Cyberpunk 2077 e il malware che non ti aspetti.

I criminali informatici stanno mascherando i ransomware da versione beta di Cyberpunk 2077 per Android.

Redazione. (Fonte: blog di Kaspersky)

Non appena Cyberpunk 2077 è stato rilasciato per Windows e console, ci siamo imbattuti in una “versione beta per Android” online. Era completamente gratuita e si poteva scaricare da un sito con il nome cyberpunk2077mobile[.]com. L’attuale sviluppatore del gioco non ha ancora annunciato alcuna versione mobile del gioco, così abbiamo deciso di indagare.

Cyberpunk 2077 per Android? No, è un ransomware

Il sito web della presunta versione mobile non assomiglia per niente al sito ufficiale di Cyberpunk 2077, , in effetti, assomiglia di più a Google Play. I suoi creatori sostengono che la versione beta è stata rilasciata lo stesso giorno dell’uscita ufficiale e (nel momento della stesura di questo post) era stata scaricata circa 1.000 volte. Alcuni utenti avevano anche lasciato un feedback, affermando che non era male per essere una versione beta.

Sfumature di Google Play.

Anche se il sito web riporta la dimensione dell’applicazione a 3.4GB, il file è inferiore a 3MB. Perciò gli sviluppatori hanno anche creato una sorta di tecnologia di compressione futuristica? Questa ipotesi non è probabile.

Andando avanti, nella sua esecuzione iniziale, la falsa beta richiede l’accesso ai file sul dispositivo. In teoria, un’app potrebbe aver bisogno di un accesso ai file per salvare o aprire qualcosa, ma nessun gioco ha bisogno delle vostre foto e dei vostri video solo per caricarsi. Tuttavia, questa app non funzioa senza autorizzazione.

Se un utente concede tale autorizzazione, tuttavia, vedrà una richiesta di riscatto, non il gioco tanto desiderato.

Perché un gioco ha bisogno di accedere ai vostri file? Per criptarli, naturalmente!

Il messaggio è in un inglese piuttosto confuso, e informa la vittima che tutti i loro selfie e altri file importanti sono ora criptati. Per recuperarli, i criminali informatici chiedono 500 dollari in bitcoin entro 24 ore. (Oppure 10 ore, la nota di riscatto menziona entrambi i periodi). In ogni caso, il messaggio continua, se la vittima non consegna il denaro in tempo, il malware cancellerà tutto in modo permanente.

Secondo ilmessaggio, qualsiasi tentativo di rimuovere il ransomware sarà inutile e comporterà la perdita dei file.

I file criptati sono recuperabili?

Abbiamo controllato per vedere cosa succede realmente ai file su un dispositivo infetto. I file sono infatti criptati e gli è stata assegnata l’estensione .coderCrypt. Inoltre, il malware inserisce in ogni cartella un file README.txt, contenente lo stesso messaggio di riscatto.

Il falso Cyberpunk 2077 per Android cripta i file, i creatori sono onesti da questo punto di vista.

Tuttavia, i file sono recuperabili. Questo perché il malware utilizza l’algoritmo di cifratura simmetrica RC4. La parte simmetrica significa che la stessa chiave codifica e decodifica i file. In questo caso, la chiave è stata codificata nell’app e in tutti gli esempi in cui ci siamo imbattuti era questa: 21983453453435435738912738921.

Poiché l’RC4 è abbastanza comune, voi stessi potete recuperare i file, ad esempio, utilizzando un servizio di decifrazione RC4 online o contattando il nostro team di supporto utenti. Inoltre, almeno per la versione del malware che abbiamo esaminato, la scadenza di 10 (o 24) ore è del tutto irrilevante. Il ransomware non cancella nulla dopo tale tempo, il suo codice non contiene questa funzione.

Detto questo, salvare una copia dei file cifrati prima di tentare di ripristinarli vale il vostro tempo, nel caso in cui non funzioni l’utility di recupero.

Cyberpunk 2077 ransomware: versione per Windows

Purtroppo, i file cifrati da ransomware non sono sempre facili da recuperare. Ad esempio, gli autori della falsa beta Cyberpunk 2077 per Android stanno distribuendo anche ransomware per Windows travestiti da gioco. In questo caso, tuttavia, la chiave non è codificata nell’app, ma generata in modo casuale per ogni caso di infezione, per cui le vittime non hanno un modo semplice per decifrare i file infetti.

La richiesta di riscatto per gli utenti Windows richiede 1.000 dollari in bitcoin per la decifratura.

Dovreste pagare?

Al momento della stesura di questo articolo, più di 8.000 dollari in bitcoin erano stati trasferiti nel portafoglio dei criminali informatici. Nel frattempo, il recupero dei file non era in alcun modo garantito. I creatori del ransomware potrebbero semplicemente scomparire con il denaro o, trovando vittime disposte a pagare, pretendere di più. Pertanto, si sconsiglia vivamente di pagare il riscatto.

Gli esperti di Kaspersky aiutano le vittime del riscatto studiando il codice dannoso e inventando modi per decifrare i file, in altre parole, noi creiamo decryptor gratuiti. Potete trovarne molti sul sito web di NoMoreRansom, creato appositamente per contrastare tali attacchi, o sul nostro sito web di supporto. Se venite colpiti da un ransomware, fate di queste risorse la vostra prima fonte di aiuto. Anche se non esiste ancora un decodificatore per il vostro problema specifico, è possibile, e probabile, che ne compaia uno a tempo debito con un’utility corrispondente.

Come rimanere al sicuro dai ransomware

Il consiglio migliore, ovviamente, è quello di evitare i ransomware in primo luogo, anche quelli camuffati da popolari videogiochi. Per proteggersi, può essere sufficiente osservare l’igiene digitale di base.

  • Scaricate le app solo dai negozi ufficiali o dal sito web ufficiale dello sviluppatore.
  • Cercate le notizie sulle versioni beta, le nuove uscite e le promozioni sul sito web dello sviluppatore. Se quest’ultimo non ha informazioni, o il gioco non è ancora ufficialmente uscito, qualsiasi altra cosa è falsa.
  • Utilizzate una soluzione di sicurezza affidabilesu tutti i dispositivi per intercettare il malware prima che possa fare danni. Ad esempio, i nostri prodotti individuano il falso ransomware Cyberpunk 2077 per Android con il verdetto HEUR:Trojan-Ransom.AndroidOS.Agent.bs, e la versione per Windows Trojan-Ransom.Win32.Alien.ao.
  • Eseguite il backup dei file importanti in modo da poterli recuperare prontamente in caso di danni o perdite.
pubblicità

Lascia un commento