Ransomware szyfruje dane za pomocą algorytmu Rijndael, wykorzystując zakodowane na stałe, statyczne hasło. Jednak najgorsze jest to iż Try2Cry rozprzestrzenia się za pośrednictwem pamięci USB i po zainfekowaniu komputera zapisuje szkodliwy kod na kolejnych podłączanych do niego pamięciach USB, dzięki czemu może dalej bardzo szybko infekować kolejne urządzenia.

Ransomware działa podobnie jak oprogramowanie Spora, które zostało odkryte w 2017 roku. Zawiera również robaka komputerowego, dzięki któremu mamy tu do czynienia z automatyczną dystrybucją, gdy tylko zarażona nim pamięć USB zostanie rozpoznana jako napęd.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Co trzecia firma w Polsce z cyberincydentem

Następnie złośliwe oprogramowanie umieszcza swoją kopię w głównym folderze urządzenia o nazwie Update.exe. Później szyfruje wszystkie pliki na komputerze i tworzy skrót do każdego z nich, czyniąc oryginalne pliki niedostępnymi dla ofiary. Gdy użytkownik otworzy skrót, który ma tę samą ikonę co oryginalny plik, pojawi się informacja dotycząca żądania okupu.

Należy podkreślić iż ten sposób rozprzestrzenia się oprogramowania ransomware (czyli za pośrednictwem pamięci USB) jest obecnie rzadkością. Najczęściej dzieję się to z wykorzystaniem poczty elektronicznej lub odpowiednio spreparowanych stron internetowych, gdyż w ten sposób może dotrzeć do większej liczby komputerów.

G DATA opracowała antidotum na to zagrożenie i jej rozwiązanie automatycznie sprawdza pamięci USB podłączone do komputera pod kątem infekcji.