G Les chercheurs en sécurité des données ont identifié une nouvelle famille de ransomwares qui tente de se propager à l’aide de clés USB infectées.

Doublé Try2Cry, le nouveau ransomware emprunte des fonctionnalités à Spora, qui a vu le jour il y a trois ans. Écrit en .NET, Try2Cry dispose d’un composant de ver USB similaire à celui observé précédemment dans le cheval de Troie d’accès à distance njRAT.

Le nouveau morceau de ransomware semble lié à la famille de ransomwares «stupides», qui est disponible en open-source sur GitHub.

Au cours de leur enquête, les chercheurs en sécurité de G Data ont découvert plusieurs échantillons Try2Cry, dont certains qui n’emballent pas le composant ver. Ils ont également découvert que le logiciel malveillant utilise Rijndael, le prédécesseur d’AES, pour le chiffrement.

«Le mot de passe de cryptage est codé en dur. La clé de chiffrement est créée en calculant un hachage SHA512 du mot de passe et en utilisant les 32 premiers bits de ce hachage (voir l’image de gauche ci-dessous). La création IV est presque identique à la clé, mais elle utilise les 16 bits suivants (indices 32-47) du même hachage SHA512 », expliquent les chercheurs.

La technique employée par le composant ver est similaire à celle de Spora, Dinihou ou Gamarue: le malware recherche tous les lecteurs amovibles connectés, cache une copie de lui-même dans le dossier racine (un fichier nommé Update.exe), puis cache tous les fichiers sur le lecteur et les remplace par des fichiers LNK non cachés (raccourcis) qui pointent à la fois le fichier d’origine et Update.exe.

Le ransomware placerait également des copies visibles de lui-même comportant des noms arabes (ils se traduisent par des mots de passe très spéciaux, importants, un étranger et les cinq origines), essayant d’attirer les utilisateurs à les lancer.

Malgré ces efforts, l’infection de la clé USB est assez facile à repérer, en raison des icônes de raccourci utilisées pour les fichiers LNK et des exécutables arabes, souligne G Data. De plus, les fichiers chiffrés avec ce rançongiciel sont déchiffrables, étant donné que le …