Categories: SicherheitVirus

Try2Cry: Neue Ransomware mit Wurm-Funktion infiziert Windows-Systeme

G Data warnt vor einer neuen Ransomware für Windows. Der Try2Cry genannte Schädling verfügt über eine zusätzliche Wurmfunktion, um weitere Systeme auch außerhalb eines Netzwerks zu infizieren. Zu diesem Zweck kopiert sich die Erpressersoftware auf USB-Laufwerke.

Try2Cry ist eine .NET basierte Ransomware und zudem eine Variante aus der Stupid-Familie. Das ergab eine Untersuchung von Karsten Hahn, Malware-Analyst bei G Data.

Nachdem die Erpressersoftware ein Gerät infiziert hat, geht sie ihrer eigentlichen Bestimmung nach und verschlüsselt diverse Dateiformate, darunter Word-Dokumente, Excel-Tabellen und PowerPoint-Präsentationen, aber auch PDF-Dateien und Fotos. Zur Verschlüsselung wird der symmetrische Verschlüsselungsalgorithmus Rijndael mit einem hardcodierten Verschlüsselungsschlüssel verwendet. Letzterer wird aus den ersten 32 Bits des SHA512-Hashwerts des Passworts erstellt.

Der Code enthält zudem Ausnahmen für Windows-Systeme mit bestimmen Computernamen. Deren Dateien werden nicht verschlüsselt. Bleeping Computer vermutet, dass es sich um die Bezeichnungen der Rechner der Try2Cry-Hintermänner handelt, um sicherzustellen, dass sie nicht versehentlich ihre eigenen Computer verschlüsseln.

Von anderer Erpressersoftware unterscheidet sich Try2Cry jedoch vor allem durch die Wurmfunktion. Die Malware sucht nach externen Laufwerken und legt dort unter der Bezeichnung „Update.exe“ eine Kopie von sich ab. Zudem versteckt sie alle auf dem Laufwerk gespeicherten Dateien und ersetzt sie durch Windows-Verknüpfungen (.lnk) mit demselben Dateisymbol. Ein Doppelklick öffnet jedoch nicht die vom Nutzer erwartete Datei – stattdessen zeigt die Verknüpfung auf die Update.exe, wodurch Try2Cry im Hintergrund installiert wird.

Im Gegensatz zur Ransomware Spora, die sich ebenfalls über USB-Laufwerke verbreitet, nutzt Try2Cry Dateisymbole, die in der linken unteren Ecke den für Verknüpfungen typischen Pfeil tragen. Dadurch lässt sich eine Manipulation eines USB-Sticks leichter erkennen. Außerdem fügt die Ransomware weitere Kopien von sich zu dem Wechseldatenträger hinzu, deren Dateinamen aus arabischen Schriftzeichen bestehen, was vor allem bei Nutzern, die kein Arabisch sprechen, für Verwunderung sorgen sollte.

G Data geht davon aus, dass die Hintermänner von Try2Cry keine versierten Malware-Autoren sind. Das legt nicht nur die als Open Source verfügbare Ransomware Stupid nahe, die sie für die Entwicklung von Try2Cry benutzt haben. Laut G Data ist es möglich, mit der neuen Ransomware verschlüsselte Dateien zu entschlüsseln, ohne ein Lösegeld zu bezahlen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Smartphone-VPNs werden sicherer

Google setzt auf den neuen Sicherheitsstandard der Internet of Secure Things Alliance für Smartphone-VPN-Apps. Die…

23 Stunden ago

Rekordhoch bei Bad Bots

Bots nehmen im Internet immer mehr überhand. Fast die Hälfte des Internetverkehrs im Jahr 2020…

1 Tag ago

Drei Jahre DSGVO: Die Fallstricke

Die Datenschutzgrundverordnung (DSGVO) stellt die IT-Verantwortlichen vor die große Herausforderung, einen regelkonformen Umgang mit personenbezogenen…

2 Tagen ago

Kryptojacking auf ungepatchten Microsoft Exchange-Servern

Cyber-Angreifer scannen das Internet nach verwundbaren Microsoft Exchange-Servern ab, um Kryptowährung zu schürfen, warnen Cybersecurity-Forscher…

2 Tagen ago

Effektive Sicherung von virtuellen Maschinen

In großen Umgebungen ist ein Konzept gefragt, das VMs ohne manuellen Eingriff sichert, Regelwerk sowie…

3 Tagen ago

Samsung Galaxy Quantum 2 bringt Quantensicherheit

Samsungs neues Galaxy Quantum 2 nutzt Quantenkryptografie zur Sicherung von Apps mittels eines Quantenzufallszahlengenerator-Chip. Es…

3 Tagen ago