При запуске CryCryptor запрашивал разрешение на доступ к данным жертвы и шифровал файлы на устройстве. Малварь оставляла в каждом каталоге файл Readme_now.txt с требованием выкупа и адресом почты преступника.
Исследователи обнаружили, что CryCryptor был создан на базе на опенсорсного шифровальщика CryDroid, чьи исходные коды свободно доступны на GitHub. В ESET отмечают, что разработчики этого "продукта" должны были знать, что их код будет использоваться в злонамеренных целях. В попытке замаскировать свою малварь под исследовательский проект, они писали, что загрузили исходники в VirusTotal (и эксперты это подтверждают). Тем не менее, специалисты уведомили инженеров GitHub о характере этого кода.
Однако разработчики CryCryptor допустили ошибку типа Improper Export of Android Components, которую MITRE классифицирует как CWE-926. Благодаря этому экспертам ESET удалось оперативно создать утилиту для расшифровки данных, с помощью которой жертвы могут вернуть доступ к файлам. Однако, дешифровщик актуален только для изученной версии малвари, а в других случаях он может оказаться бессилен.
Эксперты ESET в очередной раз призывают пользователей скачивать и устанавливать приложения только из официальных магазинов. Кроме того, они советуют внимательно относиться к разрешениям, которые запрашивает программа, даже если ее разработчики не вызывают подозрений.
Источник - xakep.ru
Kriminal.lv в Телеграме
