一種名為Try2Cry的新勒索軟件正在嘗試通過感染USB閃存驅動器并使用windows快捷方式（LNK文件）作為目標文件誘使它們感染自己，從而將其傳播到其他Windows計算機上。

當數據分析未識別的惡意軟件樣本被觸發時，G DATA惡意軟件分析師Karsten Hahn發現了Try2Cry勒索軟件。

Try2Cry是.NET勒索軟件，也是Hann在分析由DNGuard代碼保護工具混淆的樣本后發現的開源Stupid勒索軟件系列的另一種變體。

愚蠢的勒索軟件變體通常是由技術水平較低的惡意軟件開發人員創建的，并且經常使用執法和流行文化主題。

研究人員在VirusTotal上發現了另外10個Try2Cry惡意軟件樣本，同時尋找了一種不會混淆的變體，以簡化分析過程，其中一些還缺少蠕蟲成分。

具有故障保護功能的可解密勒索軟件

感染設備后，Try2Cry勒索軟件將加密.doc，.ppt，.jpg，.xls，.pdf，.docx，.pptx，.xls和.xlsx文件，并在所有加密文件后附加.Try2Cry擴展名。

受害者的文件使用Rijndael對稱密鑰加密算法和硬編碼的加密密鑰進行加密。

“通過計算密碼的SHA512哈希值并使用該哈希值的前32位來創建加密密鑰，” Hahn解釋道。

“ IV的創建幾乎與密鑰相同，但是它使用相同的SHA512哈希的下一個16位（索引32-47）。”

Try2Cry加密密鑰計算（Karsten Hahn）

Try2Cry的開發人員還在勒索軟件的代碼中包含了一個故障保護功能，該功能旨在在具有DESKTOP-PQ6NSM4或IK-PC2機器名稱的任何受感染系統上跳過加密。

這很可能是一種安全措施，旨在使惡意軟件的創建者可以在自己的設備上測試勒索軟件，而不會冒險無意中鎖定自己的文件。

字符串列表中的Try2Cry贖金記錄（Karsten Hahn）

破壞USB驅動器的方式

Try2Cry最有趣的功能是它能夠感染并嘗試通過USB閃存驅動器傳播到其他潛在受害者的設備。

為此，它使用與Spora勒索軟件和Andromeda（Gamarue或Wauchos）僵尸網絡惡意軟件相同的技術。

Try2Cry首先查找連接到受感染計算機的所有可移動驅動器，然后它將自己的副本Update.exe發送到找到的每個USB閃存驅動器的根文件夾中。

接下來，它將隱藏可移動驅動器上的所有文件，并將其替換為帶有相同圖標的Windows快捷方式（LNK文件）。

單擊所有這些快捷方式將打開原始文件，還將在后臺啟動Update.exe Try2Cry勒索軟件有效負載。

Try2Cry感染USB驅動器（Karsten Hahn）

勒索軟件還使用默認的Windows圖標文件夾和阿拉伯名稱在USB驅動器上創建其自身的可見副本，以希望好奇的受害者能夠點擊它們并感染自己。

與Spora不同，Try2Cry的Windows快捷方式在快捷方式圖標的側面還具有箭頭，這使得在感染閃存驅動器后更容易發現。

阿拉伯名稱的使用也是一種致命的放棄，那就是如果某些內容感染了不會說阿拉伯語的目標使用的USB設備，那是不對的。

幸運的是，就像其他多個Stupid勒索軟件變體一樣，Try2Cry勒索軟件也可以解密，這肯定表明它也是由很少編程經驗的人創建的。

Thanos是另一種具有內置的自動傳播功能的勒索軟件，這是一種勒索軟件菌株，它使用捆綁了SharpExec攻擊性安全工具包的PSExec程序在同一網絡上的其他計算機上復制并啟動勒索軟件可執行文件。

就在上個月，針對來自德國，奧地利和瑞士的幾個組織的中層雇員的Thanos運動遭到遇難者的拒絕，他們拒絕支付贖金以解密其數據。

關注“墻頭說安全”，了解更多安全咨詢。