ESET inform\u00f3 al Centro Canadiense para la Ciberseguridad sobre esta amenaza tan pronto como fue identificada.<\/p>\n
![\"\"](\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2020\/06\/Figure-1-2-150x150.png\")
<\/p>\n
Una vez que el usuario es v\u00edctima de CryCryptor, el ransomware cifra los archivos en el dispositivo (los tipos de archivos m\u00e1s comunes) pero en lugar de bloquear el equipo, deja un archivo \u201creadme\u201d que contiene la direcci\u00f3n de correo del atacante en cada directorio que contiene archivos cifrados.<\/p>\n
Afortunadamente, pudimos crear una herramienta de descifrado para aquellos que son v\u00edctimas de este ransomware.<\/p>\n
Despu\u00e9s de detectar un\u00a0tweet<\/a>\u00a0que trajo este ransomware a nuestro radar (el investigador que lo descubri\u00f3 catalog\u00f3 err\u00f3neamente el malware como un troyano bancario), analizamos la aplicaci\u00f3n. Descubrimos un fallo del tipo \u201cExportaci\u00f3n incorrecta de componentes de Android\u201d que MITRE etiqueta como\u00a0CWE-926<\/a>.<\/p>\n Debido a este fallo, cualquier aplicaci\u00f3n que est\u00e9 instalada en el dispositivo afectado puede iniciar cualquier servicio exportado proporcionado por el ransomware. Esto nos permiti\u00f3 crear la\u00a0herramienta de descifrado<\/a>, una app que ejecuta la funcionalidad de descifrado incorporada por sus creadores en la app de ransomware.<\/p>\n Luego de ser iniciado, el ransomware solicita acceder a los archivos en el dispositivo. Una vez que obtiene ese permiso, cifra archivos con determinadas extensiones, como las que se observan en la Figura 2.<\/p>\n <\/p>\n <\/p>\n Los archivos seleccionados por la amenaza son cifrados utilizando AES con una clave de 16 caracteres generada aleatoriamente. Despu\u00e9s de que el ransomware CryCryptor cifra un archivo, se crean tres archivos nuevos y se elimina el archivo original. El archivo cifrado tiene la extensi\u00f3n \u201c.enc<\/strong>\u201c, y el algoritmo genera una sal para cada archivo cifrado, el cual es almacenado con la extensi\u00f3n \u201c.enc.salt<\/strong>\u201d ; y un vector de inicializaci\u00f3n, \u201c.enc.iv<\/strong>\u201c.<\/p>\n Luego de cifrar los archivos, CryCryptor despliega una mensaje que dice \u201cArchivos personales cifrados, consulte readme_now.txt\u201d. El archivo\u00a0readme_now.txt\u00a0es colocado en cada directorio que contiene archivos cifrados.<\/p>\n El servicio responsable del descifrado de archivos en CryCryptor tiene la clave de cifrado almacenada en las preferencias compartidas, lo que significa que no tiene que contactar a ning\u00fan C&C para recuperarla. Es importante destacar que el servicio se exporta sin restricciones en el Manifiesto de Android (CWE-926<\/a>), lo que significa que es posible iniciarlo externamente.<\/p>\nCifrado\/funcionalidad<\/strong><\/h2>\n
![\"\"](\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2020\/06\/Figure-2-2-150x150.png\")
<\/p>\n![\"\"](\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2020\/06\/Figure-3-2-150x150.png\")
<\/p>\n![\"\"](\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2020\/06\/Figure-4-2-150x150.png\")
<\/p>\nDescifrado<\/strong><\/h2>\n
![\"\"](\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2020\/06\/Figure-5-2-150x150.png\")
<\/p>\n