伪装成 COVID‑19 追踪应用程序的新勒索软件攻击加拿大,ESET 提供解密器

新的勒索软件CryCryptor一直以加拿大卫生部提供的官方COVID-19追踪应用为幌子,通过两个网站分发给加拿大的Android用户。ESET研究人员分析了勒索软件,并为受害者创建了解密工具。

在加拿大政府正式宣布打算支持开发名为COVID Alert的全国性自愿追踪应用程序的开发之后的几天,CryCryptor浮出水面。官方应用程序将于下个月在安大略省推出以进行测试。

ESET一旦发现此威胁,便立即通知加拿大网络安全中心。

一旦用户成为CryCryptor的受害者,勒索软件就会对设备上的文件进行加密,但它不会锁定设备,而是在攻击者的电子邮件中的每个目录中留下一个“自述”文件,其中包含加密文件。

目前已可以为那些遭受该勒索软件攻击的人创建解密工具。

在发现了将该勒索软件带到雷达的推文(发现该勒索软件的研究人员错误地将该恶意软件标记为银行木马)之后,对该应用程序进行了分析。发现了MITER标记为“ CWE-926 ”的“ Android组件的不正确导出”类型的错误。

由于该错误,受影响设备上安装的任何应用程序都可以启动勒索软件提供的任何导出服务。这使我们能够创建解密工具-一个启动由其创建者内置在勒索软件应用程序中的解密功能的应用程序。

加密/功能

启动后,勒索软件会请求访问设备上的文件。获得该权限后,它将加密具有某些扩展名的外部媒体上的文件,如图2所示。

所选文件使用随机生成的16个字符的密钥使用AES加密。CryCryptor加密文件后,将创建三个新文件,并删除原始文件。加密文件后缀有文件扩展名“ .enc”,该算法为每个加密文件生成唯一的盐,并以扩展名“ .enc.salt”存储;以及初始化向量“ .enc.iv”

加密所有目标文件后,CryCryptor会显示一条通知“加密的个人文件,请参阅readme_now.txt”。该readme_now.txt文件被放置在与加密的文件每个目录。

解密

CryCryptor中负责文件解密的服务将加密密钥存储在共享首选项中,这意味着它无需联系任何C&C即可检索它。重要的是,该服务的导出不受Android Manifest中的任何限制(安全漏洞CWE-926),这意味着可以从外部启动它。

基于此,可以为受CryCryptor勒索软件影响的人们创建了一个Android 解密应用程序。自然,解密应用程序仅适用于此版本的CryCryptor。

一个新的勒索软件系列

CryCryptor勒索软件基于GitHub上的开源代码。根据应用程序的包名和一些看起来唯一的字符串通过简单搜索发现了它。

开源勒索软件的开发人员将其命名为CryDroid,必须知道该代码将用于恶意目的。为了将项目伪装成研究项目,他们声称已将代码上传到VirusTotal服务。虽然尚不清楚是谁上传了样本,但确实在代码发布在GitHub的同一天出现在VirusTotal上。

已在GitHub公布有关此代码的内容。

ESET产品提供针对CryCryptor勒索软件的保护,将其检测为Trojan.Android/CryCryptor.A。除了使用优质的移动安全解决方案之外,建议Android用户仅从信誉良好的来源(例如Google Play商店)安装应用。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!