Szkodliwe programy pod postacią gry Cyberpunk 2077

Cyberprzestępcy dystrybuują ransomware pod postacią wersji beta gry Cyberpunk 2077 dla systemu Android.

Niedawno gra Cyberpunk 2077 została udostępniona dla systemu Windows i konsoli do gier, a w internecie już pojawiła się „wersja beta dla systemu Android”. Teoretycznie można ją było pobrać za darmo ze strony o nazwie cyberpunk2077mobile[.]com. Ponieważ prawdziwy autor gry ma dopiero poinformować o udostępnieniu jej wersji mobilnej, postanowiliśmy sprawdzić ofertę z internetu.

Cyberpunk 2077 dla Androida? A nie, to ransomware

Wspomniana strona internetowa zawierająca rzekomo wersję mobilną nie wygląda jak oficjalna strona gry Cyberpunk 2077 — bardziej przypomina sklep Google Play. Jej autorzy twierdzą, że wersja beta została udostępniona tego samego dnia co wersja oficjalna, a w chwili pisania tego posta została pobrana prawie tysiąc razy. Część użytkowników napisało nawet swoją opinię, twierdząc, że jak na wersję beta nie jest taka zła.

Strona przypomina bardziej sklep Google Play

Chociaż na stronie internetowej napisane jest, że rozmiar aplikacji wynosi 3,4 GB, w rzeczywistości plik ma mniej niż 3 MB. Czy producenci utworzyli również jakąś przyszłościową technologię kompresji? Raczej nie.

Podczas pierwszego uruchomienia fałszywa wersja beta żąda dostępu do plików znajdujących się na urządzeniu. Teoretycznie aplikacja może wymagać możliwości zapisu jakichś plików lub otwierania czegoś, jednak żadna gra nie potrzebuje do uruchomienia się Twoich zdjęć ani filmów. Niemniej jednak ta aplikacja uruchomi się tylko wtedy, gdy się zgodzisz.

W efekcie jeśli użytkownik nada jej uprawnienie dostępu do swoich plików, zobaczy żądanie zapłaty okupu, a nie upragnioną grę.

Dlaczego gra chce dostępu do plików? Oczywiście, aby je zaszyfrować!

Wiadomość jest napisana dość koślawym angielskim. Można się z niej dowiedzieć, że wszystkie selfie i inne ważne pliki należące do ofiary zostały zaszyfrowane. Aby je odzyskać, należy zapłacić cyberprzestępcom 500 dolarów w bitcoinach w ciągu 24 godzin (lub 10 godzin — informacja o okupie wspomina o obu terminach czasowych). Jeśli w tym czasie ofiara nie zapłaci, szkodliwy program wymaże wszystko z urządzenia.

Zgodnie z wyświetlonym na ekranie komunikatem, każda próba usunięcia ransomware będzie skutkować utratą plików.

Czy zaszyfrowane pliki można przywrócić?

Sprawdziliśmy, co naprawdę stanie się z plikami na zainfekowanym urządzeniu. Pliki rzeczywiście są zaszyfrowane i otrzymują rozszerzenie .coderCrypt. Ponadto szkodliwy program umieszcza w każdym folderze plik README.txt zawierający tę samą informację o okupie.

Fałszywa gra Cyberpunk 2077 dla systemu Android szyfruje pliki — w tej kwestii jej autorzy nie kłamią

Pliki jednak można przywrócić. A to dzięki temu, że szkodliwy program stosuje algorytm szyfrowania symetrycznego RC4. Określenie symetrycznego oznacza, że ten sam klucz służy zarówno do szyfrowania, jak i deszyfrowania plików. W tym przypadku klucz został zakodowany w aplikacji, a we wszystkich napotkanych przez nas próbkach był on następujący: 21983453453435435738912738921.

Ponieważ RC4 występuje dość powszechnie, pliki można przywrócić samodzielnie, na przykład używając internetowego serwisu do deszyfrowania RC4 lub kontaktując się z naszym zespołem pomocy technicznej. Co więcej, przynajmniej w kwestii wersji sprawdzanego przez nas szkodliwego programu 10- (lub 24-) godzinny czas nie ma odzwierciedlenia w rzeczywistości; ransomware nie usuwa plików po tym czasie, bo w jego kodzie nie ma takiej funkcji.

Wobec tego przed podjęciem próby przywrócenia zaszyfrowanych plików warto zapisać ich kopię, na wypadek gdyby narzędzie do odzyskiwania coś popsuło.

Ransomware jako Cyberpunk 2077: wersja dla systemu Windows

Niestety pliki zaszyfrowane przez ransomware nie zawsze można przywrócić z łatwością. Na przykład autorzy fałszywej wersji beta Cyberpunk 2077 dla Androida dystrybuują również ransomware dla systemu Windows pod postacią tej samej gry. Jednak w tym przypadku klucz nie jest osadzony w kodzie aplikacji, lecz generowany losowo dla każdej infekcji z osobna, więc ofiary muszą się natrudzić, aby odszyfrować wszystkie swoje pliki.

Informacja z żądaniem okupu w wysokości 1 tysiąca dolarów w bitcoinach za odszyfrowanie, wyświetlana na systemie Windows

Czy należy zapłacić?

Na chwilę pisania tego posta do portfela cyberprzestępców trafiło ponad 8 tysięcy dolarów w bitcoinach. Tymczasem odzyskanie plików po zapłacie nie jest gwarantowane. Twórcy ransomware mogą zwyczajnie zniknąć z pieniędzmi, albo dość do wniosku, że skoro ofiara chce zapłacić, oni mogą zażądać więcej. Dlatego stanowczo odradzamy spełnienie tego żądania.

Eksperci z firmy Kaspersky pomagają ofiarom oprogramowania ransomware, analizując szkodliwy kod i szukając sposobów na odszyfrowanie plików — innymi słowy tworzymy darmowe narzędzia do odszyfrowywania. Wiele z nich znajdziesz na stronie NoMoreRansom, które utworzyliśmy specjalnie do zwalczania takich ataków, a także na naszej stronie pomocy technicznej. Jeśli padniesz ofiarą ransomware, w pierwszej kolejności skorzystaj z tych zasobów. Nawet jeśli dla Twojego akurat problemu nie istnieje jeszcze rozwiązanie, możliwe, że pojawi się ono w stosownym czasie w postaci odpowiedniego narzędzia.

Jak nie złapać ransomware

Oczywiście najlepiej jest unikać w ogóle ryzyka infekcji ransomware. Aby zapewnić sobie ochronę, wystarczy zachować podstawowe zasady cyberhigieny.

  • Pobieraj aplikacje tylko z oficjalnych sklepów i oficjalnych stron producentów.
  • Informacji o wersjach beta, nowych wydaniach i promocjach szukaj na stronie producenta. Jeśli ich tam nie znajdziesz lub gra jeszcze oficjalnie nie wyszła, wszystkie oferty traktuj jako fałszywki.
  • Na wszystkich urządzeniach zainstaluj niezawodną ochronę, aby złapać szkodliwy program, zanim zdoła on wyrządzić jakąkolwiek szkodę. Na przykład nasze produkty oznaczają fałszywą grę Cyberpunk 2077 dla systemu Android jako HEUR:Trojan-Ransom.AndroidOS.Agent.bs, a wersję dla systemu Windows jako Trojan-Ransom.Win32.Alien.ao.
  • Twórz kopie zapasowe ważnych plików, aby można było je sprawnie przywrócić w razie ich utraty.
Porady