《Cyberpunk 2077》Android版包裝的加密勒索程式

《Cyberpunk 2077》作為遊戲玩家期待已久的年度大作,推出後在各方面都惹來激烈討論,儘管並非每人都對作品滿意,但仍然受到高度關注,更有網絡罪犯以遊戲 Android 版的 Beta 作為誘餌,散播加密勒索程式。

《Cyberpunk 2077》Android版?非也!是加密勒索程式!

家用和 Windows 版本的《Cyberpunk 2077》已經推出,但網絡上流傳 Android 的 beta version,而且更在「看似」正常的 cyberpunk2077mobile[.]com 上提供免費下載,然而開發團隊並未公佈任何流動版的遊戲,所以吸引了研究人員的關注。

自稱流動版本的網頁看起來與《Cyberpunk 2077》的官網十分不同,反而更像 Google Play,而該製作者更聲稱 beta 版本與遊戲正式發售日期相同,而當時 Kaspersky 研究人員見到有超過 1000 次下載,更有部份用戶流下評語,表示以 beta 版本來說並不差。

雖然網站上顯示應用程式為 3.4GB,其實檔案只少於 3MB,這當然並非是由甚麼超級壓縮技術所做到,當繼續下去開始執行檔案,假的 beta 遊戲要求存取裝置上的檔案,理論上應用程式可能因為需要存檔或打開部份檔案而需要存取權限,但沒有遊戲會要求讀取你的相片和影片,而且更是沒有取得權限應用程式便不會運作!

一旦用戶給予權限,他們便會看到勒索的訊息,而並非期待中的遊戲。訊息的英文十分混亂,他提示受害者相片和其他檔案已經被加密,需要在 24 小時內支付 500 元等值的 bitcoin 才能恢復 (或 10 小時,勒索訊息提到兩個時間),更威脅如果受害者沒有及時繳交贖款,惡意程式會永久刪除所有資料。而根據訊息,任何嘗試移除加密勒索程式都會導致檔案損失。

被加密的檔案可以復原嗎?

卡巴斯基的研究人員對被感染的裝置進行了分析,檔案確實被加密成副檔名 .coderCrypt 的檔案,惡意程式也放入了 README.txt 檔案到每個資料夾,內裡是完全相同的勒索訊息。不過,其實檔案能夠復原,因為惡意程式使用了 RC4 的加密運算方式,意味著加密和解密使用相同金鑰,在這個案中,金鑰 hard-coded 在應用程式內,暫時所有樣本都是「21983453453435435738912738921」。

由於 RC4 相當常見,所以有機會能自己復原檔案,例如使用網上的 RC4 解密服務,另外,勒索訊息中的 10 (或 24) 小時完全沒有關連,加密勒索程式不會在指定時間後刪除任何東西,因為編碼中不含相關的功能。這也意味著值得事前花時間複製被加密的檔案,以避免復原時發生任何意外。

《Cyberpunk 2077》加密勒索Windows版

並非所有邁加密勒索的檔案都能輕易復原,假《Cyberpunk 2077》Android 版的人也散播加密勒索程式的 Windows 版,在這種情況下金鑰並非 hard-coded 在內,而是每次感染隨機產生,所以受害者難以自行解密受影響的檔案。

不應支付贖金

依照研究人員觀察,暫時已有超過 8000 元等值的 bitcion 進入網絡罪犯的錢包,但並不保證檔案會獲得復原,網絡罪犯可以收錢後從此消失,或要求支付更多,所以我們強烈建議不應該支付贖金。

加密勒索預防勝於治療

對付加密勒索程式,預防比治療更重要,即使看起來是最受歡迎的遊戲,為了保護自己,留意以下的事項:

  • 只在官方商店或官方網站下載應用程式
  • 在官方網站尋找 beta 版的新聞、推出日期和宣傳資料,如果在官方途徑也找不到資料或遊戲並未正式推出,那所有東西都是假的。
  • 在所有裝置使用可靠的保安方案去在捕捉惡意程式
  • 備份重要的檔案,能在任何破壞或損毀時進行復原。

資料來源:Kaspersky blog