Un nouveau ransomware sous l’apparence d’une application officielle de traçage du Covid-19 a été découvert au Canada par les chercheurs d’ESET (Enjoy Safer Technology) .
Le gouvernement canadien a annoncé son projet de soutien au développement de l’application COVID Alert (application de traçage volontaire à l’échelle nationale) qui sera déployée pour des tests en Ontario dès le mois prochain. Quelques jours après cette annonce, le ransomware fait son apparition et cause des dégâts.
CryCryptor est distribué à partir de deux sites Web qui affirment qu’il s’agit d’une application de traçage Covid-19 alors qu’en réalité il ne s’agit que d’une nouvelle famille de ransomwares. Une fois qu’un utilisateur a installé la fausse application sur son smartphone, le ransomware crypte tous les fichiers sur son appareil, mais au lieu de le verrouiller, CryCryptor laisse un fichier «readme» avec le courrier électronique de l’attaquant dans chaque répertoire à côté des fichiers cryptés. Une fois que tous les fichiers cibles ont été chiffrés, une notification s’affiche sur l’appareil qui indique «Fichiers personnels chiffrés, voir readme_now.txt».
Heureusement, après avoir analysé l’application, les chercheurs d’ESER ont découvert un bogue «Mauvaise exportation des composants Android» qui leur a permis de créer un outil de décryptage.
Description de CryCryptor
En utilisant une recherche simple basée sur le nom du package de la fausse application de traçage Covid-19 et quelques chaînes, les chercheurs d’ESET ont découvert que le ransomware CryCryptor est basé sur le code open source disponible sur GitHub .
Les développeurs derrière le ransomware open source lui ont donné le nom de CryDroid avant de le télécharger sur la plateforme des développeurs. Ils ont également tenté de déguiser le projet en recherche en affirmant avoir téléchargé le code sur VirusTotal.
À l’heure actuelle, on ne sait toujours pas qui a téléchargé CryDroid en premier lieu, mais le code est apparu sur VirusTotal le même jour qu’il a été publié sur GitHub. Les chercheurs d’ESET ont expliqué qu’il n’y avait aucun moyen pour que le projet soit conçu à des fins de recherche car «aucun chercheur responsable ne rendrait public un outil facile à utiliser à des fins malveillantes».
Pour ceux qui ont été accidentellement victimes de CryCryptor, vous pouvez télécharger l’application de décryptage Android d’ESET bien que la société de sécurité prévienne que l’application ne fonctionnera que pour cette version du ransomware.