{"id":23632,"date":"2020-12-29T11:48:57","date_gmt":"2020-12-29T09:48:57","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23632"},"modified":"2021-01-08T15:38:20","modified_gmt":"2021-01-08T13:38:20","slug":"cyberpunk-2077-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cyberpunk-2077-ransomware\/23632\/","title":{"rendered":"Malware travestito da Cyberpunk 2077"},"content":{"rendered":"

Non appena Cyberpunk 2077<\/em> \u00e8 stato rilasciato per Windows e console, ci siamo imbattuti in una \u201cversione beta per Android\u201d online. Era completamente gratuita e si poteva scaricare da un sito dal nome cyberpunk2077mobile[.]com. L\u2019attuale sviluppatore del gioco non ha ancora annunciato alcuna versione mobile del gioco, cos\u00ec abbiamo deciso di indagare.<\/p>\n

Cyberpunk 2077 per Android? <\/em><\/strong>\u00c8 un ransomware<\/em><\/strong><\/h2>\n

Il sito web della presunta versione mobile non assomiglia per niente al sito ufficiale di Cyberpunk<\/em> 2077<\/em>; in effetti, assomiglia di pi\u00f9 a Google Play. I suoi creatori sostengono che la versione beta \u00e8 stata rilasciata lo stesso giorno dell\u2019uscita ufficiale e, nel momento della stesura di questo post, era stata scaricata circa 1.000 volte. Alcuni utenti avevano anche lasciato un feedback, affermando che non era male per essere una versione beta.<\/p>\n

\"\"

Sfumature di Google Play.<\/p><\/div>\n

Anche se il sito web riporta la dimensione dell\u2019applicazione a 3,4GB, il file \u00e8 inferiore a 3MB. Quindi gli sviluppatori hanno anche creato una sorta di tecnologia di compressione futuristica? Questa ipotesi non \u00e8 probabile.<\/p>\n

Andando avanti, nella sua esecuzione iniziale, la falsa versione beta richiede l\u2019accesso ai file sul dispositivo. In teoria, un\u2019app potrebbe aver bisogno di un accesso ai file per salvare o aprire qualcosa, ma nessun gioco ha bisogno delle vostre foto e dei vostri video solo per caricarsi. Tuttavia, questa app non funziona senza questa autorizzazione.<\/p>\n

Se un utente concede questo permesso, tuttavia, al posto del gioco tanto desiderato visualizzer\u00e0 una richiesta di riscatto.<\/p>\n

\"\"

Perch\u00e9 un gioco ha bisogno di accedere ai vostri file? Per cifrarli, naturalmente!<\/p><\/div>\n

Il messaggio \u00e8 in un inglese piuttosto confuso, e informa la vittima che sono stati cifrati tutti i selfie e gli altri file pi\u00f9 importanti. Per poterli recuperare, i criminali informatici chiedono in cambio la consegna di 500 dollari in bitcoin entro 24 ore (oppure entro 10 ore, la nota di riscatto menziona entrambe le scadenze). In ogni caso, il messaggio continua, se la vittima non consegna il denaro in tempo, il malware canceller\u00e0 tutto in modo permanente.<\/p>\n

Secondo il messaggio, qualsiasi tentativo di rimuovere il ransomware sar\u00e0 inutile e comporter\u00e0 la perdita dei file.<\/p>\n

I file cifrati sono recuperabili?<\/strong><\/h2>\n

Abbiamo controllato per vedere cosa succede realmente ai file su un dispositivo infetto. I file di fatto vengono cifrati e viene assegnata loro l\u2019estensione .coderCrypt. Inoltre, il malware inserisce in ogni cartella un file README.txt, contenente lo stesso messaggio di riscatto.<\/p>\n

\"\"

Il falso Cyberpunk 2077 per Android davvero cifra i file, i cybercriminali sono \u201conesti\u201d da questo punto di vista.<\/p><\/div>\n

Tuttavia, i file sono recuperabili. Questo perch\u00e9 il malware utilizza l\u2019algoritmo di cifratura simmetrica RC4<\/a>. La parte simmetrica <\/em>significa che la stessa chiave codifica e decodifica i file. In questo caso, la chiave \u00e8 stata codificata nell\u2019app e in tutti gli esempi in cui ci siamo imbattuti era questa: 21983453453435435738912738921.<\/p>\n

Poich\u00e9 l\u2019RC4 \u00e8 abbastanza comune, voi stessi potete recuperare i file, ad esempio, utilizzando un servizio di decifrazione RC4 online o contattando il nostro team di supporto utenti. Inoltre, almeno per la versione del malware che abbiamo esaminato, la scadenza di 10 (o 24) ore \u00e8 del tutto irrilevante. Il ransomware non cancella nulla dopo tale tempo, il suo codice non contiene questa funzione.<\/p>\n

Detto questo, salvare una copia dei file cifrati prima di tentare di ripristinarli vale il vostro tempo, nel caso in cui non funzioni l\u2019utility di recupero.<\/p>\n

<\/strong><\/p>\n

Cyberpunk 2077 ransomware: versione per Windows<\/strong><\/h2>\n

Purtroppo, i file cifrati da un ransomware non sono sempre facili da recuperare. Ad esempio, gli autori della falsa versione beta di Cyberpunk<\/em> 2077<\/em> per Android stanno distribuendo anche un ransomware per Windows<\/a> sempre camuffato dal gioco in questione. In questo caso, tuttavia, la chiave non \u00e8 codificata nell\u2019app, ma generata in modo casuale per ogni caso di infezione, per cui le vittime non c\u2019\u00e8 un modo semplice per decifrare i file infetti.<\/p>\n

\"\"

La richiesta di riscatto per gli utenti Windows richiede 1.000 dollari in bitcoin per la decifratura.<\/p><\/div>\n

Dovreste pagare?<\/h2>\n

Al momento della stesura di questo articolo, pi\u00f9 di 8.000 dollari<\/a> in bitcoin erano stati trasferiti nel portafoglio dei criminali informatici. Nel frattempo, il recupero dei file non era in alcun modo garantito<\/a>. I creatori del ransomware potrebbero semplicemente scomparire con il denaro o, trovando vittime disposte a pagare, pretendere di pi\u00f9. Pertanto, si sconsiglia vivamente di pagare il riscatto.<\/p>\n

Gli esperti di Kaspersky aiutano le vittime studiando il codice dannoso e trovando nuovi modi per decifrare i file; in altre parole, creiamo dei decryptor gratuiti. Potete trovarne molti sul sito NoMoreRansom<\/a>, creato appositamente per contrastare tali attacchi, o sul nostro sito web di assistenza<\/a>. Se venite colpiti da un ransomware, fate di queste risorse la vostra prima fonte di aiuto. Anche se non esiste ancora un decryptor per il vostro problema specifico, \u00e8 possibile (e probabile), che ne compaia uno a tempo debito con l\u2019utility corrispondente.<\/p>\n

Come difendersi dai ransomware<\/h2>\n

Il consiglio migliore, ovviamente, \u00e8 quello di evitare i ransomware in primo luogo, anche quelli camuffati da popolari videogiochi. Per proteggersi, pu\u00f2 essere sufficiente osservare le regole base della sicurezza digitale:<\/p>\n