn, Malware-Analyst bei G Data.

Nachdem die Erpressersoftware ein Gerät infiziert hat, geht sie ihrer eigentlichen Bestimmung nach und verschlüsselt diverse Dateiformate, darunter Word-Dokumente, Excel-Tabellen und PowerPoint-Präsentationen, aber auch PDF-Dateien und Fotos. Zur Verschlüsselung wird der symmetrische Verschlüsselungsalgorithmus Rijndael mit einem hardcodierten Verschlüsselungsschlüssel verwendet. Letzterer wird aus den ersten 32 Bits des SHA512-Hashwerts des Passworts erstellt.

Der Code enthält zudem Ausnahmen für Windows-Systeme mit bestimmen Computernamen. Deren Dateien werden nicht verschlüsselt. Bleeping Computer vermutet, dass es sich um die Bezeichnungen der Rechner der Try2Cry-Hintermänner handelt, um sicherzustellen, dass sie nicht versehentlich ihre eigenen Computer verschlüsseln.

Von anderer Erpressersoftware unterscheidet sich Try2Cry jedoch vor allem durch die Wurmfunktion. Die Malware sucht nach externen Laufwerken und legt dort unter der Bezeichnung „Update.exe“ eine Kopie von sich ab. Zudem versteckt sie alle auf dem Laufwerk gespeicherten Dateien und ersetzt sie durch Windows-Verknüpfungen (.lnk) mit demselben Dateisymbol. Ein Doppelklick öffnet jedoch nicht die vom Nutzer erwartete Datei – stattdessen zeigt die Verknüpfung auf die Update.exe, wodurch Try2Cry im Hintergrund installiert wird.

Im Gegensatz zur Ransomware Spora, die sich ebenfalls über USB-Laufwerke verbreitet, nutzt Try2Cry Dateisymbole, die in der linken unteren Ecke den für Verknüpfungen typischen Pfeil tragen. Dadurch lässt sich eine Manipulation eines USB-Sticks leichter erkennen. Außerdem fügt die Ransomware weitere Kopien von sich zu dem Wechseldatenträger hinzu, deren Dateinamen aus arabischen Schriftzeichen bestehen, was vor allem bei Nutzern, die kein Arabisch sprechen, für Verwunderung sorgen sollte.

G Data geht davon aus, dass die Hintermänner von Try2Cry keine versierten Malware-Autoren sind. Das legt nicht nur die als Open Source verfügbare Ransomware Stupid nahe, die sie für die Entwicklung von Try2Cry benutzt haben. Laut G Data ist es möglich, mit der neuen Ransomware verschlüsselte Dateien zu entschlüsseln, ohne ein Lösegeld zu bezahlen.