狸猫换太子？赛博朋克2077暗含勒索软件！丨大东话安全

一、小白剧场

小白：大东，赛博朋克2077已经登陆PC和PS4等..了，这种动作角色类游戏真拼脑力。 [原创文章：www.11jj.com]

  [好文分享：www.11jj.com]

赛博朋克2077 （图片来自网络）

大东：赛博朋克2077？就是那款由CD Projekt RED开发的动作角色类游戏吗？

小白：大东，这个你都知道？

大东：略闻一二吧，具体说来听听。

小白：赛博朋克 2077的故事发生在夜之城，权力更迭和身体改造是它不变的主题。玩家将扮演一名野心勃勃的雇佣兵：V，追寻一种独一无二的植入体——获得永生的关键。同时玩家还可以自定义角色义体、技能和玩法，探索包罗万象的城市，玩家做出的选择也将会对剧情和周遭世界产生影响。

大东：看来这个揽获科隆展最佳游戏奖、科隆游戏展消费者“最期待游戏”、最佳索尼PlayStation游戏等五项大奖的游戏确实是名副其实呀。

小白：最最最值得期待的是，在游戏的开始，提供了V的三种身份，玩家将选择其中一种身份开始游戏。不同的身份不仅会决定玩家如何开局，还会在某种程度上影响主角跟其他几个主要角色的关系。游戏中BOSS的攻击方式基本相同，首先会使用近战攻击，随着血量下降，其中一些BOSS就会开始使用远程武器，但大多数都是近战攻击的。可以通过连按两次蹲伏键来闪避。一直保持向侧面或向后闪避，然后使用远程武器攻击BOSS，重复这个步骤即可。

大东：看来V的一举一动都将会对故事发展产生重大影响，不过小白，玩游戏放松的同时也要时刻保持警惕，小心勒索软件呀~

小白：emmmm，此话怎讲？

二、话说事件

大东：不急不急，小白，先问你一个问题，..是什么呀？

小白：..（Bitcoin）的概念最初由中本聪在2008年11月1日提出，并于2009年1月3日正式诞生。..是一种P2P形式的虚拟的加密数字货币，点对点的传输意味着一个去中心化的支付系统。

大东：那它与其他货币有什么不同呢？

小白：不同的是，..不依靠特定货币机构发行，它依据特定算法，通过大量的计算产生，..经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为，并使用密码学的设计来确保货币流通各个环节安全性。

大东：那么为什么黑客们都喜欢用..进行交易呢？

小白：..有一个特点就是它只能在数字世界使用，不属于任何国家和金融机构，并且不受地域的限制，可以在世界上的任何地方兑换它，其支付系统去中心化。也正是因为..去中心化的这一特点，使得它不仅仅是这些黑客进行犯罪的手段，更是一些庞大的犯罪集团用以洗黑钱的重要工具，而一些..交易..也成为了黑钱洗白的中介。

大东：了解的还挺详细~

小白：嘻嘻，谢谢大东的夸奖。不过，..和赛博朋克2077又有什么关系呢？

大东：恶意软件分析师Tatyana Shishkova在谷歌Play商城发现了赛博朋克2077的恶意勒索软件，这个恶意软件会诱导用户前往一个虚假的谷歌Play商店下载这款游戏软件。

小白：虚假的谷歌Play商店？不会游戏也是假的吧？

大东：没错，这款虚假的游戏APP会给下载用户的手机里安装勒索软件，这个勒索软件会导致用户的手机感染，产生一系列不良后果。

正版盗版对比 （图片来自网络）

小白：这个勒索软件是怎样感染手机的呢？

大东：这个叫作Coderware的恶意勒索软件一旦安装到手机里就会使所有内容被完全加密。勒索软件会要求受害用户在10个小时的时间内支付等值500美元的..作为赎金，否则移动设备被加密的内容就会被彻底清除。

小白：这勒索软件真是太可恶了~

大东：Tatyana Shishkova还表示这次勒索软件所使用的技术和BlackKingdom勒索软件是相似的，是后者的变种，看来勒索软件也在不断地进化呀~

小白：这个盗版的含有勒索软件的赛博朋克2077与正版的有什么区别呢？

大东：黑客对正版赛博朋克2077应用进行了反编译，并对内部代码进行了修改，加入了勒索恶意代码。

资源文件对比 （图片来自网络）

小白：这就一个文件的区别，最后的差别咋就那么大呢。

三、大话始末

大东：不如进一步技术分析一下，让我们来一探究竟！

小白：好呀好呀~

大东：先进行准备工作，在应用启动休眠30s后启动勒索活动：

休眠30s启动勒索活动 （图片来自网络）

首先，我们需要检测对用户设备文件的读写权限，如果应用未获得该权限，则弹窗申请权限：

检测文件读写权限 （图片来自网络）

获取权限后，该勒索病毒遍历用户设备的mnt、mount、sdcard、storage目录。

遍历文件目录 （图片来自网络）

小白：怎样就可以实现勒索提示呢？

大东：这个问题不大，在每个文件目录下创建README.txt文件，并在文件内写入勒索提示语句。

README.txt文件内容  （图片来自网络）

随后，对每个文件进行加密，并对已加密文件添加.codeCrypt文件后缀，删除原文件。加密文件key为21983453453435435738912738921。

加密文件，添加.codeCrypt文件后缀 （图片来自网络）

设备文件已被加密 （图片来自网络）

文件加密算法如下：

自定义加密算法 （图片来自网络）

小白：这样就可以勒索500美元等值的..了嘛？（一脸惊讶）

大东：随后，在应用屏幕显示勒索文档，要求用户支付500美元等值的..，不然文件将在10小时后被删除。代码内并未发现10小时后删除文件的行为，用户支付..后便可获得解密密钥和代码。

Email：alrescodercry@protonmail.com

Bitcon Adress:336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8K

telegram : @Codersan

URL:https://buy.moonpay.io

勒索文档 （图片来自网络）

小白：可以看到服务器位置在什么地方吗？

大东：当然可以，目前知道的服务器位置是在新加坡、美国。

（服务器位置 图片来源：网络）

小白：离我们还挺近的呢~

大东：其实，这一勒索软件使用了一个“硬编码钥匙”，这意味着一个解密器可以用来恢复文件而不需要支付网络罪犯要求的赎金。

小白：或许，“勒索软件解码工具”是一个不错的选择。

四、小白内心说

大东：小白，说了这么多，你觉着赛博朋克2077这款游戏有移动端嘛？

小白：当然没有啦~都是假的！《赛博朋克2077》移动版APP都是勒索软件。

大东：看来我的科普真滴不错~

小白：这种勒索软件就在我们身边呢~那如何才能防范它呢？

大东：首先，对于赛博朋克2077这款游戏，一定要知道，CDPR官方从来没有公布过移动版，所以任何网站上存在的任何移动版APP都是假的，一定要小心。

小白：广大玩家一定要认清游戏版本与发布方式呀。

大东：其次，用户在安装下载手机软件时，要在正规的应用市场进行下载，最好到软件官网下载。在日常生活中，往往有很多人分不清哪些是正规的应用市场，所以进入官网下载是最安全的。官网的APP是唯一的，而在某些应用市场上，也许同一个APP就有好几个，他们其中有一些是第三方发布的，只是名字或功能上有细微差别，用户一不小心就会下错，这样的软件安全性十分令人担忧。

小白：去正规的应用市场下载，最好是去软件官网下载，这一点我get到了~

大东：同时，在日常使用手机的过程中，不浏览一些来路不明的网址，不随便点击短信、信息中的网页链接也是避免勒索软件或勒索病毒的很好方法。

小白：其实，我们的手机是很难直接中毒的，勒索软件或勒索病毒必须经过小插件进入手机内部，才能对手机进行攻击。那些不正规的网址，一旦点击进去，后台就会自动下载一些插件软件，对手机安全造成威胁。

大东：没错，还有一点就是，在公共场所，免费WiFi要谨慎使用，建议使用移动流量。目前在很多公共场所都提供了免费WiFi，而搭建一个免费WiFi并不是什么难事。因此，在这个过程中，有可能会不小心连接上黑客搭建的WiFi，泄露手机内部信息及个人信息。

小白：那如果万一真中了勒索病毒，手机被锁定，遭人索要钱财应该怎么办呢？

大东：进行手机恢复出厂设置，在无法进入手机系统的情况下，长按电源键和音量+-键，进入Recovery恢复模式一键回到手机初始状态。

小白：提前备份好手机数据也至关重要呀~

参考资料：

1. .. https://baike.baidu.com/item/%E6%AF%94%E7%89%B9%E5%B8%81/4143690?fr=aladdin 

2. 仿冒CyberPunk 2077的勒索软件 https://mp.weixin.qq.com/s/4C6omGGZsv25BTecQzPINA 

3. 科普：为何勒索软件们都使用..作为支付方式

https://www.landiannews.com/archives/35886.html

4. 手机如何防止勒索病毒 https://jingyan.baidu.com/article/a681b0de7275343b184346c9.html 

5. 赛博朋克2077（波兰角色扮演类游戏） https://baike.baidu.com/item/%E8%B5%9B%E5%8D%9A%E6%9C%8B%E5%85%8B2077/3306049?fr=aladdin 

来源：中国科学院信息工程研究所

温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」