روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ همین که سایبرپانک 2077 برای ویندوز و کنسول‌ها منتشر شد، نسخه‌ی بتای اندرویدی این بازی نیز در فضای آنلاین توزیع گشت. دانلود این نسخه‌ی بتا کاملاً رایگان و سایتی که لینک دانلود را ارائه می‌داد نامش cyberpunk2077mobile[.]com بود. توسعه‌دهنده‌ی اصلی گیم هنوز نسخه‌ی موبایلی از این بازی معرفی نکرده است؛ همین ما را بر آن داشت تا بررسی‌هایی در این باره انجام دهیم. در ادامه با ما همراه شوید تا توضیح دهیم چطور باج‌افزاری خود را در لباس نسخه‌ی موبایل سایبرپانک 2077 جا زده بود.

سایبرپانک 2077 برای اندروید؟ نه این فقط یک باج‌افزار است

وبسایتی که ظاهراً نسخه‌ی موبایل این بازی را ارائه می‌داد هیچ شباهتی به سایت رسمی سایبرپانک 2077 ندارد- بیشتر به گوگل‌پلی شبیه است تا سایبرپانک. سازندگان آن ادعا می‌کنند نسخه‌ی بتا همان روزِ انتشار رسمی منتشر شده است و (تا همین لحظه که این مقاله را می‌خوانید) حدود هزار بار دانلود شده است. برخی از کاربران حتی بازخورد هم گذاشتند و گفتند در حد نسخه‌ی بتا کیفیت داشت و از آن راضی بودند.

گرچه وبسایت سایز اپ را 3.4 گیگ اعلام کرده اما فایل چیزی کمتر از 3 مگابایت است. آیا توسعه‌دهندگان علاوه بر اینها یک‌جورهایی دست به ساخت فناوری آینده‌ی نگرانه‌ی فشردگیِ گیم نیز زده‌اند؟ بعید می‌دانیم! بتای جعلی در اجرای اولیه‌اش درخواست دسترسی به فایل‌هایی روی این دستگاه می‌کند. در تئوری، اپی ممکن است برای ذخیره‌سازی یا باز کردن چیزی بخواهد به فایل دسترسی داشته باشد اما هیچ گیمی برای لود شدن به ویدیوها و عکس‌های شما نیاز نخواهد داشت! با این وجود، این اپ بدون دادن چنین مجوزی اجرا نخواهد شد. اگر کاربری چنین مجوزی را به اپ بدهد، بزودی باج‌افزار نصیبش می‌شود و نه گیمی که انتظارش را می‌کشیده.

این پیام به زبان انگلیسی آن هم به صورت مبهم و درهم برهم است؛ در این پیام به قربانی اطلاع داده می‌شود که همه‌ی سلفی‌ها و سایر فایل‌های مهم او اکنون رمزگذاری‌ شده است. برای بازیابی آن‌ها، مجرمان سایبری از قربانی طلب 500 دلار به بیت‌کوین آن هم ظرف 24 ساعت می‌کنند (یا 10 ساعت. در پیام باج هر دو بازه‌ی زمانی ذکر می‌شود).

به هر روی، اگر قربانی پول را سر موعد به مجرمان سایبری ندهد پیام در ادامه چنین خواهد بود که بدافزار برای همیشه همه فایل‌های مهم کاربر را پاک خواهد کرد. طبق این اطلاعیه، هر تلاشی برای از بین بردن باج‌افزار بیهوده خواهد بود و به پاک شدن همیشگی فایل‌ها منجر خواهد شد.

آیا فایل‌های رمزگذاری‌شده قابل بازیابی‌اند؟

از این رو ما بر آن شدیم تا ببینیم بر سر فایل‌های روی دستگاه آلوده چه اتفاقی می‌افتد. فایل‌ها قطعاً رمزگذاری شده و افزونه‌ی .coderCrypt بدان‌ها اختصاص داده می‌شود. افزون بر این، این بدافزار در هر فولدر یک فایل README.txt حاوی همان پیام باج نیز قرار می‌دهد.

با این حال، این فایل‌ها قابل ‌بازیابی‌اند. دلیلش هم این است که بدافزار از الگوریتم رمزگذاری متقارن RC4 استفاده می‌کند. بخش متقارن یعنی همان یک کلید واحد هم می‌تواند رمزگذاری کند و هم رمزگشایی. در این مورد، کلید در داخل اپ هارد کد شده است و در همه‌ی نمونه‌هایی که بدان‌ها برخوردیم اینگونه بوده است: 21983453453435435738912738921. از آنجایی که RC4 بسیار شایع است این امکان وجود دارد که بشود خودتان نیز فایل‌ها را بازیابی کنید. برای مثال با استفاده از یک سرویس آنلاین رمزگشایی RC4 یا تماس گرفتن با تیم پشتیبانیِ ما. افزون بر این، دست‌کم برای نسخه‌ی بدافزاری که ما بررسی کردیم مهلت 10 ساعته (یا 24 ساعته) کاملاً بی‌ربط است: باج‌افزار بعد از این بازه‌ی زمانی هیچ‌چیز را پاک نخواهد کرد- در کدش چنین کارکردی تعریف نشده است. با این تفاسیر، ذخیره‌ی یک نسخه از فایل‌های رمزگذاری‌شده پیش از تلاش برای ریستور کردن آن‌ها در زمانتان صرفه‌جویی می‌کند (احیاناً اگر کاربرد ریکاوری راه به جایی نبرد).

باج‌افزار سایبرپانک 2077: نسخه‌ی ویندوزی

متأسفانه، فایل‌هایی که توسط باج‌افزارها رمزگذاری می‌شوند همیشه هم براحتی ریکاوری نمی‌شوند: برای مثال، نویسندگان بتای جعلی اندروید سایبرپانک 2077 نیز به اسم همین بازی در حال توزیع باج‌افزاری هستند برای ویندوز. با این حال در چنین سناریویی کلید در داخل اپ هارد کد نشده است؛ در واقع کلید به طور رندوم برای هر کیس آلوده‌شده تولید می‌شود. بنابراین قربانیان به این سادگی‌ها نخواهد توانست فایل‌های آلوده را کدگشایی کنند.

آیا باج دادن کار معقولی است؟

تا همین لحظه که این مقاله را می‌خوانید، بیش از 8 هزار دلار بیت‌کوین به کیف پول مجرمان سایبری منتقل شده است. در ضمن، بازیابی فایل هم تضمین‌ داده نمی‌شود. سازندگان باج‌افزار شاید به محض دریافت پول بزنند به چاک یا شاید هم اگر ببینند قربانیان راحت باج می‌دهند بازی دیگری راه بیاندازند بیشتر باج بگیرند. از این رو، قویاً توصیه می‌کنیم به اخاذان اینترنتی باج ندهید. متخصصین کسپرسکی همواره در حال مطالعه‌ی کد آلوده و ابداع روش‌هایی برای کدگشایی فایل‌ها هستند- به بیانی دیگر ما در کسپرسکی کدگشاهای رایگان می‌نویسیم. شما می‌توانید بسیاری از این کدگشاها را روی وبسایت NoMoreRansom که مشخصاً برای مقابله با چنین حملاتی ساخته شده است پیدا کنید (یا به وبسایت پشتیبانی ما سر بزنید).

راهکارهای امنیتی

قاعدتاً بهترین توصیه این است که از همان ابتدا جلوی ورود باج‌افزار را بگیرید- حتی اگر بدافزاری بخوبی نقش گیمی محبوب را بازی کند. برای محافظت از خود در برابر باج‌افزارها توصیه می‌کنیم:

•         اپ‌ها را تنها از فروشگاه‌های رسمی یا از وبسایت رسمی توسعه‌دهنده دانلود کنید.
•         گوش به زنگ اخبار نسخه‌های بتا، انتشارها و پروموشن‌های روی وبسایت رسمی توسعه‌دهنده باشید. اگر توسعه‌دهنده از همه جا بی‌خبر باشد یا گیم به طور رسمی هنوز بیرون نیامده باشد هر چیزی ببینید تقلبی خواهد بود.
•         روی همه دستگاه‌ها از راهکار امنیتی مطمئنی استفاده کنید که پیش از هر اتفاق ناگواری بتوانید بدافزارها را از بین ببرید.
•         از همه فایل‌های مهم خود بک‌آپ بگیرید تا بتوانید در صورت هر اتفاقی سریعاً آن‌ها را بازیابی کنید.
  
  

  
  منبع: کسپرسکی آنلاین (ایدکو)

  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.