A G DATA szakértője elemezte a Try2Cry zsarolóvírust, mely USB flash drive-on és LNK fájlok segítségével próbál terjedni. Az utolsó zsarolóvírus, mely hasonló módon próbált más rendszereket megfertőzni, a Spora volt.
A zsarolóvírus a .NET forrásaiban a következő képet tartalmazza, a sztringlistában pedig a zsaroló üzenetet is fel lehet fedezni:
A sztring alapján ki lehet deríteni, hogy
- a mintát DNGuard-dal védték
- a titkosított fájlokhoz a .Try2Cry fájlvégződést teszi
- a kapcsolati email cím Try2Cry@Indea.info
A DNGuard védelem nélkül a minta nem működött, a védelemtől megfosztani a mintát túl unalmas és fárasztó feladatnak tűnt, így a víruselemző a Virustotal-on keresett újabb mintákat. A kártevő fejlesztők ezen a platformon tesztelik fejlesztéseiket. A szakértő szerencsére védelem nélküli mintákat is talált, ezek különböző fejlesztési fázisban voltak, egyesek arab nyelvű zsarolóüzenetet is tartalmaztak. Mind az összes .Try2Cry végződésre változtatta a titkosított fájlokat.
A szakértő végül azonosította a Try2Cry zsarolóvírust, a Stupid zsarolóvírus családhoz tartozik, mely egy nyílt forráskódú zsarolóvírus, a Github-on rengeteg változata megtalálható.
Titkosítás
A Try2Cry a következő kiterjesztésű fájlokat vesz célba
*.doc,*.ppt,*.jpg,*.xls,*.pdf,*.docx,*.pptx,*.xls,*xlsx
A titkosítási módszerhez használt jelszó beégetett, a Rijndael módszeren alapszik. A zsarolóvírus a DESKTOP-PQ6NSM4 és az IK-PC2 gépeken lévő tartalmakat nem bántja, ezek valószínű a fejlesztéshez és teszteléshez használt gépek, vagyis ez egy beépített védelem.
Féreg komponens
A zsarolóvírus Spora, Dinihou vagy Gamarue-hoz hasonló technikát használ. A minta hordozható eszközöket keres, mint például USB memóriát, majd az eszköz gyökerébe egy rejtett másolatot helyez el magáról, Update.exe néven. Minden, eszközön lévő fájlt rejtetté tesz, majd kicserél egy nem rejtett Windows shorcut-ra. Például a prezentacio.pdf fájlt rejtetté teszi, majd egy PDF ikonú prezentacio.pdf.lnk -re cseréli le. Rákattintva megjeleníti az eredeti prezentacio.pdf-et de futtatja a zsarolóvírust tartalmazó Update.exe fájlt is.
A minta továbbá saját magáról látható másolatokat készít, melyek mappa ikont kapnak és arab neveket – vagyis felkeltik a felhasználó érdeklődését, hogy azután rákattintsanak.
Try2Cry tényleg próbálkozik
A Spora-tól eltérően az USB fertőzést egyértelműen jelzik az oda nem illő arab nyelvű mappák.
A zsarolóvírus szerencsére könnyen ártalmatlanná tehető, egyike a Stupid családhoz tartozó copy&paste vírusoknak, amelyeket nagyon kezdő programozók készítettek. A Stupid nevet maguk a zsarolóvírus készítői adták, és a programozás területén kevésbé szakértő víruskészítők kedvenc eszköze. Az erre alapozó zsarolóvírusokban az a jó, hogy statikus titkosítási kulcsokat használnak, így relatíve könnyen ki lehet kódolni a titkosított fájlokat. Egy biztonsági szakember StupidDecryptor néven egy eszközt is készített a titkosítás feloldására.