Detectan ransomware disfrazado de una versión móvil de Cyberpunk 2077

El Cyberpunk 2077 falso para Android cifra los archivos; en eso, sus creadores son sinceros.
0
275

La página web de la supuesta versión móvil no se parece en nada a la oficial de Cyberpunk 2077, de hecho, se parece más a la Google Play. Sus creadores afirman que la versión beta se lanzó el mismo día que el lanzamiento oficial y (mientras redactábamos este artículo) se había descargado unos 1,000 veces. Algunos usuarios incluso han dejado sus opiniones, diciendo que no estaba mal para ser una beta.

Aunque la página web especifica que el tamaño de la aplicación es de 3,4 GB, el archivo ocupa menos de 3 MB. ¿Será que los desarrolladores han creado algún tipo de tecnología futurística de compresión? Dudamos que sea así.

Además, al abrir la aplicación por primera vez, la beta falsa solicita acceso a los archivos del dispositivo. En teoría, una aplicación podría necesitar acceso para guardar o abrir algo, pero ningún juego necesita tus fotos y vídeos para iniciarse. No obstante, la aplicación no carga si no concedes dicho acceso.

Pero si un usuario aprueba dicho permiso, verá una nota de rescate, no el juego que quería.

El mensaje está escrito en un inglés algo confuso e informa a las víctimas de que ahora todos sus selfies y otros archivos importantes están cifrados. Para recuperarlos, los cibercriminales piden 500 dólares en bitcoins dentro del plazo de 24 horas (o 10, en la nota se mencionan ambos períodos). De todos modos, también se comunica que, si la víctima no entrega el dinero a tiempo, el malware lo borrará todo de formar permanente.

De acuerdo con la nota, cualquier intento de eliminar el ransomware será inútil y supondrá la pérdida de los archivos.

¿Para qué necesita acceso un juego a tus archivos? ¡Pues para cifrarlos!

¿Se pueden recuperar los archivos cifrados?

Hemos comprobado lo que sucede con los archivos de un dispositivo infectado y sí, están cifrados con la extensión .coderCrypt. Asimismo, el malware coloca en cada carpeta un archivo README.txt que contiene el mismo mensaje de rescate.

No obstante, los archivos se pueden recuperar porque el malware emplea el algoritmo de cifrado simétrico RC4. Lo de simétrico quiere decir que la misma clave cifra y descifra los archivos y, en este caso, se encontraba en el código fuente de la aplicación. En todas las muestras que hemos encontrado era este: 21983453453435435738912738921.

Como el RC4 es muy común, es posible que tú mismo recuperes los archivos con, por ejemplo, un servicio online de descifrado o poniéndote en contacto con nuestro equipo de atención al cliente. Además, al menos en la versión del malware que hemos examinado, las 10 o 24 horas de plazo son totalmente irrelevantes ya que el malware no borrará nada una vez pasadas porque en su código no se incluye ninguna función de ese tipo.

Dicho esto, te recomendamos que guardes una copia de los archivos cifrados antes de intentar restaurarlos, por si falla el programa de recuperación.

https://twitter.com/ing_juani7a/status/1343949730225811456

Ransomware de Cyberpunk 2077: versión para Windows

Por desgracia, los archivos cifrados por el ransomware no son fáciles de recuperar. Por ejemplo, los autores de la beta falsa de Cyberpunk 2077 para Android también están distribuyendo un ransomware para Windows con la apariencia del mismo juego.

En este caso, la clave no está en el código fuente de la aplicación, sino que se genera al azar en cada caso de infección, por lo que las víctimas no tienen un modo fácil de descifrar los archivos afectados.

La nota de rescate para los usuarios de Windows pide 1,000 dólares en Bitcoins para el descifrado.

¿Deberías pagar?

Mientras escribimos esto, se han transferido más de 8,000 dólares en bitcoins al monedero de los cibercriminales aunque nada te garantiza que te vayan a devolver los archivos. Los creadores podrían desaparecer con el dinero o pedirte más. Por ello, te recomendamos que de ningún modo pagues el rescate.

Los expertos de Kaspersky ayudamos a las víctimas de ransomware estudiando su código malicioso e inventando formas de descifrar los archivos, es decir, escribimos descifradores gratuitos.  Puedes encontrar muchos en la web NoMoreRansom, creada para contrarrestar este tipo de ataques, o en nuestra web de soporte. Si te ves afectado por un ransomware, no dudes en usar de inmediato estos servicios y, aunque aún no exista ningún descifrador concreto para tu problema, es posible que terminemos desarrollando uno en el futuro.

Cómo protegerse del ransomware

El mejor consejo, obviamente, es evitar el ransomware desde un principio, incluso el que se presenta con la apariencia de un juego popular. Para protegerte, mediante unas normas básicas de seguridad debería bastar con:

  • Descarga aplicaciones solo desde tiendas oficiales o desde la web oficial de desarrollador.
  • Si buscas versiones beta, lanzamientos o promociones, hazlo en la web del desarrollador. Si el desarrollador no tiene información o el juego aún no ha salido oficialmente, lo demás es falso.
  • Usa una solución de seguridad de confianza en todos los dispositivos para detectar el malware antes de que haga daño. Por ejemplo, nuestros productos detectan el falso Cyberpunk 2077 para Android con el nombre HEUR:Trojan-Ransom.AndroidOS.Agent.bs y la versión para Windows con el de Trojan-Ransom.Win32.Alien.ao.
  • Haz una copia de seguridad de los archivos importantes para que puedas recuperarlos en el caso de daño o pérdida.
Foto del avatar

Comments are closed.