Malware caché dans Cyberpunk 2077

Les cybercriminels ont créé un ransomware qui se fait passer pour la version bêta de Cyberpunk 2077 pour Android.

Le jeu Cyberpunk 2077 venait juste de sortir pour Windows et les différentes consoles que nous trouvions déjà des « versions bêta pour Android » sur Internet. Le téléchargement était gratuit depuis le site cyberpunk2077mobile[.]com. Le vrai développeur du jeu devait encore annoncer s’il y aurait une version mobile du jeu alors nous avons décidé de mener l’enquête.

Cyberpunk 2077 pour Android ? Non, c’est un ransomware

Le site qui propose la soi-disant version mobile du jeu ne ressemble en rien au site officiel de Cyberpunk 2077. On dirait plutôt Google Play. Les créateurs expliquent que la version bêta est sortie le même jour que le lancement officiel du jeu et au moment où nous rédigeons cet article, le programme a été téléchargé plus de 1 000 fois. Certains utilisateurs ont même laissé des commentaires et disent que cette version bêta n’est pas si mauvaise.

Des airs de Google Play

Des airs de Google Play

Même si sur le site l’application semble peser 3,4 GB le fichier est inférieur à 3 Mo. Les développeurs ont-ils aussi inventé un genre de technologie futuriste de compression des fichiers ? Pas vraiment.

À l’étape suivante, lors du premier lancement, la fausse version bêta demande à avoir accès aux fichiers. En théorie, une application pourrait avoir besoin de certains fichiers pour sauvegarder ou ouvrir quelque chose, mais aucun jeu n’a besoin de vos photos ou de vos vidéos pour pouvoir se charger. Pourtant, cette application ne fonctionne pas sans cette autorisation.

Par contre, si un utilisateur lui donne l’autorisation, il va recevoir une demande de rançon et ce n’est pas vraiment le jeu auquel il s’attendait.

Pourquoi un jeu a-t-il besoin d'accéder à vos fichiers ? Pour les chiffrer bien évidemment !

Pourquoi un jeu a-t-il besoin d’accéder à vos fichiers ? Pour les chiffrer bien évidemment !

Le message est écrit dans un anglais peu correct et il informe la victime que tous ses selfies et autres fichiers importants ont été chiffrés. Pour les récupérer, les cybercriminels lui demandent de payer une rançon de 500 dollars en bitcoin dans les 24 heures (ou 10 heures puisque les deux figurent). Quoi qu’il en soit, le message ne s’arrête pas là et explique que si la victime ne paie pas à temps, le malware va définitivement tout effacer.

Toujours selon ce message, toute tentative de suppression du malware est inutile et entraînera la perte des fichiers.

Est-il possible de récupérer les fichiers chiffrés ?

Nous avons essayé pour voir ce qui arrive vraiment aux fichiers de l’appareil infecté. Les fichiers sont effectivement chiffrés et affichent l’extension .coderCrypt. De plus, le malware ajoute un fichier README.txt, la demande de rançon, dans chaque dossier.

Le faux Cyberpunk 2077 pour Android chiffre les fichiers — ses créateurs ne mentent pas sur ce point

Le faux Cyberpunk 2077 pour Android chiffre les fichiers — ses créateurs ne mentent pas sur ce point

En revanche, les fichiers sont récupérables puisque le malware utilise l’algorithme de chiffrement symétrique RC4. La partie symétrique signifie que la même clé chiffre et déchiffre les fichiers. Dans ce cas, la clé est codée en dur dans l’application et dans tous les échantillons que nous avons trouvés elle apparaît de cette façon : 21983453453435435738912738921.

Comme le RC4 est assez courant, vous pouvez éventuellement récupérer les fichiers vous-mêmes en utilisant, par exemple, un service de déchiffrement RC4 en ligne ou en contactant l’assistance Kaspersky pour les particuliers. De plus, le délai de 24 ou 10 heures est complètement inutile dans la version du malware que nous avons analysée. Le ransomware ne supprime rien et son code ne contient pas de fonction lui permettant de le faire.

Cela étant dit, vous devriez prendre le temps de faire une copie des fichiers chiffrés avant d’essayer de les restaurer juste au cas où l’outil de récupération échoue.

Ransomware de Cyberpunk 2077 : version Windows

Malheureusement, il n’est pas toujours facile de récupérer les fichiers chiffrés par un ransomware. Par exemple, les auteurs de la fausse version bêta Cyberpunk 2077 pour Android distribuent aussi un ransomware pour Windows qui se fait passer pour le jeu. En revanche, dans ce cas, la clé n’est pas chiffrée en dur dans l’application. Elle est générée au hasard lors de chaque infection pour que les victimes ne puissent pas facilement déchiffrer les fichiers affectés.

La demande de rançon demande aux utilisateurs Windows de payer 1 000 dollars en bitcoin pour déchiffrer les fichiers

La demande de rançon demande aux utilisateurs Windows de payer 1 000 dollars en bitcoin pour déchiffrer les fichiers

Devriez-vous payer ?

Au moment où nous rédigeons cet article, plus de 8 000 dollars en bitcoin ont été virés sur le portefeuille des cybercriminels. En attendant, rien ne garantit que les fichiers vont être récupérés. Les créateurs du ransomware peuvent tout simplement disparaître avec l’argent ou en demander plus puisque les victimes paient. Par conséquent, nous vous déconseillons fortement de payer la rançon.

Les experts de Kaspersky aident les victimes de ransomwares en étudiant le code malveillant et en trouvant une façon de déchiffrer les fichiers. En d’autres termes, nous écrivons gratuitement des outils de déchiffrement. La plupart d’entre eux se trouve sur le site NoMoreRansom, créé spécialement pour faire face à ces attaques, ou sur notre site d’assistance. Si vous êtes victime d’un ransomware, ces ressources devraient être les premières à utiliser. Même s’il n’y a pour le moment aucun outil de déchiffrement permettant de résoudre votre problème, il est fort probable qu’il y en ait un en temps voulu.

Comment se protéger des ransomwares

Évidemment, la meilleure solution est d’éviter les ransomwares, même si le ransomware tente de vous séduire en se faisant passer pour un jeu à la mode. Pour vous protéger, il vous suffit de suivre les quelques règles élémentaires d’hygiène numérique.

  • Ne téléchargez les applications que depuis les boutiques officielles ou le site officiel du développeur.
  • Recherchez des informations relatives aux versions bêta, aux lancements des jeux et aux promotions sur le site du développeur. S’il n’y a aucune information, ou que le jeu n’est pas encore officiellement sorti, tout ce que vous trouvez est faux.
  • Installez une solution de sécurité fiable sur tous les dispositifs pour détecter les malwares avant qu’ils ne causent des dégâts. Par exemple, nos produits attrapent le ransomware du faux Cyberpunk 2077 pour Android (HEUR:Trojan-Ransom.AndroidOS.Agent.bs) et celui de la version pour Windows (Trojan-Ransom.Win32.Alien.ao).
  • Sauvegardez les fichiers importants pour pouvoir les récupérer rapidement en cas de dégâts ou de pertes.
Conseils