G Data warnt vor einer neuen Ransomware für Windows. Der Try2Cry genannte Schädling verfügt über eine zusätzliche Wurmfunktion, um weitere Systeme auch außerhalb eines Netzwerks zu infizieren. Zu diesem Zweck kopiert sich die Erpressersoftware auf USB-Laufwerke.
Nachdem die Erpressersoftware ein Gerät infiziert hat, geht sie ihrer eigentlichen Bestimmung nach und verschlüsselt diverse Dateiformate, darunter Word-Dokumente, Excel-Tabellen und PowerPoint-Präsentationen, aber auch PDF-Dateien und Fotos. Zur Verschlüsselung wird der symmetrische Verschlüsselungsalgorithmus Rijndael mit einem hardcodierten Verschlüsselungsschlüssel verwendet. Letzterer wird aus den ersten 32 Bits des SHA512-Hashwerts des Passworts erstellt.
Der Code enthält zudem Ausnahmen für Windows-Systeme mit bestimmen Computernamen. Deren Dateien werden nicht verschlüsselt. Bleeping Computer vermutet, dass es sich um die Bezeichnungen der Rechner der Try2Cry-Hintermänner handelt, um sicherzustellen, dass sie nicht versehentlich ihre eigenen Computer verschlüsseln.
Von anderer Erpressersoftware unterscheidet sich Try2Cry jedoch vor allem durch die Wurmfunktion. Die Malware sucht nach externen Laufwerken und legt dort unter der Bezeichnung „Update.exe“ eine Kopie von sich ab. Zudem versteckt sie alle auf dem Laufwerk gespeicherten Dateien und ersetzt sie durch Windows-Verknüpfungen (.lnk) mit demselben Dateisymbol. Ein Doppelklick öffnet jedoch nicht die vom Nutzer erwartete Datei – stattdessen zeigt die Verknüpfung auf die Update.exe, wodurch Try2Cry im Hintergrund installiert wird.
Im Gegensatz zur Ransomware Spora, die sich ebenfalls über USB-Laufwerke verbreitet, nutzt Try2Cry Dateisymbole, die in der linken unteren Ecke den für Verknüpfungen typischen Pfeil tragen. Dadurch lässt sich eine Manipulation eines USB-Sticks leichter erkennen. Außerdem fügt die Ransomware weitere Kopien von sich zu dem Wechseldatenträger hinzu, deren Dateinamen aus arabischen Schriftzeichen bestehen, was vor allem bei Nutzern, die kein Arabisch sprechen, für Verwunderung sorgen sollte.
G Data geht davon aus, dass die Hintermänner von Try2Cry keine versierten Malware-Autoren sind. Das legt nicht nur die als Open Source verfügbare Ransomware Stupid nahe, die sie für die Entwicklung von Try2Cry benutzt haben. Laut G Data ist es möglich, mit der neuen Ransomware verschlüsselte Dateien zu entschlüsseln, ohne ein Lösegeld zu bezahlen.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
