25.12.2020 12:29
Интернет

Зловред-шифровальщик маскируется под бета-версию игры Cyberpunk 2077 для Android

Эксперты "Лаборатории Касперского" сообщили об обнаружении шифровальщика, маскирующегося под бета-версию игры Cyberpunk 2077 для Android.

"Не успела игра Cyberpunk 2077 выйти для Windows и консолей, как мы обнаружили в Сети "бета-версию для Android". Ее совершенно бесплатно можно было скачать с сайта с говорящим именем cyberpunk2077mobile[.]com. Но ведь разработчик до сих пор ни в каком виде не анонсировал мобильный вариант игры! Мы решили проверить, что за приложение раздают авторы сайта", - говорится в сообщении.

При старте приложение первым делом требует доступ к файлам на устройстве, отказываясь работать без этого разрешения.

Вместо Cyberpunk 2077 жертва увидит требование выкупа. "В записке на довольно путаном английском пользователю разъясняют, что теперь все его селфи и прочие важные файлы зашифрованы. Чтобы их восстановить, нужно в течение 10 (а может, 24) часов перевести на кошелек злоумышленников $500 в биткойнах. В противном случае зловред удалит данные навсегда и восстановить их будет невозможно. Избавиться от шифровальщика, по словам вымогателей, тоже нельзя: файлы якобы вернуть не удастся", - рассказали в антивирусной компании.

Угрозы оказались не пустыми: файлы действительно зашифровали и присвоили им расширение .coderCrypt, отметили эксперты. Однако, как оказалось, восстановить файлы можно и без помощи злоумышленников. Дело в том, что зловред использует симметричный алгоритм шифрования RC4. То есть для расшифровки данных нужен тот же самый ключ, с помощью которого их зашифровали. В данном случае ключ оказался зашит в коде приложения. Во всех изученных образцах ключ был такой: "21983453453435435738912738921".

Восстановить файлы можно самостоятельно — например, воспользовавшись доступными онлайн-сервисами по расшифровке RC4. Специалисты советуют сохранить копию зашифрованных файлов, прежде чем вы попытаетесь их восстановить: в работе любой программы может возникнуть сбой, из-за которого данные потеряются.

В компании добавили, что авторы фейковой беты Cyberpunk 2077 для Android распространяют также шифровальщик для Windows, маскирующийся под эту же игру. Зашифрованные им файлы уже нельзя восстановить самостоятельно, потому что ключ не зашит в код приложения, а случайным образом генерируется для каждого отдельного случая заражения. 

"На момент написания статьи в кошелек, на который злоумышленники просят присылать выкуп, было суммарно переведено более $8 тыс. в биткойнах. Между тем никаких гарантий того, что файлы восстановят после уплаты выкупа, нет. Вымогатели могут просто исчезнуть с деньгами или, увидев, что жертва готова платить, потребовать больше. Поэтому платить выкуп мы не рекомендуем", - подчеркнули эксперты.