zurück zum Artikel

Erpressungstrojaner: Try2Cry will PCs wurmartig infizieren

Dennis Schirrmacher
Schloss, Zensur, Überwachung

(Bild: Michal Jarmoluk, gemeinfrei)

Dem Verschlüsselungstrojaner Try2Cry sollen so viele Windows-Computer wie möglich zum Opfer fallen. Dabei spielen USB-Sticks eine zentrale Rolle.

Die Ransomware Try2Cry hat es auf Windows-PCs abgesehen und der Trojaner will sich wurmartig ausbreiten. Technisch ist der Schädling aber vergleichsweise simpel gestrickt und derzeit ist eine kostenlose Entschlüsselung möglich.

Aus einem Bericht von G Data geht nicht hervor [1], in welchem Umfang der Schädling derzeit unterwegs ist. Eine groß angelegte Kampagne gibt es zur Zeit wohl nicht. Bei ihren Untersuchungen sind die Sicherheitsforscher auf mehrere Samples gestoßen und es liest sich so, als wenn sich die Malware noch in der Entwicklung befindet.

Klar ist, dass Try2Cry auf dem auf Github verfügbaren Open-Source-Code der von den Machern Stupid getauften Ransomware basiert. Die Sicherheitsforscher gehen davon aus, dass es sich um eine Copy-&-Paste-Ransomware handelt, die von Scriptkiddies "entwickelt" wurde.

Try2Cry nistet sich auf USB-Sticks ein und will von da aus auf weitere PCs überspringen. Klickt ein Opfer auf eine Verknüpfung, öffnet sich neben der Original-Datei auch der Erpressungstrojaner.

Try2Cry nistet sich auf USB-Sticks ein und will von da aus auf weitere PCs überspringen. Klickt ein Opfer auf eine Verknüpfung, öffnet sich neben der Original-Datei auch der Erpressungstrojaner.

(Bild: G Data [2] )

Die Wurm-Komponente verdient aber eine nähere Betrachtung: Hat Try2Cry einen Computer erfolgreich infiziert, hält der Schädling nach an Computern angeschlossenen USB-Sticks Ausschau.

Ist die Suche erfolgreich, kopiert sich der Schädling als versteckte Datei namens Update.exe auf den Stick. Anschließend werden alle weiteren Dateien versteckt und der Schädling legt Verknüpfungen mit Original-Icons auf die versteckten Dateien an. Das sieht aber nur auf den ersten Blick so aus: Öffnet ein Opfer beispielsweise eine Verknüpfung auf ein von ihm erstelltes PDF-Dokument, öffnet sich neben dem Dokument auch der Erpressungstrojaner.

Außerdem landen auf dem Stick Ordner mit arabischen Beschriftungen. Übersetzt sind die Ordner mit Begriffen wie "Very special" oder "Important" beschriftet. Darin lauert der Erpressungstrojaner.

Den Sicherheitsforschern zufolge geht von Try2cry derzeit keine allzu große Gefahr aus, da man betroffene Dateien kostenlos entschlüsseln kann. Wie das im Detail geht, führen Sie nicht aus.

(des [3])


URL dieses Artikels:
https://www.heise.de/-4836232

Links in diesem Artikel:
[1] https://www.gdatasoftware.com/blog/2020/07/36200-ransomware-tries-to-worm
[2] https://www.gdatasoftware.com/blog/2020/07/36200-ransomware-tries-to-worm
[3] mailto:des@heise.de