Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Зловред в обертке Cyberpunk 2077
Злоумышленники выдают шифровальщик за бета-версию игры Cyberpunk 2077 для Android.
Не успела игра Cyberpunk 2077 выйти для Windows и консолей, как мы обнаружили в Сети «бета-версию для Android». Ее совершенно бесплатно можно было скачать с сайта с говорящим именем cyberpunk2077mobile[.]com. Но ведь разработчик до сих пор ни в каком виде не анонсировал мобильный вариант игры! Мы решили проверить, что за приложение раздают авторы сайта.
Cyberpunk 2077 превращается… в шифровальщик
Сайт «мобильной версии» внешне совершенно не похож на официальный сайт Cyberpunk 2077, зато подозрительно напоминает Google Play. Его создатели утверждают, что бета вышла в день официального релиза игры, а на момент написания этого поста ее уже скачало около тысячи человек. Некоторые из них даже оставили отзывы, отметив, что для бета-версии игра неплоха.
Хотя на сайте указано, что приложение весит 3,4 Гб, при скачивании файл не дотягивает и до 3 Мб. Неужели разработчикам удалось уместить в этот объем игру, предназначенную для мощных консолей нового поколения? Разумеется, дело совсем не в этом.
При старте приложение первым делом требует доступ к файлам на устройстве. Теоретически эти права могут понадобиться приложению, если вы захотите что-то сохранить или открыть через него, но вряд ли ваши фото и видео нужны игре, чтобы запуститься. Тем не менее приложение не желает работать без этого разрешения. Впрочем, если выдать его, поиграть тоже не получится. Вместо Cyberpunk 2077 жертва увидит требование выкупа.
В записке на довольно путаном английском пользователю разъясняют, что теперь все его селфи и прочие важные файлы зашифрованы. Чтобы их восстановить, нужно в течение 10 (а может, 24) часов перевести на кошелек злоумышленников 500 долларов в биткойнах. В противном случае зловред удалит данные навсегда и восстановить их будет невозможно. Избавиться от шифровальщика, по словам вымогателей, тоже нельзя: файлы якобы вернуть не удастся. Словом, так себе подарочек на Новый год.
Можно ли восстановить зашифрованные файлы?
Мы проверили, что на самом деле случилось с файлами на зараженном устройстве. Угрозы оказались не пустыми: файлы действительно зашифровали и присвоили им расширение .coderCrypt. Кроме того, в каждую папку зловред поместил файл README.txt с той же запиской, что и в окне приложения.
Однако, как оказалось, восстановить файлы можно и без помощи злоумышленников. Дело в том, что зловред использует симметричный алгоритм шифрования RC4. То есть для расшифровки данных нужен тот же самый ключ, с помощью которого их зашифровали. В данном случае ключ оказался зашит в коде приложения. Во всех образцах, которые нам попались, ключ был такой: «21983453453435435738912738921».
Сам алгоритм шифрования достаточно хорошо известен, поэтому восстановить файлы можно самостоятельно — например, воспользовавшись доступными онлайн-сервисами по расшифровке RC4, или же обратиться в наш сервис поддержки пользователей. При этом, если мы говорим про рассматриваемую в статье версию зловреда, вовсе не обязательно успеть сделать это за десять часов. Данный шифровальщик на самом деле ничего не удаляет по истечении этого (или какого-либо другого) срока — в его коде просто-напросто нет соответствующей функции.
А вот сохранить копию зашифрованных файлов, прежде чем вы попытаетесь их восстановить, стоит: в работе любой программы может возникнуть сбой, из-за которого данные потеряются.
Шифровальщик вместо Cyberpunk 2077 — версия для Windows
Увы, пострадавшие файлы далеко не всегда легко восстановить. Например, авторы фейковой беты Cyberpunk 2077 для Android распространяют еще и шифровальщик для Windows, маскирующийся под эту же игру. Зашифрованные им файлы уже нельзя восстановить самостоятельно, потому что ключ не зашит в код приложения, а случайным образом генерируется для каждого отдельного случая заражения. Возможно, как раз поэтому у пользователей ПК требуют вдвое больше денег, чем у жертв мобильной заразы.
Нужно ли платить выкуп?
На момент написания статьи в кошелек, на который злоумышленники просят присылать выкуп, было суммарно переведено более 8 тысяч долларов в биткойнах. Между тем никаких гарантий того, что файлы восстановят после уплаты выкупа, нет. Вымогатели могут просто исчезнуть с деньгами или, увидев, что жертва готова платить, потребовать больше. Поэтому платить выкуп мы не рекомендуем.
Эксперты «Лаборатории Касперского» помогают жертвам вымогателей, изучая вредоносный код и находя способы расшифровать файлы, — пишут декрипторы. Многие из них можно найти на сайте NoMoreRansom, который создан специально для противодействия подобным атакам, или же на сайте нашей поддержки. Поэтому если вы пострадали от шифровальщика, лучше в первую очередь изучить эти ресурсы. Если же декриптора пока нет, возможно, через какое-то время будет найден способ расшифровки и соответствующая утилита появится.
Как не стать жертвой шифровальщика
Конечно же, лучше всего с шифровальщиками не сталкиваться, даже если они притворяются очень популярными играми. Чтобы защитить себя, чаще всего достаточно соблюдать базовые правила цифровой гигиены.
- Скачивайте приложения только из официальных магазинов. В крайнем случае — с официальных сайтов разработчиков. Так вы сведете к минимуму вероятность подцепить зловреда.
- Информацию о любых бета-версиях, релизах и акциях тоже ищите на сайте разработчика. Если там нет ни слова об игре или же официально она еще не вышла, значит, и игры нет.
- На всех устройствах используйте надежные защитные решения, которые остановят зловреда до того, как он успеет навредить. Наши продукты детектируют описанный шифровальщик для Android с вердиктом HEUR:Trojan-Ransom.AndroidOS.Agent.bs, а версию для Windows — как Trojan-Ransom.Win32.Alien.ao.
- Делайте резервные копии важных файлов, чтобы в случае их утраты иметь возможность оперативно восстановить их.
Источник: Лаборатория Касперского
23.12.2020