『サイバーパンク2077』の皮を被ったランサムウェア

『サイバーパンク2077』の「Android版ベータ版」に見せかけたランサムウェアが出回っています。

『サイバーパンク2077』のWindows版とゲーム機版がリリースされてから間もなく、私たちは「Android版のベータ版」なるものに遭遇しました。「cyberpunk2077mobile[.]com」というそれっぽい名前のWebサイトから、無料でダウンロードできると言うのです。しかし、『サイバーパンク2077』の開発元は、まだモバイル版については何も発表していません。そこで私たちは調査を開始しました。

Android版『サイバーパンク2077』、実はランサムウェア

そのモバイル版が手に入るというWebサイトは、『サイバーパンク2077』の公式サイトとはまるで見た目が異なり、Google Playのページのように見えます。説明文には、このベータ版は公式リリースと同時にリリースされたとあり、すでに1,000回くらいダウンロードされているようです(記事執筆時点)。「ベータ版にしては悪くない」というコメントを残している人もいます。

Google Playを思わせるテイスト

Google Playを思わせるテイスト

Webサイトに書かれているアプリのサイズは3.4GBですが、ファイルをダウンロードすると実際には3MB未満です。何か新しい圧縮技術でも使われているのでしょうか?そうは思えませんが。

ファイルを実行すると、デバイス上のファイルへのアクセスが求められます。理論上、何かを保存したり開いたりするのに何らかのファイルへのアクセスが必要な場合はありますが、ゲームの読み込みに写真や動画へのアクセスが必要になるはずはありません。にもかかわらず、ファイルへのアクセス権限を拒否すると、このアプリは起動しません。

しかし、この権限を与えてしまうと、アプリが起動するのではなく、金銭を要求する脅迫メッセージが表示されます。

写真などのファイルへのアクセスを要求するゲームアプリ。その目的は、ファイルを暗号化すること

写真などのファイルへのアクセスを要求するゲームアプリ。その目的は、ファイルを暗号化すること

このメッセージは文法のおかしい英語で書かれています。ファイルは全部暗号化された、元に戻すには24時間以内(文章の別の部分では10時間以内)にBitcoinで500ドルを支払え、とメッセージは告げています。時間内に支払いがなければファイルは永久に返ってこない、とも脅しています。

さらに、このランサムウェアを削除しようとしても無駄だ、ファイルが戻ってこなくなるだけだとも書かれています。

暗号化されたファイルは元に戻せるのか

私たちは、感染したデバイスで実際のところファイルに何が起こるのかを確認しました。ファイルは確かに暗号化され、「.coderCrypt」という拡張子が付けられます。さらに、このマルウェアは各フォルダーに「README.txt」というファイルを作成します。中身は、表示された脅迫文と同じ内容です。

『サイバーパンク2077』の偽アプリは実際にファイルを暗号化する

『サイバーパンク2077』の偽アプリは実際にファイルを暗号化する

しかし、暗号化されたファイルは復元可能です。このマルウェアは対称鍵暗号方式のRC4を使用します。「対称」とは、暗号化と復号に同じ鍵を使うという意味です(そのため、この方式は共通鍵方式とも言います)。このマルウェアの場合、鍵はアプリ内にハードコードされています。私たちが遭遇した検体では、すべて「21983453453435435738912738921」でした。

RC4はよく使われている方式なので、自力でファイルを元に戻すことが可能です。例えば、RC4対応の復号ツールはいろいろあります。また、少なくとも私たちが確認したバージョンのマルウェアについては、期限として設けられた24時間(または10時間)はまったく関係ありません。時間が来るとファイルを削除するような機能はマルウェアコードに含まれていないので、指定の時間が経過しても何も削除されません。

そうは言っても、復元用のツールがうまく機能しなかった場合に備えて、復元を試す前に、暗号化されてしまったファイルのコピーをどこかへ保存しておきましょう。

『サイバーパンク2077』ランサムウェア、Windows版

残念なことに、ランサムウェアに暗号化されてしまったファイルは、必ずしも簡単に復元できるとは限りません。例えば、Android版『サイバーパンク2077』の偽ベータ版を作成した者たちは、やはり『サイバーパンク2077』になりすましたWindows版ランサムウェア(英語)もばらまいています。こちらの場合、鍵がソフトウェア内にハードコードされているのではなく、感染のたびに無作為に生成されるので、暗号化されたファイルを簡単に元に戻す方法はありません。

Windowsユーザー向けの脅迫文では、ファイル復号と引き換えにBitcoinで1,000ドルを要求している

Windowsユーザー向けの脅迫文では、ファイル復号と引き換えにBitcoinで1,000ドルを要求している

お金は支払うべきか

この記事を書いている時点では、犯人のウォレットに8,000ドルを超えるBitcoinが送金されています。一方で、ファイルを必ず取り戻せるという保証はありません。犯人はお金を持ち逃げするかもしれませんし、支払った人をカモと見なしてもっとお金を払わせようとするかもしれません。したがって私たちは、お金を支払わないことを強く推奨しています。

Kasperskyでは、ランサムウェアのコードを調査し、ファイルを復号する方法を探り、復号ツールを作成して無料で提供しています。復号ツールは、ランサムウェア対策プロジェクトサイト「NoMoreRansom」や、Kasperskyのサポートページから入手可能です。もしもランサムウェアに感染してしまったら、まずはこれらのWebサイトをチェックして復号ツールがないか確認してください。自分の感染したマルウェアに対応する復号ツールがなかったとしても、やがてどこかの時点で復号ツールが作成される可能性はあります。

ランサムウェアに感染しないために

一番の対策は、そもそもランサムウェアに感染しないことです。人気のゲームなどのふりをしてインストールを誘うランサムウェアが存在することを念頭に置き、できるだけ近付かないようにするのが得策です。

  • アプリをダウンロードする場合は、必ず公式ストアまたは開発者の公式Webサイトからダウンロードする。
  • 開発元の公式Webサイトで、ベータ版に関するニュースや公式発表が掲載されているか、または関連のキャンペーンが実在するか、確認する。何の情報も見つからない場合や、ゲームの公式リリースがまだ出ていない場合は、まず間違いなく偽物です。
  • マルウェアが悪さを始める前に検知して無効化できるようなセキュリティ製品を、自分の持っているデバイスすべてにインストールする。カスペルスキー製品は、この『サイバーパンク2077』になりすますAndroid版ランサムウェアを、以下の検知名で検知およびブロックします。
    Android版ランサムウェア:HEUR:Trojan-Ransom.AndroidOS.Agent.bs
    Windows版ランサムウェア:Trojan-Ransom.Win32.Alien.ao
  • 破損、紛失といった万一の場合にすぐ復元できるように、重要なファイルのバックアップを作成しておく。
ヒント