Malware in Cyberpunk 2077

Cyberkriminelle tarnen Ransomware als Beta-Version von Cyberpunk 2077 für Android.

Kaum war Cyberpunk 2077 für Windows und Konsolen erschienen, stießen wir online auf eine „Beta-Version für Android“. Diese war komplett kostenlos von einer Seite mit dem Namen cyberpunk2077mobile[.]com herunterzuladen. Der eigentliche Entwickler des Spiels hat noch keine mobile Version des Spiels angekündigt, also haben wir beschlossen, uns auf die Suche zu machen.

Cyberpunk 2077 für Android? Bloß nicht, das ist Ransomware

Die Webseite für die angebliche mobile Version sieht nicht aus wie die offizielle Seite von Cyberpunk 2077 – sie sieht eher aus wie Google Play, in der Tat. Die Macher behaupten, dass die Beta-Version am selben Tag wie die offizielle Version veröffentlicht wurde und (zum Zeitpunkt dieses Beitrags) etwa 1.000 Mal heruntergeladen wurde. Einige Benutzer hatten sogar Feedback hinterlassen und sagten, dass es nicht schlecht für eine Beta-Version sei.

Simulierte Google Play Oberfläche

Simulierte Google Play Oberfläche

Obwohl die Webseite die Größe der App mit 3,4 GB angibt, ist die Datei weniger als 3 MB groß. Haben die Entwickler nebenbei noch eine Art futuristische Komprimierungstechnologie entwickelt? Unwahrscheinlich.

Beim ersten Durchlauf fordert die gefälschte Beta-App Zugriff auf Dateien auf dem Gerät an. Theoretisch könnte eine App einen Dateizugriff benötigen, um etwas zu speichern oder zu öffnen, aber kein Spiel braucht Ihre Fotos und Videos, um zu laden. Trotzdem wird diese App ohne diese Erlaubnis nicht ausgeführt.

Falls ein Benutzer diese Erlaubnis jedoch erteilt, wird er eine Lösegeldforderung sehen und nicht das gewünschte Spiel.

Warum braucht ein Spiel Zugriff auf Ihre Dateien? Um sie zu verschlüsseln, natürlich!

Warum braucht ein Spiel Zugriff auf Ihre Dateien? Um sie zu verschlüsseln, natürlich!

Die Nachricht ist in ziemlich wirrem Englisch verfasst und informiert das Opfer darüber, dass alle seine Selfies und andere wichtige Dateien nun verschlüsselt sind. Um sie wiederherzustellen, fordern die Cyberkriminellen 500 Dollar in Bitcoin innerhalb von 24 Stunden. (Oder 10 Stunden. In der Lösegeld-Forderung werden beide Zeiträume erwähnt.) Falls das Opfer das Geld nicht rechtzeitig überweist, wird die Malware alle Daten dauerhaft löschen, heißt es in der Nachricht weiter.

Laut der Notiz wird jeder Versuch, die Ransomware zu entfernen, vergeblich sein und zum Verlust der Dateien führen.

Sind die verschlüsselten Dateien wiederherstellbar?

Wir haben überprüft, was wirklich mit den Dateien auf einem infizierten Gerät passiert. Die Dateien werden tatsächlich verschlüsselt und erhalten die Erweiterung .coderCrypt. Außerdem legt die Malware in jedem Ordner eine README.txt-Datei ab, die die gleiche Lösegeldnachricht enthält.

Die gefälschte Cyberpunk 2077 für Android Version verschlüsselt Dateien - seine Schöpfer sind diesbezüglich ehrlich

Die gefälschte Cyberpunk 2077 für Android Version verschlüsselt Dateien – seine Schöpfer sind diesbezüglich ehrlich

Die Dateien sind jedoch wiederherstellbar. Das liegt daran, dass die Malware den symmetrischen Verschlüsselungsalgorithmus RC4 verwendet. Der symmetrische Teil bedeutet, dass derselbe Schlüssel die Dateien sowohl verschlüsselt als auch entschlüsselt. In diesem Fall wurde der Schlüssel fest in die App kodiert, und in allen Beispielen, auf die wir gestoßen sind, war es der folgende: 21983453453435435738912738921.

Da RC4 recht weit verbreitet ist, ist es möglich, die Dateien selbst wiederherzustellen, z. B. mit Hilfe eines Online-RC4-Entschlüsselungsdienstes oder durch Kontaktaufnahme mit unserem Benutzer-Support-Team. Darüber hinaus ist zumindest für die von uns untersuchte Version der Malware die 10- (oder 24-) Stunden-Frist völlig irrelevant. Die Ransomware löscht nach dieser Zeit nichts – ihr Code enthält keine solche Funktion.

Trotzdem lohnt es sich, eine Kopie der verschlüsselten Dateien zu speichern, bevor Sie versuchen, sie wiederherzustellen, nur für den Fall, dass das Wiederherstellungsprogramm versagt.

Cyberpunk 2077 Ransomware: Windows-Version

Bedauerlicherweise sind von Ransomware verschlüsselte Dateien nicht immer einfach wiederherzustellen. Zum Beispiel verbreiten die Autoren der Fake-Beta Cyberpunk 2077 für Android auch Ransomware für Windows, die als das gleiche Spiel getarnt ist. In diesem Fall ist der Schlüssel jedoch nicht fest in der App kodiert, sondern wird für jede einzelne „Infektion“ zufällig generiert, sodass Opfer kein leichtes Spiel haben, betroffene Dateien zu entschlüsseln.

Die Lösegeldforderung für Windows-Benutzer verlangt 1.000 Dollar in Bitcoin für die Entschlüsselung

Die Lösegeldforderung für Windows-Benutzer verlangt 1.000 Dollar in Bitcoin für die Entschlüsselung

Sollten Sie zahlen?

Zum Zeitpunkt der Erstellung dieses Artikels wurden mehr als 8.000 US-Dollar in Bitcoin auf das Konto der Cyber-Kriminellen überwiesen. In der Zwischenzeit ist die Wiederherstellung der Dateien in keiner Weise garantiert. Die Ersteller der Ransomware könnten einfach mit dem Geld verschwinden oder, wenn sie zahlungswillige Opfer finden, mehr verlangen. Daher raten wir dringend davon ab, das Lösegeld zu bezahlen.

Die Experten von Kaspersky helfen den Opfern von Ransomware, indem sie den bösartigen Code untersuchen und Wege zur Entschlüsselung von Dateien entwickeln – mit anderen Worten: Wir schreiben kostenlose Entschlüsselungsprogramme. Viele davon finden Sie auf der Webseite NoMoreRansom, die speziell zur Abwehr solcher Angriffe erstellt wurde, oder auf unserer Support-Webseite. Falls Sie von Ransomware betroffen sind, sollten Sie diese Ressourcen als erste Anlaufstelle nutzen. Selbst falls noch kein Decryptor für Ihr spezielles Problem existiert, ist es möglich, ja sogar wahrscheinlich, dass zu gegebener Zeit einer mit einem entsprechenden Hilfsprogramm erscheint.

Wie Sie sich vor Ransomware schützen können

Der beste Tipp ist natürlich, Ransomware von vornherein zu vermeiden – selbst Ransomware, die verführerisch als beliebtes Spiel getarnt ist. Um sich zu schützen, kann die Einhaltung grundlegender digitaler Standards schon ausreichen.

  • Laden Sie Apps nur aus offiziellen Stores oder von der offiziellen Webseite des Entwicklers herunter.
  • Suchen Sie auf der Webseite des Entwicklers nach Nachrichten über Beta-Versionen, Veröffentlichungen und Werbeaktionen. Falls der Entwickler keine Informationen hat oder das Spiel noch nicht offiziell erschienen ist, handelt es sich um eine Fälschung.
  • Verwenden Sie eine zuverlässige Sicherheitslösung auf allen Geräten, um Malware abzufangen, bevor sie Schaden anrichten kann. Zum Beispiel entlarven unsere Produkte die gefälschte Cyberpunk 2077 Ransomware für Android mit dem Verdikt HEUR:Trojan-Ransom.AndroidOS.Agent.bs, und die Version für Windows als Trojan-Ransom.Win32.Alien.ao.
  • Sichern Sie wichtige Dateien, damit Sie sie im Falle einer Beschädigung oder eines Verlustes zeitnah wiederherstellen können.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.