{"id":26535,"date":"2020-12-28T11:31:14","date_gmt":"2020-12-28T09:31:14","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26535"},"modified":"2020-12-28T11:31:14","modified_gmt":"2020-12-28T09:31:14","slug":"cyberpunk-2077-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/cyberpunk-2077-ransomware\/26535\/","title":{"rendered":"Malware verstopt in Cyberpunk 2077"},"content":{"rendered":"

Cyberpunk 2077<\/em>\u00a0was nauwelijks uitgekomen voor Windows en consoles en we kwamen online al een \u201cb\u00e8taversie voor Android\u201d tegen. Hij was volledig gratis te downloaden van een site met de naam cyberpunk2077mobile[.]com. De echte ontwikkelaar van de game moet nog een mobiele versie van het spel aankondigen, dus wij besloten eens op onderzoek uit te gaan.<\/p>\n

Cyberpunk 2077<\/em> voor Android? Nee, het is ransomware<\/h2>\n

De website voor de zogenaamde mobiele versie lijkt in niets op de offici\u00eble website van Cyberpunk 2077<\/em>, maar eerder op Google Play. De makers beweren dat de b\u00e8taversie op dezelfde dag is uitgebracht als de offici\u00eble release en (ten tijde van deze post) al zo\u2019n 1000 keer was gedownload. Sommige gebruikers hadden zelfs feedback achtergelaten waarin stond dat hij niet slecht was voor een b\u00e8taversie.<\/p>\n

\"\"

In de schaduw van Google Play<\/p><\/div>\n

Hoewel de website de grootte van de app als 3,4GB vermeldt, is het bestand minder dan 3MB groot. Hebben de ontwikkelaars toevallig ook nog een soort futuristische compressietechnologie ontwikkeld? Die kans is klein.<\/p>\n

Hoe dan ook, de neppe b\u00e8taversie vraagt bij de eerste keer opstarten om toegang tot bestanden op het apparaat. In theorie kan het zijn dat een app toegang tot bestanden nodig heeft om iets op te slaan of te openen, maar een game heeft nooit toegang tot uw video\u2019s en foto\u2019s nodig om alleen maar op te starten. Desalniettemin werkt de app niet zonder deze machtiging.<\/p>\n

Als de gebruiker deze machtiging inderdaad geeft, zien ze vervolgens een eis om losgeld en niet het spel dat ze wilden spelen.<\/p>\n

\"\"

Waarom heeft een game toegang nodig tot uw bestanden? Om ze te versleutelen, natuurlijk!<\/p><\/div>\n

Het bericht is in nogal onleesbaar Engels opgesteld en informeert het slachtoffer dat al hun selfies en andere belangrijke bestanden nu versleuteld zijn. Om uw bestanden terug te krijgen eisen de cybercriminelen $ 500 in bitcoins binnen 24 uur. (Of 10 uur, het losgeldbericht meldt beide deadlines.) Hoe dan ook, het bericht gaat verder, en als het slachtoffer niet op tijd betaalt, zal de malware alle bestanden permanent wissen.<\/p>\n

Volgens het bericht is elke poging om de ransomware te verwijderen nutteloos en heeft dit ook tot gevolg dat alles gewist wordt.<\/p>\n

Zijn de versleutelde bestanden te herstellen?<\/h2>\n

Wij keken wat er echt gebeurt met de bestanden op een ge\u00efnfecteerd apparaat. De bestanden zijn inderdaad versleuteld en hebben de extensie .coderCrypt toegewezen gekregen. Daarnaast plaats de malware een README.txt-bestand met hetzelfde losgeldbericht in elke map.<\/p>\n

\"\"

De nepversie van Cyberpunk 2077 voor Android versleutelt de bestanden \u2014 daar zijn de makers wel eerlijk over<\/p><\/div>\n

De bestanden zijn echter w\u00e9l te herstellen. Dat komt doordat de malware het symmetrische encryptie-algoritme RC4<\/a> gebruiken. Het symmetrische<\/em>\u00a0gedeelte betekent dat dezelfde sleutel de bestanden zowel versleutelt als decodeert. In dit geval zit die sleutel hard-coded<\/em> in de app, en in alle samples die vonden was die als volgt: 21983453453435435738912738921.<\/p>\n

Omdat RC4 vrij veel voorkomt, is het mogelijk om de bestanden zelf te herstellen, door bijvoorbeeld een online RC4-decryptiedienst te gebruiken, of door contact op te nemen met onze gebruikerssupport. Bovendien is de deadline van 10 uur (of 24 uur) volledig irrelevant, in ieder geval voor de versie van de malware die wij bestudeerden. De ransomware verwijdert helemaal niets \u2014 de code bevat zo\u2019n functie immers niet.<\/p>\n

Dat gezegd hebbende, het opslaan van de versleutelde bestanden voordat u probeert om ze zelf te herstellen is altijd een goed idee voor het geval de hersteltool niet naar behoren werkt.<\/p>\n

<\/strong><\/p>\n

Cyberpunk 2077<\/em>-ransomware: Windows-versie<\/h2>\n

Helaas zijn door ransomware versleutelde bestanden niet altijd zo eenvoudig te herstellen. De makers van de neppe b\u00e8taversie van Cyberpunk 2077<\/em>\u00a0voor Android verspreiden namelijk ook ransomware voor Windows<\/a>, vermomd als hetzelfde spel. In dat geval is de sleutel echter niet in de app zelf te vinden, maar wordt deze op willekeurige wijze gegenereerd voor elk infectiegeval, dus slachtoffers kunnen niet zo makkelijk de getroffen bestanden decoderen.<\/p>\n

\"\"

Het losgeldbericht voor Windows-gebruikers vraagt om \u20ac 1000 in bitcoins voor decryptie<\/p><\/div>\n

Moet u betalen?<\/h2>\n

Ten tijde van dit schrijven was er al meer dan $ 8000<\/a> in bitcoins aan de wallet van de cybercriminelen overgemaakt. Ondertussen is het herstel van uw bestanden absoluut niet gegarandeerd<\/a>. De makers van de ransomware kunnen simpelweg met het geld verdwijnen of kunnen slachtoffers die bereid zijn te betalen om nog meer geld vragen. Daarom raden we sterk af om het losgeld over te maken.<\/p>\n

Kaspersky-experts helpen slachtoffers van ransomware door schadelijke code te bestuderen en manieren te vinden om bestanden te decoderen. In andere woorden: wij schrijven gratis decryptors. Veel hiervan kunt u vinden op de website NoMoreRansom<\/a> die speciaal is gemaakt om dit soort aanvallen tegen te gaan, of op onze support-website<\/a>. Als u getroffen wordt door ransomware, neem dan allereerst daar een kijkje voor hulp. Zelfs als er voor uw specifieke geval nog geen decryptor bestaat, is het mogelijk, en zelfs waarschijnlijk, dat er uiteindelijk wel een zal verschijnen.<\/p>\n

Hoe blijft u tegen ransomware beschermd<\/h2>\n

De beste tip is natuurlijk om ransomware \u00fcberhaupt te vermijden, ook als het om ransomware gaat die heel verleidelijk vermomd is als een populaire game. Om uzelf te beschermen kan eenvoudige digitale hygi\u00ebne al voldoende zijn.<\/p>\n