Try2Cry: Ransomware intenta gusano

El ransomware Try2Cry adopta la expansión de la unidad flash USB usando archivos LNK. El último ransomware que hizo lo mismo fue la infame Spora. Sin embargo, el código de Try2Cry parece extrañamente familiar.

Una gran parte de mi trabajo como analista de malware en G Data es escribir firmas de detección para nuestro producto. Una de esas firmas busca un componente de gusano USB que he visto en ciertas variantes de RAT basadas en .NET como njRAT y BlackNet RAT. Cuando esta firma de gusano golpeó una muestra no identificada ^[1] , me dieron curiosidad. Era un ransomware .NET que me parecía extrañamente familiar. Todavía no pude señalarlo.

Análisis estático inicial

El ransomware ^[1] contiene la siguiente imagen en sus recursos .NET y una nota de rescate en la lista de cadenas (vea las imágenes a continuación).

El listado de cadenas indica

• Se usó DNGuard para proteger la muestra
• La extensión de Try2Cry se agrega a los archivos cifrados.
• El correo electrónico de contacto es Try2Cry @ Indea.info

La muestra se bloqueó al ejecutarse y quitar la protección DNGuard parecía muy tediosa. También parece ser una versión de prueba de DNGuard. Así que usé un viejo truco: me puse la manga de un analista perezoso e hice una regla de búsqueda de Yara para obtener muestras similares en VirusTotal. Como los desarrolladores de malware a menudo prueban sus muestras en Virustotal con y sin ciertas características de protección aplicadas, generalmente puede encontrar las que no están protegidas.

De hecho, encontré 10 muestras más de Try2Cry, ninguna de las cuales tenía protección DNGuard. Algunas de esas muestras tienen el componente de gusano, otras no. Algunos de ellos tienen notas de rescate en árabe. Todos ellos agregan. Try2Cry a los archivos cifrados.

Identificando la familia de ransomware

En una conversación privada con Michael Gillespie , identificó la muestra como una variante de la familia de ransomware «Estúpido» . Por cierto: este nombre fue dado por los propios autores de malware y no es una burla de nuestro lado.

«Stupid» es un ransomware de código abierto en Github que tiene numerosas variantes. Esto explica la familiaridad que sentí al ver la muestra.

El siguiente análisis se basa principalmente en la muestra [2] y la muestra [3]. La muestra [2] tiene una ligera ofuscación. La muestra [3] no tiene componente de gusano pero tampoco ofuscación, lo que lo convierte en un mejor candidato para capturas de pantalla basadas en código. Esta muestra [3] también utiliza notas de rescate en árabe y un correo electrónico de contacto diferente: info@russianvip.io

Cifrado

Try2Cry se dirige a archivos con las siguientes extensiones:

*.doc,*.ppt,*.jpg,*.xls,*.pdf,*.docx,*.pptx,*.xls,*xlsx 

El método de cifrado utiliza Rijndael, el predecesor de AES. La contraseña de cifrado está codificada. La clave de cifrado se crea calculando un hash SHA512 de la contraseña y utilizando los primeros 32 bits de este hash (vea la imagen de la izquierda a continuación). La creación IV es casi idéntica a la clave, pero utiliza los siguientes 16 bits (índices 32-47) del mismo hash SHA512 (vea la imagen a continuación).

El desarrollador ha puesto una excepción para los nombres de máquina DESKTOP-PQ6NSM4 e IK-PC2 . El ransomware no se cifrará si un sistema tiene alguno de esos nombres. Estos son muy probablemente los nombres de los sistemas del desarrollador de malware y se implementaron como protección mientras se prueba el malware.

Componente de gusano

El componente de gusano utiliza una técnica similar a Spora , Dinihou o Gamarue.

La muestra busca dispositivos extraíbles, luego coloca una copia oculta de sí mismo llamada Update.exe en la carpeta raíz del dispositivo. Aplica atributos ocultos para cada archivo en el dispositivo y reemplaza los archivos originales con accesos directos de Windows no ocultos usando el mismo icono. Por ejemplo, para un archivo llamado presentation.pdf , el ransomware coloca una presentation.pdf.lnk con un ícono PDF. Este acceso directo ejecutará el Update.exe oculto y también el archivo original presentation.pdf .

Además, la muestra colocará copias visibles de sí mismo que tienen una carpeta de iconos y nombres árabes. Están diseñados para engañar al usuario para que haga clic en ellos. Esta colocación de copias en árabe también está presente en muestras sin el componente de gusano LNK. Google traduce los nombres de los archivos árabes a:

• Muy especial
• Importante
• contraseñas
• un extraño
• Los cinco orígenes

Las imágenes a continuación muestran cómo se ve con una unidad USB que anteriormente tenía algunas carpetas con imágenes. En el lado derecho configuro la opción para mostrar carpetas ocultas y extensiones conocidas.

Try2Cry intenta

A diferencia de Spora, hay signos reveladores de la infección de la unidad USB, como la flecha en la esquina de los íconos de acceso directo y los ejecutables árabes adicionales.

Al igual que otras variantes de la familia de ransomware «Estúpido», este ransomware es descifrable. Parece que esta es solo una de las muchas variantes de copiar y pegar ransomware creado por delincuentes que apenas pueden programar. Este problema no surgiría en tal escala si los repositorios públicos como Github fueran más estrictos para eliminar el malware de código abierto.

Hashes de muestra

[1] f6521e298c849c14cd0a4d0e8947fa2d990e06d978e89a262e62c968cefd9b8f (muestra inicial, protegida con DNGuard)
[2] 3786ad08d8dacfa84a0c57b48dfa8921435f5579235d17edc00160e7a86ae1c5 (con componente de gusano)
[3] 590885b5afc3aa1d34720bb758fb2868bb0870557db2110e61397a5364c7f8b3 (sin componente de gusano)
[4] 2c5f392767feced770b37fce6b66c1863daab36a716b07f25c5bef0eeafc0b26
[5] 3b65dbd9b05019aae658c21f7fcb18dd29eea1555cc26c3fa12b9aa74ea55b88
[6] 8594533a7544fa477e5711d237ccac7f4a62c2c847465ccea3cfdb414a00a397
[7] cefb7262229b0053daf3208f7adc7d4fb4edaf08944a9b65d7eb1efaa3128296
[8] dd036085f8220d13c60f879ff48ccf6c7d60893217fc988ae64d2ee6a4eb3241
[9] fb621d2c94b980d87a8aa3239ebeda857a2fcb29f5aac08facacdc879f9ce784
[10] fd24367e7a71bce4435fb808f483e0466df60e851fd05eed9c2fd838404e7a9d

Analista de malware de Karsten Hahn

Tiempo de lectura: 3 min (801 palabras)

• Análisis estático inicial
• Identificando la familia de ransomware
• Cifrado
• Componente de gusano
• Try2Cry intenta
• Hashes de muestra
• Artículos relacionados

• Kurios
• Malware
• Microsoft Windows
• Secuestro de datos
• Techblog

volver a la lista

Artículos relacionados:

Spora: el gusano de acceso directo que también es un ransomwareSpora se propaga a través de unidades USB como Gamarue y Dinihou, también conocido como Jenxcus, mientras que también encripta archivos. La sofisticación de esta amenaza podría fácilmente hacerla …Es educativo: en el argumento número 1 para ransomware de código abiertoLos investigadores han publicado varios proyectos de ransomware en nombre de la educación y la libertad de conocimiento. La cuestión de su utilidad despierta …