Malware verstopt in Cyberpunk 2077

Cybercriminelen vermommen ransomware als een bètaversie van Cyberpunk 2077 voor Android.

Cyberpunk 2077 was nauwelijks uitgekomen voor Windows en consoles en we kwamen online al een “bètaversie voor Android” tegen. Hij was volledig gratis te downloaden van een site met de naam cyberpunk2077mobile[.]com. De echte ontwikkelaar van de game moet nog een mobiele versie van het spel aankondigen, dus wij besloten eens op onderzoek uit te gaan.

Cyberpunk 2077 voor Android? Nee, het is ransomware

De website voor de zogenaamde mobiele versie lijkt in niets op de officiële website van Cyberpunk 2077, maar eerder op Google Play. De makers beweren dat de bètaversie op dezelfde dag is uitgebracht als de officiële release en (ten tijde van deze post) al zo’n 1000 keer was gedownload. Sommige gebruikers hadden zelfs feedback achtergelaten waarin stond dat hij niet slecht was voor een bètaversie.

In de schaduw van Google Play

Hoewel de website de grootte van de app als 3,4GB vermeldt, is het bestand minder dan 3MB groot. Hebben de ontwikkelaars toevallig ook nog een soort futuristische compressietechnologie ontwikkeld? Die kans is klein.

Hoe dan ook, de neppe bètaversie vraagt bij de eerste keer opstarten om toegang tot bestanden op het apparaat. In theorie kan het zijn dat een app toegang tot bestanden nodig heeft om iets op te slaan of te openen, maar een game heeft nooit toegang tot uw video’s en foto’s nodig om alleen maar op te starten. Desalniettemin werkt de app niet zonder deze machtiging.

Als de gebruiker deze machtiging inderdaad geeft, zien ze vervolgens een eis om losgeld en niet het spel dat ze wilden spelen.

Waarom heeft een game toegang nodig tot uw bestanden? Om ze te versleutelen, natuurlijk!

Het bericht is in nogal onleesbaar Engels opgesteld en informeert het slachtoffer dat al hun selfies en andere belangrijke bestanden nu versleuteld zijn. Om uw bestanden terug te krijgen eisen de cybercriminelen $ 500 in bitcoins binnen 24 uur. (Of 10 uur, het losgeldbericht meldt beide deadlines.) Hoe dan ook, het bericht gaat verder, en als het slachtoffer niet op tijd betaalt, zal de malware alle bestanden permanent wissen.

Volgens het bericht is elke poging om de ransomware te verwijderen nutteloos en heeft dit ook tot gevolg dat alles gewist wordt.

Zijn de versleutelde bestanden te herstellen?

Wij keken wat er echt gebeurt met de bestanden op een geïnfecteerd apparaat. De bestanden zijn inderdaad versleuteld en hebben de extensie .coderCrypt toegewezen gekregen. Daarnaast plaats de malware een README.txt-bestand met hetzelfde losgeldbericht in elke map.

De nepversie van Cyberpunk 2077 voor Android versleutelt de bestanden — daar zijn de makers wel eerlijk over

De bestanden zijn echter wél te herstellen. Dat komt doordat de malware het symmetrische encryptie-algoritme RC4 gebruiken. Het symmetrische gedeelte betekent dat dezelfde sleutel de bestanden zowel versleutelt als decodeert. In dit geval zit die sleutel hard-coded in de app, en in alle samples die vonden was die als volgt: 21983453453435435738912738921.

Omdat RC4 vrij veel voorkomt, is het mogelijk om de bestanden zelf te herstellen, door bijvoorbeeld een online RC4-decryptiedienst te gebruiken, of door contact op te nemen met onze gebruikerssupport. Bovendien is de deadline van 10 uur (of 24 uur) volledig irrelevant, in ieder geval voor de versie van de malware die wij bestudeerden. De ransomware verwijdert helemaal niets — de code bevat zo’n functie immers niet.

Dat gezegd hebbende, het opslaan van de versleutelde bestanden voordat u probeert om ze zelf te herstellen is altijd een goed idee voor het geval de hersteltool niet naar behoren werkt.

Cyberpunk 2077-ransomware: Windows-versie

Helaas zijn door ransomware versleutelde bestanden niet altijd zo eenvoudig te herstellen. De makers van de neppe bètaversie van Cyberpunk 2077 voor Android verspreiden namelijk ook ransomware voor Windows, vermomd als hetzelfde spel. In dat geval is de sleutel echter niet in de app zelf te vinden, maar wordt deze op willekeurige wijze gegenereerd voor elk infectiegeval, dus slachtoffers kunnen niet zo makkelijk de getroffen bestanden decoderen.

Het losgeldbericht voor Windows-gebruikers vraagt om € 1000 in bitcoins voor decryptie

Moet u betalen?

Ten tijde van dit schrijven was er al meer dan $ 8000 in bitcoins aan de wallet van de cybercriminelen overgemaakt. Ondertussen is het herstel van uw bestanden absoluut niet gegarandeerd. De makers van de ransomware kunnen simpelweg met het geld verdwijnen of kunnen slachtoffers die bereid zijn te betalen om nog meer geld vragen. Daarom raden we sterk af om het losgeld over te maken.

Kaspersky-experts helpen slachtoffers van ransomware door schadelijke code te bestuderen en manieren te vinden om bestanden te decoderen. In andere woorden: wij schrijven gratis decryptors. Veel hiervan kunt u vinden op de website NoMoreRansom die speciaal is gemaakt om dit soort aanvallen tegen te gaan, of op onze support-website. Als u getroffen wordt door ransomware, neem dan allereerst daar een kijkje voor hulp. Zelfs als er voor uw specifieke geval nog geen decryptor bestaat, is het mogelijk, en zelfs waarschijnlijk, dat er uiteindelijk wel een zal verschijnen.

Hoe blijft u tegen ransomware beschermd

De beste tip is natuurlijk om ransomware überhaupt te vermijden, ook als het om ransomware gaat die heel verleidelijk vermomd is als een populaire game. Om uzelf te beschermen kan eenvoudige digitale hygiëne al voldoende zijn.

  • Download alleen apps van officiële winkels of van de officiële website van de ontwikkelaar.
  • Ga op zoek naar nieuws over bètaversies, releases en promoties op de website van de ontwikkelaar. Als de makers van het spel geen informatie bieden of als het spel nog niet officieel is uitgebracht, is alles wat u vindt nep.
  • Gebruik een betrouwbaar beveiligingssysteem op al uw apparaten om malware tegen te houden voor het schade kan aanrichten. Onze producten detecteren de neppe Cyberpunk 2077-ransomware voor Android en wijzen het verdict HEUR:Trojan-Ransom.AndroidOS.Agent.bs toe, en de versie voor Windows wordt geïdentificeerd als Trojan-Ransom.Win32.Alien.ao.
  • Maak back-ups van belangrijke bestanden, zodat u die tijdig kunt herstellen in het geval van schade of verlies.

Tips