الامر خطير جدا وبدون مقدمات، برنامج خبيث يصيب اجهزة الاندرويد انتشر منذ ايام قليلة، وهذا اكيد من صنع مجموعة من الهكرز، يقومون يتشفير ملفاتك على الهاتف من اجل طلب الفدية، اي مبلغ باهض من المال لكن يرجعون اليك ملفاتك لقاء هذا المال الذي يطلق عليه اسم الفدية، يضهر هذا الملف الملغوم على أنه تطبيق من اجل تتبع اخر اخبار وباء الكورونا كوفيد 19 COVID .
وتشير اخر الاخبار انه تمكن فريق من شركة حماية الاندرويد الالمانية الشهيرة والان اصبح لديها فروع في دول العالم، ESET قام خبراء من الشركة بتشريح تطبيق Android الذي وجد انه يتنكر على أنه تطبيق رسمي، ويقوم بتتبع الاتصال COVID-19 ويقوم بتشفير الملفات على جهاز الضحية .
يستهدف برنامج CryCryptor الجديد لبرنامج الفدية مستخدمي Android في كندا، ويتم توزيعه عبر موقعين الكترونيين، تحت ستار تطبيق تتبع COVID-19 الرسمي المقدم من Health Canada. قام باحثو ESET بتحليل برنامج الفدية، وإنشاء أداة فك تشفير للضحايا يطلق على هذا الفيروس الخطير كريكريبتور .
ظهر CryCryptor قبل أيام قليلة فقط من إعلان الحكومة الكندية رسميا، عن نيتها دعم تطوير تطبيق تتبع طوعي على مستوى الدولة، يسمى COVID Alert. ومن المقرر طرح التطبيق الرسمي للاختبار، في مقاطعة أونتاريو في أقرب وقت ممكن الشهر المقبل.
أبلغت ESET المركز الكندي للأمن السيبراني، بهذا التهديد بمجرد التعرف عليه.
الشكل 1. أحد مواقع التوزيع الخبيثة ؛ والآخر لديه تصميم متطابق، ويختلف فقط في مجاله ، covid19tracer [.] كاليفورنيا.
بمجرد أن يقع المستخدم ضحية لـ CryCryptor ، يقوم برنامج الفدية بتشفير الملفات الموجودة على الجهاز - جميع أنواع الملفات، الأكثر شيوعًا - ولكن بدلاً من قفل الجهاز ، فإنه يترك ملف "تمهيدي" مع البريد الإلكتروني للمهاجم، في كل دليل به ملفات مشفرة.
لحسن الحظ ، تمكن خبراء ESET من إنشاء أداة فك تشفير، لأولئك الذين يقعون ضحية لبرنامج الفدية هذا.
بعد أن رصدت التغريدة التي جلبت هذه الفدية إلى رادار ESET(الباحث الذي اكتشفها وصف خطأً بالبرامج الضارة، على أنها حصان طروادة مصرفي) ، قمنا بتحليل التطبيق. اكتشف خطأ من النوع "تصدير غير لائق لمكونات Android" التي تسميها MITER كـ CWE-926.
نظرًا لهذا الخطأ ، يمكن لأي تطبيق مثبت على الجهاز المتأثر تشغيل أي خدمة تم تصديرها بواسطة برنامج الفدية. سمح هذا بإنشاء أداة فك التشفير - تطبيق يقوم بتشغيل وظيفة فك التشفير المضمنة في تطبيق برامج الفدية من قبل منشئيها.
التشفير / الوظيفة
بعد الإطلاق ، تطلب برامج الفدية الوصول إلى الملفات الموجودة على الجهاز. بعد الحصول على هذا الإذن ، يقوم بتشفير الملفات على وسائط خارجية ذات امتدادات معينة ، والتي تظهر في الشكل 2.
الشكل 2. امتدادات الملفات المراد تشفيرها
يتم تشفير الملفات المحددة باستخدام AES بمفتاح مكون من 16 حرفًا يتم إنشاؤه عشوائيًا. بعد أن يقوم CryCryptor بتشفير ملف، يتم إنشاء ثلاثة ملفات جديدة، وتتم إزالة الملف الأصلي. يحتوي الملف المشفر على ملحق الملف ".enc" وملحق الخوارزمية ملح فريد لكل ملف مشفر، يتم تخزينه بالملحق ".enc.salt" ؛ ومتجه التهيئة ".enc.iv"
الشكل 3. الملفات بعد التشفير
بعد تشفير جميع الملفات المستهدفة، يعرض CryCryptor إشعارًا "تشفير الملفات الشخصية، راجع readme_now.txt". يتم وضع ملف readme_now.txt في كل دليل به ملفات مشفرة.
الشكل 4. إشعار تشفير الملف (يسار) ومحتويات ملف readme_now.txt (يمين)
فك التشفير
تحتوي الخدمة المسؤولة عن فك تشفير الملفات في CryCryptor على مفتاح التشفير المخزن في التفضيلات المشتركة، مما يعني أنه لا يلزم الاتصال بأي C&C لاسترداده. الأهم من ذلك، يتم تصدير الخدمة دون أي قيود في Android Manifest (الضعف الأمني CWE-926) ، مما يعني أنه من الممكن إطلاقها خارجيًا.
وبناءً على ذلك، أنشأ فريق الباحثين تطبيق فك تشفير Android لأولئك المتأثرين ببرنامج CryCryptor Ransomware. بطبيعة الحال، يعمل تطبيق فك التشفير فقط على هذا الإصدار من CryCryptor.
عائلة جديدة من برامج الفدية
يعتمد برنامج CryCryptor Ransomware على كود مفتوح المصدر على GitHub. اكتشف باستخدام بحث بسيط يعتمد على اسم حزمة التطبيق وبعض السلاسل التي بدت فريدة.
لا بد أن مطوري برامج الفدية مفتوحة المصدر، الذين أطلقوا عليها اسم CryDroid ، كانوا يعرفون أن الرمز سيتم استخدامه لأغراض ضارة. في محاولة لإخفاء المشروع كبحوث، يدعون أنهم قاموا بتحميل الرمز إلى خدمة VirusTotal. في حين أنه من غير الواضح من الذي قام بتحميل العينة، فقد ظهر بالفعل على VirusTotal في نفس اليوم الذي تم فيه نشر الرمز على GitHub.
الشكل 5. رانسومواري مفتوحة المصدر
يرفض الخبراء الادعاء بأن المشروع كان له أغراض بحثية - ولن يقوم أي باحث مسؤول علنًا بنشر أداة يسهل إساءة استخدامها لأغراض ضارة.
لقد أبلغ GitHub عن طبيعة هذا الرمز.
توفر منتجات ESET الحماية ضد برنامج CryCryptor Ransomware وتكشفه على أنه Trojan.Android/CryCryptor.A. علاوة على استخدام حل أمان جوّال عالي الجودة ، ننصح مستخدمي Android بتثبيت التطبيقات فقط من مصادر موثوقة مثل متجر Google Play.
احذروا فيروس CryCryptor خطير جدا يصيب اجهزة الاندرويد
يستهدف برنامج CryCryptor الجديد لبرنامج الفدية مستخدمي Android في كندا، ويتم توزيعه عبر موقعين الكترونيين، تحت ستار تطبيق تتبع COVID-19 الرسمي المقدم من Health Canada. قام باحثو ESET بتحليل برنامج الفدية، وإنشاء أداة فك تشفير للضحايا يطلق على هذا الفيروس الخطير كريكريبتور .
ظهر CryCryptor قبل أيام قليلة فقط من إعلان الحكومة الكندية رسميا، عن نيتها دعم تطوير تطبيق تتبع طوعي على مستوى الدولة، يسمى COVID Alert. ومن المقرر طرح التطبيق الرسمي للاختبار، في مقاطعة أونتاريو في أقرب وقت ممكن الشهر المقبل.
أبلغت ESET المركز الكندي للأمن السيبراني، بهذا التهديد بمجرد التعرف عليه.
الشكل 1. أحد مواقع التوزيع الخبيثة ؛ والآخر لديه تصميم متطابق، ويختلف فقط في مجاله ، covid19tracer [.] كاليفورنيا.
بمجرد أن يقع المستخدم ضحية لـ CryCryptor ، يقوم برنامج الفدية بتشفير الملفات الموجودة على الجهاز - جميع أنواع الملفات، الأكثر شيوعًا - ولكن بدلاً من قفل الجهاز ، فإنه يترك ملف "تمهيدي" مع البريد الإلكتروني للمهاجم، في كل دليل به ملفات مشفرة.
لحسن الحظ ، تمكن خبراء ESET من إنشاء أداة فك تشفير، لأولئك الذين يقعون ضحية لبرنامج الفدية هذا.
بعد أن رصدت التغريدة التي جلبت هذه الفدية إلى رادار ESET(الباحث الذي اكتشفها وصف خطأً بالبرامج الضارة، على أنها حصان طروادة مصرفي) ، قمنا بتحليل التطبيق. اكتشف خطأ من النوع "تصدير غير لائق لمكونات Android" التي تسميها MITER كـ CWE-926.
نظرًا لهذا الخطأ ، يمكن لأي تطبيق مثبت على الجهاز المتأثر تشغيل أي خدمة تم تصديرها بواسطة برنامج الفدية. سمح هذا بإنشاء أداة فك التشفير - تطبيق يقوم بتشغيل وظيفة فك التشفير المضمنة في تطبيق برامج الفدية من قبل منشئيها.
التشفير / الوظيفة
بعد الإطلاق ، تطلب برامج الفدية الوصول إلى الملفات الموجودة على الجهاز. بعد الحصول على هذا الإذن ، يقوم بتشفير الملفات على وسائط خارجية ذات امتدادات معينة ، والتي تظهر في الشكل 2.
الشكل 2. امتدادات الملفات المراد تشفيرها
يتم تشفير الملفات المحددة باستخدام AES بمفتاح مكون من 16 حرفًا يتم إنشاؤه عشوائيًا. بعد أن يقوم CryCryptor بتشفير ملف، يتم إنشاء ثلاثة ملفات جديدة، وتتم إزالة الملف الأصلي. يحتوي الملف المشفر على ملحق الملف ".enc" وملحق الخوارزمية ملح فريد لكل ملف مشفر، يتم تخزينه بالملحق ".enc.salt" ؛ ومتجه التهيئة ".enc.iv"
الشكل 3. الملفات بعد التشفير
بعد تشفير جميع الملفات المستهدفة، يعرض CryCryptor إشعارًا "تشفير الملفات الشخصية، راجع readme_now.txt". يتم وضع ملف readme_now.txt في كل دليل به ملفات مشفرة.
الشكل 4. إشعار تشفير الملف (يسار) ومحتويات ملف readme_now.txt (يمين)
فك التشفير
تحتوي الخدمة المسؤولة عن فك تشفير الملفات في CryCryptor على مفتاح التشفير المخزن في التفضيلات المشتركة، مما يعني أنه لا يلزم الاتصال بأي C&C لاسترداده. الأهم من ذلك، يتم تصدير الخدمة دون أي قيود في Android Manifest (الضعف الأمني CWE-926) ، مما يعني أنه من الممكن إطلاقها خارجيًا.
وبناءً على ذلك، أنشأ فريق الباحثين تطبيق فك تشفير Android لأولئك المتأثرين ببرنامج CryCryptor Ransomware. بطبيعة الحال، يعمل تطبيق فك التشفير فقط على هذا الإصدار من CryCryptor.
عائلة جديدة من برامج الفدية
يعتمد برنامج CryCryptor Ransomware على كود مفتوح المصدر على GitHub. اكتشف باستخدام بحث بسيط يعتمد على اسم حزمة التطبيق وبعض السلاسل التي بدت فريدة.
لا بد أن مطوري برامج الفدية مفتوحة المصدر، الذين أطلقوا عليها اسم CryDroid ، كانوا يعرفون أن الرمز سيتم استخدامه لأغراض ضارة. في محاولة لإخفاء المشروع كبحوث، يدعون أنهم قاموا بتحميل الرمز إلى خدمة VirusTotal. في حين أنه من غير الواضح من الذي قام بتحميل العينة، فقد ظهر بالفعل على VirusTotal في نفس اليوم الذي تم فيه نشر الرمز على GitHub.
الشكل 5. رانسومواري مفتوحة المصدر
يرفض الخبراء الادعاء بأن المشروع كان له أغراض بحثية - ولن يقوم أي باحث مسؤول علنًا بنشر أداة يسهل إساءة استخدامها لأغراض ضارة.
لقد أبلغ GitHub عن طبيعة هذا الرمز.
توفر منتجات ESET الحماية ضد برنامج CryCryptor Ransomware وتكشفه على أنه Trojan.Android/CryCryptor.A. علاوة على استخدام حل أمان جوّال عالي الجودة ، ننصح مستخدمي Android بتثبيت التطبيقات فقط من مصادر موثوقة مثل متجر Google Play.
في الاخير ادعوا كل متابعي الى الحذر واي اخبار جديدة سانشرها لكم.
ليست هناك تعليقات:
إرسال تعليق