G Data warnt vor einer neuen Ransomware für Windows. Der Try2Cry genannte Schädling verfügt über eine zusätzliche Wurmfunktion, um weitere Systeme auch außerhalb eines Netzwerks zu infizieren. Zu diesem Zweck kopiert sich die Erpressersoftware auf USB-Laufwerke.
Nachdem die Erpressersoftware ein Gerät infiziert hat, geht sie ihrer eigentlichen Bestimmung nach und verschlüsselt diverse Dateiformate, darunter Word-Dokumente, Excel-Tabellen und PowerPoint-Präsentationen, aber auch PDF-Dateien und Fotos. Zur Verschlüsselung wird der symmetrische Verschlüsselungsalgorithmus Rijndael mit einem hardcodierten Verschlüsselungsschlüssel verwendet. Letzterer wird aus den ersten 32 Bits des SHA512-Hashwerts des Passworts erstellt.
Der Code enthält zudem Ausnahmen für Windows-Systeme mit bestimmen Computernamen. Deren Dateien werden nicht verschlüsselt. Bleeping Computer vermutet, dass es sich um die Bezeichnungen der Rechner der Try2Cry-Hintermänner handelt, um sicherzustellen, dass sie nicht versehentlich ihre eigenen Computer verschlüsseln.
Von anderer Erpressersoftware unterscheidet sich Try2Cry jedoch vor allem durch die Wurmfunktion. Die Malware sucht nach externen Laufwerken und legt dort unter der Bezeichnung „Update.exe“ eine Kopie von sich ab. Zudem versteckt sie alle auf dem Laufwerk gespeicherten Dateien und ersetzt sie durch Windows-Verknüpfungen (.lnk) mit demselben Dateisymbol. Ein Doppelklick öffnet jedoch nicht die vom Nutzer erwartete Datei – stattdessen zeigt die Verknüpfung auf die Update.exe, wodurch Try2Cry im Hintergrund installiert wird.
Im Gegensatz zur Ransomware Spora, die sich ebenfalls über USB-Laufwerke verbreitet, nutzt Try2Cry Dateisymbole, die in der linken unteren Ecke den für Verknüpfungen typischen Pfeil tragen. Dadurch lässt sich eine Manipulation eines USB-Sticks leichter erkennen. Außerdem fügt die Ransomware weitere Kopien von sich zu dem Wechseldatenträger hinzu, deren Dateinamen aus arabischen Schriftzeichen bestehen, was vor allem bei Nutzern, die kein Arabisch sprechen, für Verwunderung sorgen sollte.
G Data geht davon aus, dass die Hintermänner von Try2Cry keine versierten Malware-Autoren sind. Das legt nicht nur die als Open Source verfügbare Ransomware Stupid nahe, die sie für die Entwicklung von Try2Cry benutzt haben. Laut G Data ist es möglich, mit der neuen Ransomware verschlüsselte Dateien zu entschlüsseln, ohne ein Lösegeld zu bezahlen.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
