Статьи Новости Блоги

Вместо мобильного Cyberpunk 2077 шифровальщик-вымогатель: подробности о маскирующихся под игровой хит зловредах

Злоумышленники продвигают шифровальщик под видом бета-версии игры для Android, есть версия и для Windows

«Лаборатория Касперского» рассказала подробности о зловреде, маскирующимся под мобильную версию сверхпопулярной игры Cyberpunk 2077. 

Как отмечают специалисты, хотя Cyberpunk 2077 удалили из PlayStation Store,  злоумышленникам «хватает наглости» продвигать шифровальщика под видом бета-версии игры для Android. 

«Бета-версию для Android» совершенно бесплатно можно было скачать с сайта под названием cyberpunk2077mobile[.]com, который подозрительно напоминает Google Play. В описании игры отмечается размер 3,4 ГБ, при скачивании файл не дотягивает и до 3 МБ.

При старте приложение требует доступ к файлам на устройстве. Теоретически эти права могут понадобиться приложению, если вы захотите что-то сохранить или открыть через него, но вряд ли фото и видео нужны игре, чтобы запуститься. Если пользователь выдаёт разрешение, то вместо Cyberpunk 2077 увидит требование о выкупе.

Чтобы восстановить селфи и прочие важные файлы от пользователя требуют срочно перевести на кошелек злоумышленников 500 долларов в биткойнах, также злоумышленники угрожают, что иначе зловред удалит данные навсегда и восстановить их будет невозможно. 

Специалисты «Лаборатории» сумели разобраться и обнаружили, что зловред использует симметричный алгоритм шифрования RC4. То есть для расшифровки данных нужен тот же самый ключ, с помощью которого их зашифровали. В данном случае ключ оказался зашит в коде приложения. Во всех образцах, которые нам попались, ключ был такой: «21983453453435435738912738921».

Восстановить файлы можно и самостоятельно, например, воспользовавшись доступными онлайн-сервисами по расшифровке RC4, однако специалисты рекомендуют сохранить копию зашифрованных файлов на всякий случай. 

Эти же злоумышленники распространяют шифровальщик для Windows, маскирующийся под эту же игру. Зашифрованные им файлы уже нельзя восстановить самостоятельно, потому что ключ не зашит в код приложения, а случайным образом генерируется для каждого отдельного случая заражения. Здесь преступники просят заплатить уже 1000 долларов в биткойнах. 

По словам специалистов, в кошелек злоумышленников было суммарно переведено более 8 тысяч долларов в биткойнах на момент написания статьи.

24 декабря 2020 Г.

17:07

VerKo

| Источник: Касперский

Комментировать (15)