Un nouveau ransomware connu sous le nom de Try2Cry essaie de se faufiler sur d’autres ordinateurs Windows en infectant les lecteurs flash USB et en utilisant des raccourcis Windows (fichiers LNK) se présentant comme les fichiers des cibles pour les inciter à s’infecter.

Le rançongiciel Try2Cry a été découvert par l’analyste des logiciels malveillants G DATA Karsten Hahn lorsqu’une signature de détection conçue pour repérer les composants de vers USB s’est déclenchée lors de l’analyse d’un échantillon de logiciel malveillant non identifié.

Try2Cry est un ransomware .NET et une autre variante de la famille de ransomwares Stupid open source comme Hann l’a trouvé après avoir analysé un exemple obscurci avec l’outil de protection de code DNGuard.

Des variantes stupides de rançongiciels sont généralement connues pour être créées par des développeurs de logiciels malveillants moins qualifiés et utilisent régulièrement des thèmes d’application de la loi et de la culture pop.

Dix autres échantillons de logiciels malveillants Try2Cry ont été trouvés par le chercheur sur VirusTotal lors de la recherche d’une variante qui n’était pas obscurcie pour faciliter l’analyse, certains d’entre eux manquant également du composant ver.

Ransomware déchiffrable avec une sécurité intégrée

Après avoir infecté un périphérique, le rançongiciel Try2Cry cryptera les fichiers .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls et .xlsx, en ajoutant une extension .Try2Cry à tous les fichiers cryptés.

Les fichiers des victimes sont cryptés à l’aide de l’algorithme de cryptage à clé symétrique Rijndael et d’une clé de cryptage codée en dur.

« La clé de chiffrement est créée en calculant un hachage SHA512 du mot de passe et en utilisant les 32 premiers bits de ce hachage », explique Hahn.

Infos WEB:  Les pirates utilisent Google Analytics pour voler des cartes de crédit, contourner le CSP

« La création IV est presque identique à la clé, mais elle utilise les 16 bits suivants (indices 32-47) du même hachage SHA512. »

Calcul de la clé de chiffrement Try2Cry
Calcul de la clé de chiffrement Try2Cry (Karsten Hahn)

Le développeur de Try2Cry a également inclus une sécurité intégrée dans le code du ransomware conçu pour ignorer le chiffrement sur tous les systèmes infectés avec des noms de machines DESKTOP-PQ6NSM4 ou IK-PC2.

Il s’agit très probablement d’une mesure de sauvegarde conçue pour permettre aux logiciels malveillants …

Voir la source de cette publication