Зловред в обертке Cyberpunk 2077

Злоумышленники выдают шифровальщик за бета-версию игры Cyberpunk 2077 для Android.

Шифровальщик под видом мобильной версии Cyberpunk 2077

Не успела игра Cyberpunk 2077 выйти для Windows и консолей, как мы обнаружили в Сети «бета-версию для Android». Ее совершенно бесплатно можно было скачать с сайта с говорящим именем cyberpunk2077mobile[.]com. Но ведь разработчик до сих пор ни в каком виде не анонсировал мобильный вариант игры! Мы решили проверить, что за приложение раздают авторы сайта.

Cyberpunk 2077 превращается… в шифровальщик

Сайт «мобильной версии» внешне совершенно не похож на официальный сайт Cyberpunk 2077, зато подозрительно напоминает Google Play. Его создатели утверждают, что бета вышла в день официального релиза игры, а на момент написания этого поста ее уже скачало около тысячи человек. Некоторые из них даже оставили отзывы, отметив, что для бета-версии игра неплоха.

Сайт

Сайт «мобильной версии Cyberpunk 2077» неуловимо напоминает Google Play

Хотя на сайте указано, что приложение весит 3,4 Гб, при скачивании файл не дотягивает и до 3 Мб. Неужели разработчикам удалось уместить в этот объем игру, предназначенную для мощных консолей нового поколения? Разумеется, дело совсем не в этом.

При старте приложение первым делом требует доступ к файлам на устройстве. Теоретически эти права могут понадобиться приложению, если вы захотите что-то сохранить или открыть через него, но вряд ли ваши фото и видео нужны игре, чтобы запуститься. Тем не менее приложение не желает работать без этого разрешения. Впрочем, если выдать его, поиграть тоже не получится. Вместо Cyberpunk 2077 жертва увидит требование выкупа.

Зачем игре доступ к файлам? Чтобы зашифровать их!

Зачем игре доступ к файлам? Чтобы зашифровать их!

В записке на довольно путаном английском пользователю разъясняют, что теперь все его селфи и прочие важные файлы зашифрованы. Чтобы их восстановить, нужно в течение 10 (а может, 24) часов перевести на кошелек злоумышленников 500 долларов в биткойнах. В противном случае зловред удалит данные навсегда и восстановить их будет невозможно. Избавиться от шифровальщика, по словам вымогателей, тоже нельзя: файлы якобы вернуть не удастся. Словом, так себе подарочек на Новый год.

Можно ли восстановить зашифрованные файлы?

Мы проверили, что на самом деле случилось с файлами на зараженном устройстве. Угрозы оказались не пустыми: файлы действительно зашифровали и присвоили им расширение .coderCrypt. Кроме того, в каждую папку зловред поместил файл README.txt с той же запиской, что и в окне приложения.

Фальшивый Cyberpunk 2077 для Android действительно шифрует файлы на устройстве — хоть в этом его создатели не обманывают

Фальшивый Cyberpunk 2077 для Android действительно шифрует файлы на устройстве — хоть в этом его создатели не обманывают

Однако, как оказалось, восстановить файлы можно и без помощи злоумышленников. Дело в том, что зловред использует симметричный алгоритм шифрования RC4. То есть для расшифровки данных нужен тот же самый ключ, с помощью которого их зашифровали. В данном случае ключ оказался зашит в коде приложения. Во всех образцах, которые нам попались, ключ был такой: «21983453453435435738912738921».

Сам алгоритм шифрования достаточно хорошо известен, поэтому восстановить файлы можно самостоятельно — например, воспользовавшись доступными онлайн-сервисами по расшифровке RC4, или же обратиться в наш сервис поддержки пользователей. При этом, если мы говорим про рассматриваемую в статье версию зловреда, вовсе не обязательно успеть сделать это за десять часов. Данный шифровальщик на самом деле ничего не удаляет по истечении этого (или какого-либо другого) срока — в его коде просто-напросто нет соответствующей функции.

А вот сохранить копию зашифрованных файлов, прежде чем вы попытаетесь их восстановить, стоит: в работе любой программы может возникнуть сбой, из-за которого данные потеряются.

Шифровальщик вместо Cyberpunk 2077 — версия для Windows

Увы, пострадавшие файлы далеко не всегда легко восстановить. Например, авторы фейковой беты Cyberpunk 2077 для Android распространяют еще и шифровальщик для Windows, маскирующийся под эту же игру. Зашифрованные им файлы уже нельзя восстановить самостоятельно, потому что ключ не зашит в код приложения, а случайным образом генерируется для каждого отдельного случая заражения. Возможно, как раз поэтому у пользователей ПК требуют вдвое больше денег, чем у жертв мобильной заразы.

Записка с требованием выкупа, которую оставляет шифровальщик для Windows. За расшифровку требуют $1000 в биткойнах

Записка с требованием выкупа, которую оставляет шифровальщик для Windows. За расшифровку требуют $1000 в биткойнах

Нужно ли платить выкуп?

На момент написания статьи в кошелек, на который злоумышленники просят присылать выкуп, было суммарно переведено более 8 тысяч долларов в биткойнах. Между тем никаких гарантий того, что файлы восстановят после уплаты выкупа, нет. Вымогатели могут просто исчезнуть с деньгами или, увидев, что жертва готова платить, потребовать больше. Поэтому платить выкуп мы не рекомендуем.

Эксперты «Лаборатории Касперского» помогают жертвам вымогателей, изучая вредоносный код и находя способы расшифровать файлы, — пишут декрипторы. Многие из них можно найти на сайте NoMoreRansom, который создан специально для противодействия подобным атакам, или же на сайте нашей поддержки. Поэтому если вы пострадали от шифровальщика, лучше в первую очередь изучить эти ресурсы. Если же декриптора пока нет, возможно, через какое-то время будет найден способ расшифровки и соответствующая утилита появится.

Как не стать жертвой шифровальщика

Конечно же, лучше всего с шифровальщиками не сталкиваться, даже если они притворяются очень популярными играми. Чтобы защитить себя, чаще всего достаточно соблюдать базовые правила цифровой гигиены.

  • Скачивайте приложения только из официальных магазинов. В крайнем случае — с официальных сайтов разработчиков. Так вы сведете к минимуму вероятность подцепить зловреда.
  • Информацию о любых бета-версиях, релизах и акциях тоже ищите на сайте разработчика. Если там нет ни слова об игре или же официально она еще не вышла, значит, и игры нет.
  • На всех устройствах используйте надежные защитные решения, которые остановят зловреда до того, как он успеет навредить. Наши продукты детектируют описанный шифровальщик для Android с вердиктом HEUR:Trojan-Ransom.AndroidOS.Agent.bs, а версию для Windows — как Trojan-Ransom.Win32.Alien.ao.
  • Делайте резервные копии важных файлов, чтобы в случае их утраты иметь возможность оперативно восстановить их.
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.