Try2Cry 勒索软件已经实现蠕虫感染其他 Windows 系统的能力

一款名为Try2Cry的勒索软件利用受感染的USB闪存驱动器和Windows快捷方式(LNK文件)感染其他Windows系统。

一种名为Try2Cry的新勒索软件通过使用USB闪存驱动器或Windows快捷方式（LNK文件）实现了可感染病毒的功能，以感染其他Windows系统。

恶意软件研究员Karsten Hahn在分析一个未识别的恶意软件样本时发现了Try2Cry勒索软件。

专家正在测试公司产品的检测签名，当其中一个签名用于检查在基于.NET RAT的某些变体中实现的USB蠕虫组件时，会触发警报。专家发现了一个未知的.NET勒索软件，该软件似乎很常见。

Hann编写了Yara规则，以查找其他上载到VirusTotal的样本，并且能够分析使用DNGuard代码保护工具混淆的样本。

在与恶意软件研究员Michael Gillespie进行私人交谈后，研究人员将样本标识为“愚蠢”勒索软件家族的变体。

“的确，我发现了另外10个Try2Cry样本，这些样本都没有DNGuard保护。这些样本中有一些具有蠕虫成分，而有些则没有。其中一些带有阿拉伯赎金票据。它们都将.Try2Cry附加到加密文件中。” 专家发表的分析中写道。

该恶意软件使用Rijndael算法，并对加密密码进行硬编码。通过计算密码的SHA512哈希值并使用此哈希值的前32位来创建加密密钥。

Try2Cry勒索软件针对多种文件类型，包括.doc，.ppt，.jpg，.xls，.pdf，.docx，.pptx，.xls和.xlsx文件，并将.Try2Cry扩展名附加到所有加密文件中。

使用Rijndael对称密钥加密算法和硬编码加密密钥对受害者的文件进行加密。

专家注意到，勒索软件不会对名称为DESKTOP-PQ6NSM4和IK-PC2的系统进行加密，这被认为是恶意软件开发人员机器的名称，并被用来测试恶意软件。

Try2Cry的开发人员还在勒索软件的代码中包含了一个故障保护功能，该功能旨在在具有DESKTOP-PQ6NSM4或IK-PC2计算机名称的任何受感染系统上跳过加密。

Try2Cry以其试图通过USB闪存驱动器传播到其他潜在受害者的设备而出众。

它使用的技术类似于Spora勒索软件和Spora，Dinihou或Gamarue恶意软件所使用的技术。

Try2Cry勒索软件会搜索连接到受感染计算机的任何可移动驱动器，然后将其自身的副本Update.exe保存 到找到的每个USB闪存驱动器的根文件夹中。

接下来，勒索软件将隐藏可移动驱动器上的所有文件，并将其替换为带有相同图标的Windows快捷方式（LNK文件）。

单击链接后，将 在后台打开原始文件以及 Update.exe Try2Cry勒索软件有效负载。

勒索软件还使用默认的Windows图标文件夹和阿拉伯名称在USB驱动器上创建其自身的可见副本，以试图诱骗受害者单击它们。

“与Spora不同，有迹象表明USB驱动器已被感染，例如快捷方式图标一角的箭头和其他阿拉伯可执行文件。” 专家继续说道。

好消息是，像Stupid勒索软件变种的其他变体一样，Try2Cry勒索软件的受害者可以免费解密其文件。