Cyberthreat.id - Ransomware baru sedang digunakan dalam serangan cyber berkedok aplikasi pelacakan Covid-19 resmi Kanada. Peneliti keamanan ESET mengumumkan Ransomware yang bernama CryCryptor pekan lalu. Tak hanya itu, peneliti ESET juga berhasil menemukan kunci decryptor dari ransomware tersebut.

CryCryptor merupakan ransomware perangkat mobile yang menargetkan pengguna Android di Kanada dan didistribusikan melalui dua situs web dengan dalih aplikasi pelacakan Covid-19 resmi yang disediakan Health Canada.

Ransomware ini muncul beberapa hari setelah pemerintah Kanada secara resmi mengumumkan dukungannya terhadap aplikasi pelacakan sukarela skala nasional yang disebut Covid Alert. Aplikasi ini akan diuji di provinsi Ontario mulai bulan depan.

Dalam keterangan di situs ESET, para peneliti mengatakan telah memberi tahu Pusat Keamanan Cyber ​​Kanada tentang ancaman itu. Sebelumnya ada peneliti yang menemukannya secara keliru menyebut malware sebagai trojan perbankan, ESET kemudian menganalisis aplikasinya dan menemukan bug dari jenis “Improper Export of Android Components” yang dilabel MITER sebagai CWE-926.

"Setelah pengguna menjadi korban CryCryptor, ransomware mengenkripsi file pada perangkat - semua jenis file yang paling umum - tetapi alih-alih mengunci perangkat, ia meninggalkan file "readme" dengan email penyerang di setiap direktori disertai file yang dienkripsi," kata peneliti di situs ESET dilansir Jerusalem Post, Kamis (2 Juli 2020).

Cara kerja CryCryptor

Setelah dirilis, ransomware akan meminta untuk mengakses file di perangkat. Setelah mendapatkan izin, CryCryptor mengenkripsi file pada media eksternal dengan ekstensi tertentu.

Setelah ransomware mengenkripsi file, tiga file baru dibuat, dan file asli dihapus. File terenkripsi memiliki ekstensi file “.enc” yang ditambahkan, dan algoritma menghasilkan sesuatu yang unik untuk setiap file terenkripsi, disimpan dengan ekstensi “.enc.salt”; dan vektor inisialisasi, “.enc.iv”.

Setelah semua file target dienkripsi, CryCryptor menampilkan pemberitahuan “File pribadi yang dienkripsi, lihat readme_now.txt”. File readme_now.txt ditempatkan di setiap direktori dengan file yang dienkripsi.

Layanan yang bertanggung jawab untuk dekripsi file di CryCryptor memiliki kunci enkripsi yang disimpan dalam preferensi bersama. Artinya ia tidak harus menghubungi C&C apa pun untuk mengambilnya. Yang penting, layanan ini diekspor tanpa batasan dalam Manifes Android (kelemahan keamanan CWE-926), yang artinya adalah mungkin untuk meluncurkannya secara eksternal.

ESET kemudian membuat aplikasi dekripsi Android untuk pengguna yang terinfeksi dengan CryCryptor ransomware. Secara alami, aplikasi dekripsi hanya berfungsi pada versi CryCryptor ini.[]