Vírusírtó Blog

Try2Cry: A zsarolóvírus, mely féregként terjedne

2020.07.20. 12:08 G Data

police-ransomware-rendorseg-zsarolovirus-kicsi.jpgA G DATA szakértője elemezte a Try2Cry zsarolóvírust, mely USB flash drive-on és LNK fájlok segítségével próbál terjedni. Az utolsó zsarolóvírus, mely hasonló módon próbált más rendszereket megfertőzni, a Spora volt.


A zsarolóvírus a .NET forrásaiban a következő képet tartalmazza, a sztringlistában pedig a zsaroló üzenetet is fel lehet fedezni:


image1.png


image5.png


A sztring alapján ki lehet deríteni, hogy

  • a mintát DNGuard-dal védték
  • a titkosított fájlokhoz a .Try2Cry fájlvégződést teszi
  • a kapcsolati email cím Try2Cry@Indea.info


A DNGuard védelem nélkül a minta nem működött, a védelemtől megfosztani a mintát túl unalmas és fárasztó feladatnak tűnt, így a víruselemző a Virustotal-on keresett újabb mintákat. A kártevő fejlesztők ezen a platformon tesztelik fejlesztéseiket. A szakértő szerencsére védelem nélküli mintákat is talált, ezek különböző fejlesztési fázisban voltak, egyesek arab nyelvű zsarolóüzenetet is tartalmaztak. Mind az összes .Try2Cry végződésre változtatta a titkosított fájlokat.


A szakértő végül azonosította a Try2Cry zsarolóvírust, a Stupid zsarolóvírus családhoz tartozik, mely egy nyílt forráskódú zsarolóvírus, a Github-on rengeteg változata megtalálható.


Titkosítás


A Try2Cry a következő kiterjesztésű fájlokat vesz célba


*.doc,*.ppt,*.jpg,*.xls,*.pdf,*.docx,*.pptx,*.xls,*xlsx


A titkosítási módszerhez használt jelszó beégetett, a Rijndael módszeren alapszik. A zsarolóvírus a DESKTOP-PQ6NSM4 és az IK-PC2 gépeken lévő tartalmakat nem bántja, ezek valószínű a fejlesztéshez és teszteléshez használt gépek, vagyis ez egy beépített védelem.


Féreg komponens


A zsarolóvírus Spora, Dinihou vagy Gamarue-hoz hasonló technikát használ. A minta hordozható eszközöket keres, mint például USB memóriát, majd az eszköz gyökerébe egy rejtett másolatot helyez el magáról, Update.exe néven. Minden, eszközön lévő fájlt rejtetté tesz, majd kicserél egy nem rejtett Windows shorcut-ra. Például a prezentacio.pdf fájlt rejtetté teszi, majd egy PDF ikonú prezentacio.pdf.lnk -re cseréli le. Rákattintva megjeleníti az eredeti prezentacio.pdf-et de futtatja a zsarolóvírust tartalmazó Update.exe fájlt is.


image2.png


image4.png


A minta továbbá saját magáról látható másolatokat készít, melyek mappa ikont kapnak és arab neveket – vagyis felkeltik a felhasználó érdeklődését, hogy azután rákattintsanak.


image3.png


Try2Cry tényleg próbálkozik


A Spora-tól eltérően az USB fertőzést egyértelműen jelzik az oda nem illő arab nyelvű mappák.


A zsarolóvírus szerencsére könnyen ártalmatlanná tehető, egyike a Stupid családhoz tartozó copy&paste vírusoknak, amelyeket nagyon kezdő programozók készítettek. A Stupid nevet maguk a zsarolóvírus készítői adták, és a programozás területén kevésbé szakértő víruskészítők kedvenc eszköze. Az erre alapozó zsarolóvírusokban az a jó, hogy statikus titkosítási kulcsokat használnak, így relatíve könnyen ki lehet kódolni a titkosított fájlokat. Egy biztonsági szakember StupidDecryptor néven egy eszközt is készített a titkosítás feloldására.


Forrás: G DATA blog

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Írj kommentet

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr8216038790

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) facebook (129) Facebook (10) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G data (3) g data (6) G Data (35) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) linux (1) Linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) Skype (1) skype (2) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) vírusirtó (12) virusirtó (1) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) windows (1) Windows (2) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő
süti beállítások módosítása