在加拿大使用偽造的COVID-19追踪應用程序隱藏了名為CryCryptor的Android勒索軟件

週二，一位由Twitter負責人Re-ind的獨立反向工程師偶然發現了幾個最近註冊的域，試圖推送一個惡意的Android應用程序。 Re-ind的初步調查表明，騙子正在散佈銀行木馬，但在ESET的研究人員仔細研究之後 ，他們意識到這實際上是一種名為CryCryptor的新型勒索軟件。乍一看，該競選似乎是一個複雜的網絡犯罪團伙的創意。

賽博騙子再次利用了COVID-19大流行

惡意網站是在加拿大總理賈斯汀·特魯多（Justin Trudeau）宣布政府支持開發COVID-19聯繫人跟踪應用程序幾天后才建立的。像世界上其他國家一樣，加拿大正在啟動一個應用程序，該應用程序應提醒已經與確診冠狀病毒病例密切聯繫的人們。該應用程序仍在開發中，很可能在下個月初啟動。網絡犯罪分子希望人們不會意識到這一點。

他們花了很大力氣將CryCryptor勒索軟件偽裝成加拿大即將推出的COVID-19聯繫人跟踪應用程序。登陸頁面在模仿加拿大政府網站方面做得很好，而且，正如ESET的研究人員指出的那樣，通常的語法和拼寫錯誤均已丟失。

有幾個段落介紹了該應用程序並說明了它的好處，在它們的左側，有一個巨大的“在Google Play上獲取它”按鈕。令人困惑的是，在該按鈕下方的一處相當不錯的打印文字顯示Google Play仍在批准該應用程序，這就是為什麼只能從“我們的服務器”下載該應用程序的原因。除此之外，幾乎沒有任何東西可以消除騙局。

發現威脅後不久，ESET的研究人員通知了加拿大網絡安全中心，數小時之內，惡意網站就關閉了。當然，在此之前，專家們仔細研究了CryCryptor勒索軟件。

CryCryptor不是一個非常複雜的威脅

許多Android勒索軟件可以避免繁瑣的數據加密工作，而只需更改設備的密碼即可。 CryCryptor不是其中之一。

勒索軟件使用AES對數據進行加密，將其放入擴展名為.enc的文件中，然後刪除原始文件。對於每個加密文件，勒索軟件都會創建另外兩個包含唯一鹽和初始化向量的文件。

加密完成後，CryCryptor告知用戶其數據已經加密，並敦促他們遵循“ readme_now.txt”文件中的說明。贖金記錄沒有說明實際的贖金金額，而是為用戶提供了他們需要聯繫的唯一ID和電子郵件地址。幸運的是，在這種特殊情況下，騙子的要求並不重要，因為可以免費檢索CryCryptor加密的文件。

ESET的研究人員對勒索軟件進行了反向工程，結果發現，為了避免將加密密鑰與Command＆Control服務器（C＆C）進行來回傳輸，騙子決定將其存儲在設備上。因此，安全專家能夠創建和發布免費的解密工具，該工具可以幫助受CryCryptor影響的用戶檢索其數據而無需支付贖金。

進一步的調查證實，罪犯在準備攻擊的技術方面時比較懶惰。他們甚至都不費心思提出自己的勒索軟件系列。相反，他們將CryCryptor基於CryDroid，這是一種Android勒索軟件，最近通過GitHub開源。

開源勒索軟件的問題

CryDroid存儲庫中的“自述文件”說，作者是一位安全專家，希望與其他研究人員共享代碼，並且不應將惡意軟件用於攻擊無辜的受害者。顯然，這並沒有阻止網絡犯罪分子濫用它。實際上，該代碼已於6月11日公開，僅一周後，它已被更名並準備向加拿大用戶發布。

這也不是第一次。 2015年，一名安全專家使用GitHub共享了一種名為Hidden Tear的Windows勒索軟件威脅，其目的是出於研究目的。他無意間產生了各種各樣的文件加密威脅，直到今天仍在折磨著用戶。大多數基於公開可用的惡意軟件的活動可能規模較小且相對無害，但這並不能改變這樣一個事實，即即使是出於全球最佳意圖，開源惡意代碼也使網絡犯罪分子的生活變得更加輕鬆。在當今時代，安全專家應該比這更了解。