G Data warnt vor einer neuen Ransomware für Windows. Der Try2Cry genannte Schädling verfügt über eine zusätzliche Wurmfunktion, um weitere Systeme auch außerhalb eines Netzwerks zu infizieren. Zu diesem Zweck kopiert sich die Erpressersoftware auf USB-Laufwerke.
Nachdem die Erpressersoftware ein Gerät infiziert hat, geht sie ihrer eigentlichen Bestimmung nach und verschlüsselt diverse Dateiformate, darunter Word-Dokumente, Excel-Tabellen und PowerPoint-Präsentationen, aber auch PDF-Dateien und Fotos. Zur Verschlüsselung wird der symmetrische Verschlüsselungsalgorithmus Rijndael mit einem hardcodierten Verschlüsselungsschlüssel verwendet. Letzterer wird aus den ersten 32 Bits des SHA512-Hashwerts des Passworts erstellt.
Der Code enthält zudem Ausnahmen für Windows-Systeme mit bestimmen Computernamen. Deren Dateien werden nicht verschlüsselt. Bleeping Computer vermutet, dass es sich um die Bezeichnungen der Rechner der Try2Cry-Hintermänner handelt, um sicherzustellen, dass sie nicht versehentlich ihre eigenen Computer verschlüsseln.
Von anderer Erpressersoftware unterscheidet sich Try2Cry jedoch vor allem durch die Wurmfunktion. Die Malware sucht nach externen Laufwerken und legt dort unter der Bezeichnung „Update.exe“ eine Kopie von sich ab. Zudem versteckt sie alle auf dem Laufwerk gespeicherten Dateien und ersetzt sie durch Windows-Verknüpfungen (.lnk) mit demselben Dateisymbol. Ein Doppelklick öffnet jedoch nicht die vom Nutzer erwartete Datei – stattdessen zeigt die Verknüpfung auf die Update.exe, wodurch Try2Cry im Hintergrund installiert wird.
Im Gegensatz zur Ransomware Spora, die sich ebenfalls über USB-Laufwerke verbreitet, nutzt Try2Cry Dateisymbole, die in der linken unteren Ecke den für Verknüpfungen typischen Pfeil tragen. Dadurch lässt sich eine Manipulation eines USB-Sticks leichter erkennen. Außerdem fügt die Ransomware weitere Kopien von sich zu dem Wechseldatenträger hinzu, deren Dateinamen aus arabischen Schriftzeichen bestehen, was vor allem bei Nutzern, die kein Arabisch sprechen, für Verwunderung sorgen sollte.
G Data geht davon aus, dass die Hintermänner von Try2Cry keine versierten Malware-Autoren sind. Das legt nicht nur die als Open Source verfügbare Ransomware Stupid nahe, die sie für die Entwicklung von Try2Cry benutzt haben. Laut G Data ist es möglich, mit der neuen Ransomware verschlüsselte Dateien zu entschlüsseln, ohne ein Lösegeld zu bezahlen.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…