Cyberthreat.id - Sebuah ransomware baru yang dikenal sebagai Try2Cry sedang mencoba masuk ke komputer Windows dengan menginfeksi USB flash drive dan menggunakan pintasan (shortcut) Windows (file LNK) yang menyamar sebagai file target (ikon yang sama) untuk memancing agar menginfeksi diri sendiri.

Try2Cry ransomware ditemukan oleh analis malware dari G DATA, Karsten Hahn, ketika tanda tangan deteksi (detection signature) yang dirancang untuk mendeteksi komponen worm USB dipicu saat menganalisis sampel malware yang tak dikenal.

Try2Cry adalah .NET ransomware dan varian lain dari keluarga ransomware Stupid open-source yang ditemukan Hahn setelah menganalisis sampel yang dikaburkan (obfuscated) dengan alat (tools) perlindungan kode DNGuard.

Varian Stupid ransomware umumnya dibuat oleh pengembang malware yang kurang terampil dan secara teratur menargetkan tema penegakan hukum dan budaya pop (pop culture). Sepuluh sampel malware Try2Cry lainnya ditemukan oleh peneliti di VirusTotal yang terus mencari varian (yang tidak dikaburkan) untuk membuat analisis lebih mudah.

Setelah Try2Cry menginfeksi perangkat, ransomware ini akan mengenkripsi file seperti .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls, dan .xlsx, lalu menambahkan ekstensi .Try2Cry ke semua file yang dienkripsi. File korban yang dienkripsi menggunakan algoritma enkripsi kunci simetris Rijndael dan kunci enkripsi hardcoded.

"Kunci enkripsi dibuat dengan menghitung hash SHA512 dari password dan menggunakan 32 bit pertama hash ini," kata Hahn dilansir Bleeping Computer, Jumat (3 Juli 2020).

Pengembang Try2Cry juga telah memasukkan failsafe dalam kode ransomware yang dirancang untuk melewati enkripsi pada sistem yang terinfeksi dengan nama mesin DESKTOP-PQ6NSM4 atau IK-PC2.

Fitur Try2Cry yang paling menarik adalah kemampuannya menginfeksi dan mencoba menyebar ke perangkat korban potensial lainnya melalui flash drive USB. Untuk melakukan ini, Try2Cry menggunakan teknik yang mirip dengan yang digunakan oleh ransomware Spora dan malware botnet Andromeda (Gamarue atau Wauchos).

Pertama-tama, ransomware ini mencari drive yang dapat dilepas, terhubung ke komputer yang diretas dan itu akan mengirim salinannya sendiri bernama Update.exe ke folder root dari setiap USB flash drive yang ditemukannya.

Selanjutnya, ia akan menyembunyikan semua file pada drive yang dapat dilepas dan akan menggantinya dengan pintasan Windows (file LNK) dengan ikon yang sama. Ketika diklik, semua pintasan ini akan membuka file asli dan juga akan meluncurkan payload Updateans Try2Cry ransomware di latar belakang (background).

Ransomware ini juga membuat salinan dirinya pada drive USB, menggunakan folder ikon Windows default dan nama-nama Arab, dengan harapan korban yang penasaran akan mengkliknya dan menginfeksi diri mereka sendiri.

Tidak seperti Spora, pintasan Windows Try2Cry juga menampilkan panah di samping ikon pintasan yang membuatnya jauh lebih mudah dikenali setelah menginfeksi flash drive.

Penggunaan nama Arab merupakan cara unik ketika ada sesuatu yang tidak beres menginfeksi perangkat USB yang digunakan oleh target yang tidak berbahasa Arab. Untungnya, sama seperti beberapa varian Stupid ransomware lainnya, Try2Cry dapat di-dekripsi.

"Ini adalah pertanda pasti bahwa Try2Cry dibuat oleh orang-orang dengan pengalaman pemrograman yang minim."

Thanos adalah ransomware lain yang ditemukan memiliki fitur penyebaran otomatis bawaan, jenis ransomware yang menggunakan program PSExec yang dibundel dengan toolkit ofensif keamanan SharpExec untuk menyalin dan meluncurkan ransomware yang dapat dieksekusi pada komputer lain di jaringan yang sama.

Bulan lalu operasi Thanos diketahui menargetkan karyawan tingkat menengah dari sejumlah organisasi/perusahaan dari Jerman, Austria, dan Swiss. Kebanyakan korban menolak membayar uang tebusan meskipun dengan tawaran kunci dekripsi.[]