Нов рансъмуер атакува снимки и видео в Android
CryCryptor употребява подправено копие на приложение за Covid-19
Пандемията от Covid-19 разкри нови шансове за създателите на злоумишлен програмен продукт
(снимка: CC0 Public Domain)
Н ов злоумишлен програмен продукт за откупи, кой то заключва персонални фотоси и видеоклипове на Android консуматори, се появи в Канада . Първоначално CryCryptor е видян като подправено копие на формалното приложение за следене на COVID-19 от Health Canada. Вирусът се популяризира посредством два разнообразни подправени уеб страницата.
Подобно на други семейства рансъмуер, CryCryptor криптира файлове в инфектираното устройство. Но вместо просто да заключи устройството, вирусът оставя файл „ readme ” с имейла за контакт с нападателя във всяка папка. Вирусът е основан на отворен код, оповестен в GitHub.
Когато жертвата започва злонамереното приложение, то изисква достъп до файловата система на устройството. След като подобен му бъде обезпечен, определени файлове се криптират благодарение на AES логаритъм с случайно генериран 16-символен ключ.
„ След като криптира файл, CryCryptor основава три нови файла, а истинският се отстранява ”, разясняват от антивирусната компания ESET. „ Криптираният файл има прикачено уголемение.enc и логаритъмът генерира неповторим низ (salt) за всеки криптиран файл, съхраняван с разширението.enc.salt и инициализиращ вектор.enc.iv ”.
Интересно е, че тази офанзива включва разширения за файлове като.jpg,.png и.avi, както и ред други документи. Чрез криптиране на фотоси и видеоклипове във паметта на телефона, нападателите вършат офанзивата по-лична и се пробват да подобрят възможностите си за заплащане на откуп. Хората са склонни към предпазване на доста персонални фотоси върху своите устройства, което ги прави лесна цел.
След като криптирането завърши, CryCryptor демонстрира уведомление, което гласи: „ Личните ви файлове бяха криптирани, вижте readme_now.txt ”. Файлът readme_now.txt се слага във всяка папка с криптирани файлове.
Изследователи от ESET съумяха да открият вместилище със сорс кода на CryCrypt в GitHub благодарение на нормално търсене в Гугъл въз основа на името на пакета на приложението и няколко низа, които наподобяват неповторими за този вирус.
още по тематиката
Разработчиците на вируса са пробвали да прикрият следите си посредством смяна на името на плана на CryDroid. Освен това са видяни следи от проби за засичане посредством антивирусен програмен продукт в портала VirusTotal.
„ Те са знаели, че кодът ще се употребява за злонамерени цели ”, настояват от ESET. „ Отхвърляме хипотезата, че планът е само с проучвателен цели – никой виновен откривател няма да пусне обществено инструмент, който е елементарно да се употребява за злонамерени цели ”.
Изследователите от ESET съумяха да основат инструмент за декриптиране, с помощта на минус в кодирането на злонамереното приложение. „ Открихме неточност от вида погрешен износ на Android съставен елемент ”, която порталът за номериране на уязвимости MITER отбелязва като CWE-926.
„ Неправилен износ на съставни елементи на приложения за Android поражда, когато приложение за Android експортира съставен елемент за потребление от други приложения, само че не лимитира вярно кои приложения могат да започват съставния елемент или да имат достъп до данните, които съдържат ”, разказва грешката MITER.
„ Поради грешката в приложението, всяко друго приложение, което е конфигурирано на засегнатото устройство, може да започва всяка експортирана услуга, предоставена от CryCrypt. Това ни разреши да създадем инструмента за декриптиране – приложение, което започва декриптиращата функционалност, вградена в CryCrypt от нейните основатели ”, разясняват от ESET.
CryCryptor, сходно на други зловредни стратегии, се стреми да се възползва от приложенията за следене на COVID-19 за битка с пандемията. Канадското държавно управление публично разгласи основаването на общонационално непринудено приложение за следене, наречено Коронавирус Alert, което би трябвало да бъде въведено за тестване в провинция Онтарио през юли. Новото семейство рансъмуер изплува единствено няколко дни по-късно.
Пандемията от Covid-19 разкри нови шансове за създателите на злоумишлен програмен продукт
(снимка: CC0 Public Domain)
Н ов злоумишлен програмен продукт за откупи, кой то заключва персонални фотоси и видеоклипове на Android консуматори, се появи в Канада . Първоначално CryCryptor е видян като подправено копие на формалното приложение за следене на COVID-19 от Health Canada. Вирусът се популяризира посредством два разнообразни подправени уеб страницата.
Подобно на други семейства рансъмуер, CryCryptor криптира файлове в инфектираното устройство. Но вместо просто да заключи устройството, вирусът оставя файл „ readme ” с имейла за контакт с нападателя във всяка папка. Вирусът е основан на отворен код, оповестен в GitHub.
Когато жертвата започва злонамереното приложение, то изисква достъп до файловата система на устройството. След като подобен му бъде обезпечен, определени файлове се криптират благодарение на AES логаритъм с случайно генериран 16-символен ключ.
„ След като криптира файл, CryCryptor основава три нови файла, а истинският се отстранява ”, разясняват от антивирусната компания ESET. „ Криптираният файл има прикачено уголемение.enc и логаритъмът генерира неповторим низ (salt) за всеки криптиран файл, съхраняван с разширението.enc.salt и инициализиращ вектор.enc.iv ”.
Интересно е, че тази офанзива включва разширения за файлове като.jpg,.png и.avi, както и ред други документи. Чрез криптиране на фотоси и видеоклипове във паметта на телефона, нападателите вършат офанзивата по-лична и се пробват да подобрят възможностите си за заплащане на откуп. Хората са склонни към предпазване на доста персонални фотоси върху своите устройства, което ги прави лесна цел.
След като криптирането завърши, CryCryptor демонстрира уведомление, което гласи: „ Личните ви файлове бяха криптирани, вижте readme_now.txt ”. Файлът readme_now.txt се слага във всяка папка с криптирани файлове.
Изследователи от ESET съумяха да открият вместилище със сорс кода на CryCrypt в GitHub благодарение на нормално търсене в Гугъл въз основа на името на пакета на приложението и няколко низа, които наподобяват неповторими за този вирус.
още по тематиката
Разработчиците на вируса са пробвали да прикрият следите си посредством смяна на името на плана на CryDroid. Освен това са видяни следи от проби за засичане посредством антивирусен програмен продукт в портала VirusTotal.
„ Те са знаели, че кодът ще се употребява за злонамерени цели ”, настояват от ESET. „ Отхвърляме хипотезата, че планът е само с проучвателен цели – никой виновен откривател няма да пусне обществено инструмент, който е елементарно да се употребява за злонамерени цели ”.
Изследователите от ESET съумяха да основат инструмент за декриптиране, с помощта на минус в кодирането на злонамереното приложение. „ Открихме неточност от вида погрешен износ на Android съставен елемент ”, която порталът за номериране на уязвимости MITER отбелязва като CWE-926.
„ Неправилен износ на съставни елементи на приложения за Android поражда, когато приложение за Android експортира съставен елемент за потребление от други приложения, само че не лимитира вярно кои приложения могат да започват съставния елемент или да имат достъп до данните, които съдържат ”, разказва грешката MITER.
„ Поради грешката в приложението, всяко друго приложение, което е конфигурирано на засегнатото устройство, може да започва всяка експортирана услуга, предоставена от CryCrypt. Това ни разреши да създадем инструмента за декриптиране – приложение, което започва декриптиращата функционалност, вградена в CryCrypt от нейните основатели ”, разясняват от ESET.
CryCryptor, сходно на други зловредни стратегии, се стреми да се възползва от приложенията за следене на COVID-19 за битка с пандемията. Канадското държавно управление публично разгласи основаването на общонационално непринудено приложение за следене, наречено Коронавирус Alert, което би трябвало да бъде въведено за тестване в провинция Онтарио през юли. Новото семейство рансъмуер изплува единствено няколко дни по-късно.
Източник: technews.bg
КОМЕНТАРИ