{"id":24446,"date":"2020-12-24T13:35:01","date_gmt":"2020-12-24T11:35:01","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24446"},"modified":"2020-12-24T13:35:01","modified_gmt":"2020-12-24T11:35:01","slug":"cyberpunk-2077-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cyberpunk-2077-ransomware\/24446\/","title":{"rendered":"Malware disfrazado de Cyberpunk 2077"},"content":{"rendered":"

En cuanto se lanz\u00f3 Cyberpunk 2077<\/em> para Windows y consolas, encontramos online una \u201cversi\u00f3n beta para Android\u201d, muy f\u00e1cil de descargar desde una web con el nombre cyberpunk2077mobile[.]com. Como el desarrollador real a\u00fan tiene que anunciar la versi\u00f3n m\u00f3vil del juego, decidimos investigarlo.<\/p>\n

\u00bfCyberpunk 2077 para Android? No, es ransomware<\/h2>\n

La p\u00e1gina web de la supuesta versi\u00f3n m\u00f3vil no se parece en nada a la oficial de Cyberpunk 2077<\/em>, de hecho, se parece m\u00e1s a la Google Play. Sus creadores afirman que la versi\u00f3n beta se lanz\u00f3 el mismo d\u00eda que el lanzamiento oficial y (mientras redact\u00e1bamos este art\u00edculo) se hab\u00eda descargado unos 1.000 veces. Algunos usuarios incluso han dejado sus opiniones, diciendo que no estaba mal para ser una beta.<\/p>\n

\"\"

Parecida a la Google Play<\/p><\/div>\n

Aunque la p\u00e1gina web especifica que el tama\u00f1o de la aplicaci\u00f3n es de 3,4 GB, el archivo ocupa menos de 3 MB. \u00bfSer\u00e1 que los desarrolladores han creado alg\u00fan tipo de tecnolog\u00eda futur\u00edstica de compresi\u00f3n? Lo dudamos.
\nAdem\u00e1s, al abrir la app por primera vez, la beta falsa solicita acceso a los archivos del dispositivo. En teor\u00eda, una aplicaci\u00f3n podr\u00eda necesitar acceso para guardar o abrir algo, pero ning\u00fan juego necesita tus fotos y v\u00eddeos para iniciarse. No obstante, la aplicaci\u00f3n no carga si no concedes dicho acceso.
\nPero si un usuario aprueba dicho permiso, ver\u00e1 una nota de rescate, no el juego que quer\u00eda.<\/p>\n

\"\"

\u00bfPara qu\u00e9 necesita acceso un juego a tus archivos? \u00a1Pues para cifrarlos!<\/p><\/div>\n

El mensaje est\u00e1 escrito en un ingl\u00e9s algo confuso e informa a las v\u00edctimas de que ahora todos sus selfis y otros archivos importantes est\u00e1n cifrados. Para recuperarlos, los ciberdelincuentes piden 500 d\u00f3lares en bitcoins dentro del plazo de 24 horas (o 10, en la nota se mencionan ambos per\u00edodos). De todos modos, tambi\u00e9n se comunica que, si la v\u00edctima no entrega el dinero a tiempo, el malware lo borrar\u00e1 todo de formar permanente.
\nDe acuerdo con la nota, cualquier intento de eliminar el ransomware ser\u00e1 in\u00fatil y supondr\u00e1 la p\u00e9rdida de los archivos.<\/p>\n

\u00bfSe pueden recuperar los archivos cifrados?<\/h2>\n

Hemos comprobado lo que sucede con los archivos de un dispositivo infectado y s\u00ed, est\u00e1n cifrados con la extensi\u00f3n .coderCrypt. Asimismo, el malware coloca en cada carpeta un archivo README.txt que contiene el mismo mensaje de rescate.<\/p>\n

\"\"

El Cyberpunk 2077 falso para Android cifra los archivos; en eso, sus creadores son sinceros.<\/p><\/div>\n

No obstante, los archivos se pueden recuperar porque el malware emplea el algoritmo de cifrado sim\u00e9trico RC4<\/a>. Lo de sim\u00e9trico<\/em> quiere decir que la misma clave cifra y descifra los archivos y, en este caso, se encontraba en el c\u00f3digo fuente de la aplicaci\u00f3n. En todas las muestras que hemos encontrado era este: 21983453453435435738912738921.
\nComo el RC4 es muy com\u00fan, es posible que t\u00fa mismo recuperes los archivos con, por ejemplo, un servicio online de descifrado o poni\u00e9ndote en contacto con nuestro equipo de atenci\u00f3n al cliente. Adem\u00e1s, al menos en la versi\u00f3n del malware que hemos examinado, las 10 o 24 horas de plazo son totalmente irrelevantes ya que el malware no borrar\u00e1 nada una vez pasado ese tiempo, porque en su c\u00f3digo no se incluye ninguna funci\u00f3n de ese tipo.
\nDicho esto, te recomendamos que guardes una copia de los archivos cifrados antes de intentar restaurarlos, por si falla el programa de recuperaci\u00f3n.<\/p>\n\n

Ransomware de Cyberpunk 2077: versi\u00f3n para Windows<\/h2>\n

Por desgracia, los archivos cifrados por el ransomware no son f\u00e1ciles de recuperar. Por ejemplo, los autores de la beta falsa de Cyberpunk 2077<\/em> para Android tambi\u00e9n est\u00e1n distribuyendo un ransomware para Windows con la apariencia del mismo juego. En este caso, la clave no est\u00e1 en el c\u00f3digo fuente de la aplicaci\u00f3n, sino que se genera al azar en cada caso de infecci\u00f3n, por lo que las v\u00edctimas no tienen un modo f\u00e1cil de descifrar los archivos afectados.<\/p>\n

\"\"

La nota de rescate para los usuarios de Windows pide 1.000 d\u00f3lares en Bitcoins para el descifrado.<\/p><\/div>\n

\u00bfDeber\u00edas pagar?<\/h2>\n

Mientras escribimos esto, se han transferido m\u00e1s de 8.000 d\u00f3lares<\/a> en bitcoins al monedero de los ciberdelincuentes aunque nada te garantiza<\/a> que te vayan a devolver los archivos. Los creadores podr\u00edan desaparecer con el dinero o pedirte m\u00e1s. Por ello, te recomendamos que de ning\u00fan modo pagues el rescate.<\/p>\n

Los expertos de Kaspersky ayudamos a las v\u00edctimas de ransomware estudiando su c\u00f3digo malicioso e inventando formas de descifrar los archivos, es decir, escribimos descifradores gratuitos. Puedes encontrar muchos en la web NoMoreRansom<\/a>, creada para contrarrestar este tipo de ataques, o en nuestra web de soporte<\/a>. Si te ves afectado por un ransomware, no dudes en usar de inmediato estos servicios y, aunque a\u00fan no exista ning\u00fan descifrador concreto para tu problema, es posible que terminemos desarrollando uno en el futuro.<\/p>\n

C\u00f3mo protegerse del ransomware<\/h2>\n

El mejor consejo, obviamente, es evitar el ransomware desde un principio, incluso el que se presenta con la apariencia de un juego popular. Para protegerte, mediante unas normas b\u00e1sicas de seguridad deber\u00eda bastar con:<\/p>\n