روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ چیزی از انتشار سایبرپانک 2077 برای ویندوز و کنسول‌ها نگذشته بود که به نسخه‌ی بتای اندرویدی (آنلاین) برخوردیم که دانلودش از سایتی به آدرس cyberpunk2077mobile[.]com کاملاً رایگان بود. توسعه‌دهنده‌ِ واقعی این گیم هنوز نسخه موبایل این بازی را اعلام نکرده بود و درست به همین دلیل بود که تحقیقات خود را شروع کردیم. در ادامه با ما همراه شوید تا این رخداد سایبری را به دقت مورد بررسی قرار دهیم.

سایبرپانک 2077 برای اندروید؟ نه، این یک باج‌افزار است

وبسایت مرتبط با نسخه‌ی موبایلی مذکور هیچ شباهتی با سایت رسمی سایبرپانک 2077 ندارد- در حقیقت بیشتر به گوگل‌پلی شبیه است. سازندگان آن ادعا دارند نسخه بتا درست همان روز انتشار رسمی بازی منتشر شده است و (حداقل ای خبر تا زمان نگارش این مطلب صحت دارد) حدود 1000 بار دانلود نیز شده است. برخی از کاربران حتی فیدبک هم داده‌اند و گفته‌اند برای نسخه‌ی بتا بد نبوده است!

اگرچه این وبسایت سایز اپ را 3.4 گیگ لیست کرده اما فایل کمتر از 3 مگابایت حجم دارد. آیا توسعه‌دهندگان فناوری فشرده‌سازی اختراع کرده‌اند که ما خبر نداریم؟ خیر، بعید است. برویم جلوتر: در اجرای اولیه‌اش، بتای جعلی درخواست دسترسی به فایل‌های روی دستگاه را می‌کند. به لحاظ تئوری اپ ممکن است برای ذخیره‌سازی یا باز کردن چیزی به دسترسی فایل نیاز داشته باشد اما هیچ گیمی برای لود شدن به عکس و ویدیوهای شما نیاز ندارد! با این وجود، این اپ بدون مجوز این درخواست اجرا نخواهد شد. اگر کاربر چنین مجوزی را بدهد آنوقت است که با تقاضای باج مواجه خواهند شد و نه آن گیمی که انتظارش را می‌کشیدند.

پیام به انگلیسیِ خرچنگ‌قورباغه‌ای است و به قربانی اطلاع می‌دهد همه سلفی‌ها و سایر فایل‌های مهم او اکنون رمزگذاری شده است. برای بازیابی آن‌ها، از قربانی 500 دلار به بیت‌کوین خواسته شده است (/ان هم ظرف 24 ساعت. البته مجرمان سایبری به بازه زمانی 10 ساعته هم اشاره کرده‌اند).  بدافزار برای همیشه همه اطلاعات را پاک خواهد کرد. بر طبق این یادداشت، هر تلاشی برای از بین بردن باج‌افزار بی‌ثمر خواهد بود و در نهایت منجر به از دست رفتن فایل‌ها خواهد شد.

آیا فایل‌های رمزگذاری‌شده قابل‌ بازیابی هستند؟

رفتیم بررسی کنیم ببینیم آیا چنین اتفاقی واقعاً بر سر فایل داخل دستگاه آلوده می‌افتد یا خیر. فایل‌ها واقعاً رمزگذاری شده بودند و پسوند coderCrypt. داشتند. افزون بر این، بدافزار فایل README.txt را جاگذاری کرده بود؛ فایلی حاوی همان پیام باج-در هر فولدر.

با این حال فایل‌ها قابل بازیابی‌اند. دلیلش هم این است که این بدافزار از الگوریتم رمزگذاری متقارن RC4 استفاده می‌کند. بخش متقارن به این معناست که یک کلید واحد هم فایل‌ها را رمزگذاری و هم رمزگشایی می‌کند. در این مورد این پرونده خاص، کلید یا رمز در اپ و در هر نمونه‌ای به بدان برخوردیم هاردکد شده بود:

21983453453435435738912738921

از آنجایی که RC4 شایع است، این امکان وجود دارد که خودتان هم بتوانید فایل را بازیابی کنید. برای مثال با استفاده از سرویس رمزگشایی آنلاین RC4 یا تماس با تیم پشتیبانی فنی کاربر ما. علاوه بر اینها، دست‌کم برای این نسخه‌ی بدافزار که بررسی کردیم، مهلت 10 (یا 24) ساعته کاملاً بی‌ربط است. این باج‌افزار هیچ‌چیز را بعد از مدتی پاک نخواهد کرد (کد آن حاوی چنین کارکردی نبوده است). از این رو ذخیره کردن کپی فایل‌های رمزگذاری‌شده پیش از تلاش برای بازیابی آن‌ها مهم است (احیاناً اگر کارکرد ریکاوری شکست خورد).

باج‌افزار سایبرپانک 2077 – نسخه‌ی ویندوزی

متأسفانه فایل‌هایی که توسط باج‌افزار رمزگذاری می‌شوند همیشه هم براحتی بازیابی نمی‌شوند. برای مثال نویسندگان بتای جعلی سایبرپانک 2077 اندرویدی همچنین باج‌افزاری را برای ویندوز توزیع کرده‌اند که خودش را جای این بازی معرفی کرده است. با این حال کلید یا رمز در داخل اپ هاردکد نشده بود؛ بلکه به طور رندوم برای هر مورد آلودگی تولید شده بود؛ بدین‌ترتیب قربانیان نمی‌توانند به این آسانی فایل‌های آلوده را رمزگشایی کنند.

آیا باید باج داد؟

تا زمان نگارش این مطلب بیش از 8 هزار دلار به بیت‌کوین به کیف‌پول مجرمان سایبری انتقال داده شده است. حال آنکه ریکاوری فایل به هیچ‌وجه تضمین نشده است. سازندگان باج‌افزار ممکن است براحتی پول‌ها را به جیب زده و غیب شوند یا برگردند و باج بیشتری از قربانی بخواهند. از این رو قویاً توصیه می‌کنیم باج ندهید! متخصصین کسپرسکی می‌توانند با بررسی کد مخرب و ابداع روش‌هایی برای رمزگشایی فایل‌ها- به بیانی دیگر نوشتن رمزگشاهای رایگان- قربانیان باج‌افزار را یاری دهند. شما می‌توانید بسیاری از آن‌ها را در وبسایت NoMoreRansom پیدا کنید؛ این سایت به طور خاص برای مقابله با حملات طراحی شده است. همچنین می‌توانید به وبسایت فنی ما مراجعه فرمائید. اگر با حمله باج‌افزاری مواجه شدید، ابتدا به همین منابع مراجعه کنید. اگر هم هیچ رمزگشایی برای مشکل خاص شما پیدا نشد حتی این احتمال وجود دارد که در ادامه بررسی‌هایتان به فهرست اضافه شود.

  راهکارهای امنیتی

بهترین توصیه دوری از باج‌افزار در همان ابتدای امر است- حتی ممکن است باج‌افزار به هیبت گیمی محبوب بر شما ظاهر شود. برای جلوگیری از این اتفاق و حفظ بهداشت دیجیتال توصیه می‌کنیم اقدامات زیر را انجام دهید:

• تنها از فروشگاه‌های رسمی یا از سایت رسمی توسعه‌دهنده اپ‌ها را دانلود کنید.
• روی سایت رسمی توسعه‌دهنده اخبار مربوط به انتشار و فروش نسخه‌های بتا را پیگیر باشید. اگر توسعه‌دهنده شما اطلاعاتی نداده باشد پس هر اطلاعات دیگری که می‌بینید جعلی است.
• پیش از آنکه بدافزار بخواهد ضرری برایتان داشته باشد روی همه دستگاه‌های خود از راهکار امنیتی مطمئنی استفاده کنید. بعنوان مثال محصولات ما در مقابل باج‌افزار سایبرپانک 2077 و نسخه ویندوزی با حکم  HEUR:Trojan-Ransom.AndroidOS.Agent.bs خواهند جنگید.
• از فایل‌های مهم خود بک‌آپ بگیرید تا بتوانید در صورت آسیب یا فقدان آن‌ها را بازیابی کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.