Die Sicherheitsexperten von Eset haben eine Android-App entdeckt, die Dateien auf den Geräten der Opfer verschlüsselt. Sie gibt sich als offizielle kanadische Corona-App zur Kontaktverfolgung aus.
CryCryptor tauchte nur wenige Tage nach der offiziellen Ankündigung der kanadischen Regierung auf, die Entwicklung einer landesweiten, freiwilligen Tracing-App mit dem Namen „COVID Alert“ zu unterstützen. Die offizielle App soll bereits im nächsten Monat in der Provinz Ontario getestet werden. ESET informierte das kanadische Zentrum für Cybersicherheit sofort nach der Entdeckung über diese Bedrohung.
Wenn ein Nutzer CryCryptor zum Opfer fällt, verschlüsselt die Ransomware die Dateien auf dem Gerät – und zwar die meisten gängigen Dateitypen. Doch anstatt das Gerät zu sperren, hinterlässt sie in jedem Verzeichnis mit verschlüsselten Dateien eine ReadMe-Datei mit der E-Mail des Angreifers.
Glücklicherweise konnte ESET ein Entschlüsselungs-Tool für die Opfer der Ransomware erstellen. Bei der Analyse fiel auf, dass es sich, anders als vom Entdecker angenommen, nicht um einen Banking Trojaner handelte. ESET entdeckte darin einen Fehler, der als „Unsachgemäßer Export von Android-Komponenten“ bezeichnet wird und als CWE-926 dokumentiert ist.
Aufgrund dieses Fehlers kann jede App, die auf dem betroffenen Gerät installiert ist, jeden exportierten Dienst starten, den die Ransomware bereitstellt. Auf diese Weise konnte ESET das Entschlüsselungs-Tool erstellen – eine App, die einfach die Entschlüsselungsfunktion der Ransomware-App nutzt.
Nach dem Start der App fordert die Ransomware die Berechtigung für den Dateizugriff auf dem Gerät an. Nach Erhalt dieser Berechtigung werden bestimmte Dateitypen auf den externen Medien verschlüsselt.
Die Dateien werden mit AES mit einem zufällig generierten 16-stelligen Schlüssel verschlüsselt. Nachdem CryCryptor eine Datei verschlüsselt hat, werden drei neue Dateien erstellt und die Originaldatei entfernt.
An die verschlüsselte Datei wird die Dateierweiterung „.enc“ angehängt und der Algorithmus generiert für jede verschlüsselte Datei, die mit der Erweiterung „.enc.salt“ gespeichert ist, ein eindeutiges Salt und einen Initialisierungsvektor „.enc.iv„.
Nachdem alle Zieldateien verschlüsselt wurden, zeigt CryCryptor die Benachrichtigung „Verschlüsselte persönliche Dateien, siehe readme_now.txt“ an. Die Datei readme_now.txt wird in jedem Verzeichnis mit verschlüsselten Dateien abgelegt.
Der für die Entschlüsselung von Dateien in CryCryptor verantwortliche Dienst, speichert den Verschlüsselungsschlüssel in den gemeinsamen Einstellungen, sodass er sich nicht an einen Command-and-Control-Server wenden muss, um ihn abzurufen. Wesentlich ist, dass es aufgrund eines Programmierfehlers (Sicherheitslücke CWE-926) möglich ist die Dienste der App auch von externen Programmen aus zu starten.
Auf dieser Grundlage hat ESET eine Android-Entschlüsselungs-App für diejenigen erstellt, die von der CryCryptor-Ransomware betroffen sind. Natürlich funktioniert die Entschlüsselungs-App nur für diese Version von CryCryptor.
Die CryCryptor-Ransomware basiert auf Open Source-Code, der auf GitHub verfügbar ist. Die ESET-Expertem haben ihn dort mithilfe einer einfachen Suche, auf Basis des Paketnamens der App und einigen einzigartigen Zeichenfolgen, entdeckt.
Die Entwickler der Open-Source-Ransomware mit dem Namen „CryDroid“ haben offensichtlich gewusst, dass der Code für böswillige Zwecke verwendet werden wird. Um das Projekt als Forschungsprojekt zu tarnen, behaupten sie den Code bei VirusTotal hochgeladen zu haben. Es ist unklar, wer das Sample hochgeladen hat, aber tatsächlich erschien es am selben Tag auf VirusTotal als der Code bei GitHub veröffentlicht wurde.
ESET betont, dass ein verantwortlicher Forscher kein derartiges Tool veröffentlichen würde, das leicht für böswillige Zwecke missbraucht werden kann, und hat deshalb GitHub über diesen Code informiert.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.