Try2Cry 勒索软件通过 LNK 文件使用 USB 驱动器传播,上一个使用该方式传播的勒索软件是 Spora。
我们的 USB 蠕虫检测规则日常会命中很多样本,如基于 .NET 的 RAT 变种(njRAT 和 BlackNet RAT)。近日我们发现了一个未知的样本命中了该规则,似乎是一个 .NET 的勒索软件,对此展开了分析。
勒索软件在资源中包含以下图像:
在字符串列表中包含勒索信息注释:
从字符串中可以发现:
样本使用的似乎是 DNGuard 的试用版,并且在运行时会发生崩溃。针对该样本编写了 Yara 规则在 VirusTotal 上检索不受保护的样本。
之后就在 VirusTotal 上发现了另外 10 个 Try2Cry 样本,这些样本都没有 DNGuard 保护。样本中有些具有蠕虫传播的功能,有些没有。与此同时,有些样本的勒索信息是阿拉 伯语的,但是所有的加密文件扩展名都是 .Try2Cry。
Michael Gillespie 认为该样本是 Stupid
勒索软件的变种。Stupid 勒索软件的代码在 GitHub 上开源了,后续演变出多种变种。
后续分析了两个典型样本,一个有轻度混淆,另一个没有混淆也没有提供蠕虫传播功能。后者使用阿拉 伯语提供的勒索信息,并且邮箱地址为 info@russianvip.io
。
Try2Cry 的目标文件如下所示:
*.doc,*.ppt,*.jpg,*.xls,*.pdf,*.docx,*.pptx,*.xls,*xlsx
加密算法使用的是 AES 的前身 Rijndael,加密密码硬编码在样本中。通过计算密码的 SHA512 哈希值,使用哈希的前 32 位创建加密密钥。
算法中 IV 的构建方法几乎与密钥相同,区别在于使用了 SHA512 哈希值的后 16 位。
加密时,设备名称为 DESKTOP-PQ6NSM4
与 IK-PC2
的机器可以免于加密。这可能是恶意软件开发者的计算机名称,便于在测试时提供保护。
蠕虫功能部分使用与 Spora、Dinihou 和 Gamarue 类似的技术。
样本搜索可移动设备,将自身的副本 Update.exe 放置在设备的根目录下。设备中的文件都会被隐藏,然后使用相同的图标替换为非隐藏的 Windows 快捷方式。这些快捷方式将会运行隐藏文件 Update.exe 以及原始文件。
样本还释放了文件夹图标和阿拉 伯名称的可见副本。Google 对这些阿拉 伯文的翻译是:
与 Spora 不同的是,它 USB 驱动器的感染迹象十分明显,快捷方式和阿拉 伯语等可执行文件。
与 Stupid 勒索软件的其他变种一样,该勒索软是可以解密的。该开发者几乎没有很多额外的功能添加,如果 GitHub 能够对开源恶意软件的删除更为积极,会对这类问题起到更好的效果。
f6521e298c849c14cd0a4d0e8947fa2d990e06d978e89a262e62c968cefd9b8f 3786ad08d8dacfa84a0c57b48dfa8921435f5579235d17edc00160e7a86ae1c5 590885b5afc3aa1d34720bb758fb2868bb0870557db2110e61397a5364c7f8b3 2c5f392767feced770b37fce6b66c1863daab36a716b07f25c5bef0eeafc0b26 3b65dbd9b05019aae658c21f7fcb18dd29eea1555cc26c3fa12b9aa74ea55b88 8594533a7544fa477e5711d237ccac7f4a62c2c847465ccea3cfdb414a00a397 cefb7262229b0053daf3208f7adc7d4fb4edaf08944a9b65d7eb1efaa3128296 dd036085f8220d13c60f879ff48ccf6c7d60893217fc988ae64d2ee6a4eb3241 fb621d2c94b980d87a8aa3239ebeda857a2fcb29f5aac08facacdc879f9ce784 fd24367e7a71bce4435fb808f483e0466df60e851fd05eed9c2fd838404e7a9d
https://www.gdatasoftware.com/blog/2020/07/36200-ransomware-tries-to-worm