El ransomware Try2Cry adopta la expansión de la unidad flash USB usando archivos LNK. El último ransomware que hizo lo mismo fue la infame Spora. Sin embargo, el código de Try2Cry parece extrañamente familiar.
Una gran parte de mi trabajo como analista de malware en G Data es escribir firmas de detección para nuestro producto. Una de esas firmas busca un componente de gusano USB que he visto en ciertas variantes de RAT basadas en .NET como njRAT y BlackNet RAT. Cuando esta firma de gusano golpeó una muestra no identificada [1] , me dieron curiosidad. Era un ransomware .NET que me parecía extrañamente familiar. Todavía no pude señalarlo.
Análisis estático inicial
El ransomware [1] contiene la siguiente imagen en sus recursos .NET y una nota de rescate en la lista de cadenas (vea las imágenes a continuación).
El listado de cadenas indica
Se usó DNGuard para proteger la muestra
La extensión de Try2Cry se agrega a los archivos cifrados.
La muestra se bloqueó al ejecutarse y quitar la protección DNGuard parecía muy tediosa. También parece ser una versión de prueba de DNGuard. Así que usé un viejo truco: me puse la manga de un analista perezoso e hice una regla de búsqueda de Yara para obtener muestras similares en VirusTotal. Como los desarrolladores de malware a menudo prueban sus muestras en Virustotal con y sin ciertas características de protección aplicadas, generalmente puede encontrar las que no están protegidas.
De hecho, encontré 10 muestras más de Try2Cry, ninguna de las cuales tenía protección DNGuard. Algunas de esas muestras tienen el componente de gusano, otras no. Algunos de ellos tienen notas de rescate en árabe. Todos ellos agregan. Try2Cry a los archivos cifrados.
«Stupid» es un ransomware de código abierto en Github que tiene numerosas variantes. Esto explica la familiaridad que sentí al ver la muestra.
El siguiente análisis se basa principalmente en la muestra [2] y la muestra [3]. La muestra [2] tiene una ligera ofuscación. La muestra [3] no tiene componente de gusano pero tampoco ofuscación, lo que lo convierte en un mejor candidato para capturas de pantalla basadas en código. Esta muestra [3] también utiliza notas de rescate en árabe y un correo electrónico de contacto diferente: info@russianvip.io
Cifrado
Try2Cry se dirige a archivos con las siguientes extensiones:
El método de cifrado utiliza Rijndael, el predecesor de AES. La contraseña de cifrado está codificada. La clave de cifrado se crea calculando un hash SHA512 de la contraseña y utilizando los primeros 32 bits de este hash (vea la imagen de la izquierda a continuación). La creación IV es casi idéntica a la clave, pero utiliza los siguientes 16 bits (índices 32-47) del mismo hash SHA512 (vea la imagen a continuación).
El desarrollador ha puesto una excepción para los nombres de máquina DESKTOP-PQ6NSM4 e IK-PC2 . El ransomware no se cifrará si un sistema tiene alguno de esos nombres. Estos son muy probablemente los nombres de los sistemas del desarrollador de malware y se implementaron como protección mientras se prueba el malware.
Componente de gusano
El componente de gusano utiliza una técnica similar a Spora , Dinihou o Gamarue.
La muestra busca dispositivos extraíbles, luego coloca una copia oculta de sí mismo llamada Update.exe en la carpeta raíz del dispositivo. Aplica atributos ocultos para cada archivo en el dispositivo y reemplaza los archivos originales con accesos directos de Windows no ocultos usando el mismo icono. Por ejemplo, para un archivo llamado presentation.pdf , el ransomware coloca una presentation.pdf.lnk con un ícono PDF. Este acceso directo ejecutará el Update.exe oculto y también el archivo original presentation.pdf .
Además, la muestra colocará copias visibles de sí mismo que tienen una carpeta de iconos y nombres árabes. Están diseñados para engañar al usuario para que haga clic en ellos. Esta colocación de copias en árabe también está presente en muestras sin el componente de gusano LNK. Google traduce los nombres de los archivos árabes a:
Muy especial
Importante
contraseñas
un extraño
Los cinco orígenes
Las imágenes a continuación muestran cómo se ve con una unidad USB que anteriormente tenía algunas carpetas con imágenes. En el lado derecho configuro la opción para mostrar carpetas ocultas y extensiones conocidas.
Try2Cry intenta
A diferencia de Spora, hay signos reveladores de la infección de la unidad USB, como la flecha en la esquina de los íconos de acceso directo y los ejecutables árabes adicionales.
Al igual que otras variantes de la familia de ransomware «Estúpido», este ransomware es descifrable. Parece que esta es solo una de las muchas variantes de copiar y pegar ransomware creado por delincuentes que apenas pueden programar. Este problema no surgiría en tal escala si los repositorios públicos como Github fueran más estrictos para eliminar el malware de código abierto.