{"id":25987,"date":"2020-12-28T11:01:12","date_gmt":"2020-12-28T09:01:12","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25987"},"modified":"2020-12-28T11:01:12","modified_gmt":"2020-12-28T09:01:12","slug":"cyberpunk-2077-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cyberpunk-2077-ransomware\/25987\/","title":{"rendered":"Malware in Cyberpunk 2077"},"content":{"rendered":"

Kaum war Cyberpunk 2077<\/em> f\u00fcr Windows und Konsolen erschienen, stie\u00dfen wir online auf eine \u201eBeta-Version f\u00fcr Android\u201c. Diese war komplett kostenlos von einer Seite mit dem Namen cyberpunk2077mobile[.]com herunterzuladen. Der eigentliche Entwickler des Spiels hat noch keine mobile Version des Spiels angek\u00fcndigt, also haben wir beschlossen, uns auf die Suche zu machen.<\/p>\n

Cyberpunk 2077 f\u00fcr Android? Blo\u00df nicht, das ist Ransomware<\/h2>\n

Die Webseite f\u00fcr die angebliche mobile Version sieht nicht aus wie die offizielle Seite von Cyberpunk 2077<\/em> \u2013 sie sieht eher aus wie Google Play, in der Tat. Die Macher behaupten, dass die Beta-Version am selben Tag wie die offizielle Version ver\u00f6ffentlicht wurde und (zum Zeitpunkt dieses Beitrags) etwa 1.000 Mal heruntergeladen wurde. Einige Benutzer hatten sogar Feedback hinterlassen und sagten, dass es nicht schlecht f\u00fcr eine Beta-Version sei.<\/p>\n

\"Simulierte

Simulierte Google Play Oberfl\u00e4che<\/p><\/div>\n

Obwohl die Webseite die Gr\u00f6\u00dfe der App mit 3,4 GB angibt, ist die Datei weniger als 3 MB gro\u00df. Haben die Entwickler nebenbei noch eine Art futuristische Komprimierungstechnologie entwickelt? Unwahrscheinlich.<\/p>\n

Beim ersten Durchlauf fordert die gef\u00e4lschte Beta-App Zugriff auf Dateien auf dem Ger\u00e4t an. Theoretisch k\u00f6nnte eine App einen Dateizugriff ben\u00f6tigen, um etwas zu speichern oder zu \u00f6ffnen, aber kein Spiel braucht Ihre Fotos und Videos, um zu laden. Trotzdem wird diese App ohne diese Erlaubnis nicht ausgef\u00fchrt.<\/p>\n

Falls ein Benutzer diese Erlaubnis jedoch erteilt, wird er eine L\u00f6segeldforderung sehen und nicht das gew\u00fcnschte Spiel.<\/p>\n

\"Warum

Warum braucht ein Spiel Zugriff auf Ihre Dateien? Um sie zu verschl\u00fcsseln, nat\u00fcrlich!<\/p><\/div>\n

Die Nachricht ist in ziemlich wirrem Englisch verfasst und informiert das Opfer dar\u00fcber, dass alle seine Selfies und andere wichtige Dateien nun verschl\u00fcsselt sind. Um sie wiederherzustellen, fordern die Cyberkriminellen 500 Dollar in Bitcoin innerhalb von 24 Stunden. (Oder 10 Stunden. In der L\u00f6segeld-Forderung werden beide Zeitr\u00e4ume erw\u00e4hnt.) Falls das Opfer das Geld nicht rechtzeitig \u00fcberweist, wird die Malware alle Daten dauerhaft l\u00f6schen, hei\u00dft es in der Nachricht weiter.<\/p>\n

Laut der Notiz wird jeder Versuch, die Ransomware zu entfernen, vergeblich sein und zum Verlust der Dateien f\u00fchren.<\/p>\n

Sind die verschl\u00fcsselten Dateien wiederherstellbar?<\/h2>\n

Wir haben \u00fcberpr\u00fcft, was wirklich mit den Dateien auf einem infizierten Ger\u00e4t passiert. Die Dateien werden tats\u00e4chlich verschl\u00fcsselt und erhalten die Erweiterung .coderCrypt. Au\u00dferdem legt die Malware in jedem Ordner eine README.txt-Datei ab, die die gleiche L\u00f6segeldnachricht enth\u00e4lt.<\/p>\n

\"Die

Die gef\u00e4lschte Cyberpunk 2077 f\u00fcr Android Version verschl\u00fcsselt Dateien \u2013 seine Sch\u00f6pfer sind diesbez\u00fcglich ehrlich<\/p><\/div>\n

Die Dateien sind jedoch wiederherstellbar. Das liegt daran, dass die Malware den symmetrischen Verschl\u00fcsselungsalgorithmus RC4<\/a> verwendet. Der symmetrische<\/em> Teil bedeutet, dass derselbe Schl\u00fcssel die Dateien sowohl verschl\u00fcsselt als auch entschl\u00fcsselt. In diesem Fall wurde der Schl\u00fcssel fest in die App kodiert, und in allen Beispielen, auf die wir gesto\u00dfen sind, war es der folgende: 21983453453435435738912738921.<\/p>\n

Da RC4 recht weit verbreitet ist, ist es m\u00f6glich, die Dateien selbst wiederherzustellen, z. B. mit Hilfe eines Online-RC4-Entschl\u00fcsselungsdienstes oder durch Kontaktaufnahme mit unserem Benutzer-Support-Team. Dar\u00fcber hinaus ist zumindest f\u00fcr die von uns untersuchte Version der Malware die 10- (oder 24-) Stunden-Frist v\u00f6llig irrelevant. Die Ransomware l\u00f6scht nach dieser Zeit nichts \u2013 ihr Code enth\u00e4lt keine solche Funktion.<\/p>\n

Trotzdem lohnt es sich, eine Kopie der verschl\u00fcsselten Dateien zu speichern, bevor Sie versuchen, sie wiederherzustellen, nur f\u00fcr den Fall, dass das Wiederherstellungsprogramm versagt.<\/p>\n\n

Cyberpunk 2077 Ransomware: Windows-Version<\/h2>\n

Bedauerlicherweise sind von Ransomware verschl\u00fcsselte Dateien nicht immer einfach wiederherzustellen. Zum Beispiel verbreiten die Autoren der Fake-Beta Cyberpunk 2077<\/em> f\u00fcr Android auch Ransomware f\u00fcr Windows<\/a>, die als das gleiche Spiel getarnt ist. In diesem Fall ist der Schl\u00fcssel jedoch nicht fest in der App kodiert, sondern wird f\u00fcr jede einzelne \u201eInfektion\u201c zuf\u00e4llig generiert, sodass Opfer kein leichtes Spiel haben, betroffene Dateien zu entschl\u00fcsseln.<\/p>\n

\"Die

Die L\u00f6segeldforderung f\u00fcr Windows-Benutzer verlangt 1.000 Dollar in Bitcoin f\u00fcr die Entschl\u00fcsselung<\/p><\/div>\n

Sollten Sie zahlen?<\/h2>\n

Zum Zeitpunkt der Erstellung dieses Artikels wurden mehr als 8.000 US-Dollar<\/a> in Bitcoin auf das Konto der Cyber-Kriminellen \u00fcberwiesen. In der Zwischenzeit ist die Wiederherstellung der Dateien in keiner Weise garantiert<\/a>. Die Ersteller der Ransomware k\u00f6nnten einfach mit dem Geld verschwinden oder, wenn sie zahlungswillige Opfer finden, mehr verlangen. Daher raten wir dringend davon ab, das L\u00f6segeld zu bezahlen.<\/p>\n

Die Experten von Kaspersky helfen den Opfern von Ransomware, indem sie den b\u00f6sartigen Code untersuchen und Wege zur Entschl\u00fcsselung von Dateien entwickeln \u2013 mit anderen Worten: Wir schreiben kostenlose Entschl\u00fcsselungsprogramme. Viele davon finden Sie auf der Webseite NoMoreRansom<\/a>, die speziell zur Abwehr solcher Angriffe erstellt wurde, oder auf unserer Support-Webseite<\/a>. Falls Sie von Ransomware betroffen sind, sollten Sie diese Ressourcen als erste Anlaufstelle nutzen. Selbst falls noch kein Decryptor f\u00fcr Ihr spezielles Problem existiert, ist es m\u00f6glich, ja sogar wahrscheinlich, dass zu gegebener Zeit einer mit einem entsprechenden Hilfsprogramm erscheint.<\/p>\n

Wie Sie sich vor Ransomware sch\u00fctzen k\u00f6nnen<\/h2>\n

Der beste Tipp ist nat\u00fcrlich, Ransomware von vornherein zu vermeiden \u2013 selbst Ransomware, die verf\u00fchrerisch als beliebtes Spiel getarnt ist. Um sich zu sch\u00fctzen, kann die Einhaltung grundlegender digitaler Standards schon ausreichen.<\/p>\n