Try2Cry Ransomware intenta gustar

Try2Cry ransomware adopta una unidad flash USB que se propaga mediante archivos LNK. El último ransomware que hizo lo mismo fue el infame Spora. Sin embargo, el código de Try2Cry parece extrañamente familiar.

Una gran parte de mi trabajo como analista de malware en G Data consiste en escribir firmas de detección para nuestro producto. Una de esas firmas busca un componente de gusano USB que he visto en ciertas variantes de RAT basadas en .NET como njRAT y BlackNet RAT. Cuando esta firma de gusano golpeó una muestra no identificada [1] , me entró curiosidad. Era un ransomware .NET que me resultaba extrañamente familiar. No pude señalarlo todavía.

Análisis estático inicial

El ransomware [1] contiene la siguiente imagen en sus recursos .NET y una nota de rescate en la lista de cadenas (ver imágenes a continuación).

La lista de cadenas indica

  • Se utilizó DNGuard para proteger la muestra.
  • La extensión Try2Cry se agrega a los archivos encriptados
  • El correo electrónico de contacto es Try2Cry @ Indea.info

La muestra se estrelló al ejecutarse y quitar la protección DNGuard parecía muy tedioso. También parece ser una versión de prueba de DNGuard. Así que utilicé un viejo truco que tenía bajo mis mangas de analista vago e hice una regla de búsqueda de Yara para obtener muestras similares en VirusTotal. Como los desarrolladores de malware a menudo prueban sus muestras en Virustotal con y sin ciertas funciones de protección aplicadas, generalmente puede encontrar las que no están protegidas.

De hecho, encontré 10 muestras más de Try2Cry, ninguna de las cuales tenía protección DNGuard. Algunas de esas muestras tienen el componente de gusano, otras no. Algunos de ellos tienen notas de rescate árabes. Todos ellos agregan. Try2Cry a archivos cifrados.

Identificación de la familia de ransomware

En una conversación privada con Michael Gillespie , identificó la muestra como una variante de la familia de ransomware «Stupid» . Por cierto: este nombre fue dado por los propios autores del malware y no es una burla de nuestra parte.

«Stupid» es un ransomware de código abierto en Github que tiene numerosas variantes. Esto explica la familiaridad que sentí al ver la muestra.

El siguiente análisis se basa principalmente en la muestra [2] y la muestra [3]. La muestra [2] tiene una ligera confusión. La muestra [3] no tiene componente de gusano, pero tampoco ofuscación, por lo que es un mejor candidato para capturas de pantalla basadas en código. Esta muestra [3] también utiliza notas de rescate en árabe y un correo electrónico de contacto diferente: info@russianvip.io

Cifrado

Try2Cry apunta a archivos con las siguientes extensiones:

El método de cifrado utiliza Rijndael, el predecesor de AES. La contraseña de cifrado está codificada. La clave de cifrado se crea calculando un hash SHA512 de la contraseña y usando los primeros 32 bits de este hash (vea la imagen de la izquierda a continuación). La creación de IV es casi idéntica a la clave, pero usa los siguientes 16 bits (índices 32-47) del mismo hash SHA512 (vea la imagen de la derecha a continuación).

El desarrollador ha hecho una excepción para los nombres de máquina DESKTOP-PQ6NSM4 e IK-PC2 . El ransomware no se cifrará si un sistema tiene alguno de esos nombres. Lo más probable es que estos sean los nombres de los sistemas del desarrollador de malware y se pusieron en práctica como salvaguarda mientras se probaba el malware.

Componente de gusano

El componente de gusano utiliza una técnica similar a Spora , Dinihou o Gamarue.

La muestra busca dispositivos extraíbles y luego coloca una copia oculta de sí mismo denominada Update.exe en la carpeta raíz del dispositivo. Aplica atributos ocultos para cada archivo en el dispositivo y reemplaza los archivos originales con accesos directos de Windows no ocultos usando el mismo icono. Por ejemplo, para un archivo llamado presentation.pdf , el ransomware coloca una presentación.pdf.lnk con un icono de PDF. Este acceso directo ejecutará el Update.exe oculto y también el archivo original presentation.pdf .

Además, la muestra colocará copias visibles de sí misma que tienen una carpeta de iconos y nombres árabes. Están diseñados para engañar al usuario para que haga clic en ellos. Esta ubicación de copias árabes también está presente en muestras sin el componente de gusano LNK. Google traduce los nombres de los archivos en árabe a:

  • Muy especial
  • Importante
  • contraseñas
  • un extraño
  • Los cinco orígenes

Las imágenes a continuación muestran cómo se ve con una unidad USB que anteriormente tenía algunas carpetas con imágenes. En el lado derecho configuré la opción para mostrar carpetas ocultas y extensiones conocidas.

Try2Cry intenta

A diferencia de Spora, hay signos reveladores de la infección de la unidad USB, como la flecha en la esquina de los iconos de acceso directo y los ejecutables árabes adicionales.

Al igual que otras variantes de la familia de ransomware «Stupid», este ransomware se puede descifrar. Parece que esta es solo una de las muchas variantes de ransomware de copiar y pegar creadas por delincuentes que apenas pueden programar. Este problema no surgiría en tal escala si los repositorios públicos como Github fueran más estrictos para eliminar el malware de código abierto.

Hashes de muestra

[1] f6521e298c849c14cd0a4d0e8947fa2d990e06d978e89a262e62c968cefd9b8f (muestra inicial, protegido por DNGuard)

[2] 3786ad08d8dacfa84a0c57b48dfa8921435f5579235d17edc00160e7a86ae1c5 (con componente de gusano)

[3] 590885b5afc3aa1d34720bb758fb2868bb0870557db2110e61397a5364c7f8b3 (sin componente de gusano)

[4] 2c5f392767feced770b37fce6b66c1863daab36a716b07f25c5bef0eeafc0b26

[5] 3b65dbd9b05019aae658c21f7fcb18dd29eea1555cc26c3fa12b9aa74ea55b88

[6] 8594533a7544fa477e5711d237ccac7f4a62c2c847465ccea3cfdb414a00a397

[7] cefb7262229b0053daf3208f7adc7d4fb4edaf08944a9b65d7eb1efaa3128296

[8] dd036085f8220d13c60f879ff48ccf6c7d60893217fc988ae64d2ee6a4eb3241

[9] fb621d2c94b980d87a8aa3239ebeda857a2fcb29f5aac08facacdc879f9ce784

[10] fd24367e7a71bce4435fb808f483e0466df60e851fd05eed9c2fd838404e7a9d

Enlace:https://www.gdatasoftware.com/blog/2020/07/36200-ransomware-tries-to-worm Blog De G DATA Autor: Karsten Hahn