В статье ранее я сделал анонс о распространяющемся шифровальщике под видом CyberPunk2077
Спойлер : Этот крипто-вымогатель для Android-устройств шифрует данные пользователей с помощью алгоритма RC4.
На личном опыте узнал что за выкуп информации требуют сумму в $500 в BTC. И что авторы этой глупой вещи считают меня «Дауном» (в тексте ниже)
Меня заинтересовал этот зверь и я решил посмотреть его в живую.
Вооружившись виртуалкой и андройд эмулятором я окунулся в этот мир безудержного веселья. Через известный поисковик DuckDuckGo нахожу .APK на вэб сайте очень похожего на Google Play Store, (думаю адрес писать не этично будет) с говорящим названием игры Cyberpunk2077.
Первым делом заглянул как его видят Антивирусы:
Kaspersky -> HEUR:Trojan-Ransom.AndroidOS.Agent.bs
DrWeb -> Android.Encoder.12
ESET-NOD32 -> Android/Filecoder.I
Symantec -> Trojan.Gen.2
А дальше….
Вот такой текст меня ждал после «Успешной установки» в файле README.txt
hey Down! Seems like you got hit by CoderWare !warning: take a screenshot of this place. If you lose the information here, you’ll never get to us. and it would be impossible to get your dosysDon’t Panic, you get have your files back!CoderWare uses a basic encryption script to lock your files.This type of is known as CRYPTO.You’ll need a decryption key in order to unlock your files.Your files will be deleted when the timer runs out, so you better http://hurry.You have 10 hours to find your keyWhen you pay >>> 500$ <<< to the Bitcoin address below, you will need to send a single as proof to our e-mail address, and if the receipt is correct, your code to decrypt our files to your e-mail address. It will be sent back to you via e-mail. But you have to be quick for that. Because you have 24 hours. If you do not pay within 10 hours, your files will be permanently deleted.And it would be out of reach again. If you don’t know how to get bitcoin. https://buy.moonpay.iocan quickly get your credit or debit card online from the website.Please type the bitcoin address shown on the screen in the wallet field on the website. If you try to shut it down by force, you’ll lose your files. because if you lose your bitcoin address,you won’t be able to pay. and you’ll never get your files back.If you delete the application, it will be impossible to access your files. email: alrescodercry@protonmail.combitcoin Adress : 336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8Ktelegram : @Codersan
Google переводчик перевел как :
привет, Даун! Похоже, тебя ударил CoderWare!важно: сделай скриншот этого места. Если ты потеряешь инфу отсюда, то никогда не попадешь к нам. и не получишь свои докиНе паникуй, ты вернешь свои файлы!CoderWare использует базовый скрипт шифрования для блокировки ваших файлов, этот тип известен как CRYPTO.Для разблокировки файлов тебе нужен ключ дешифрования.Твои файлы будут удалены когда таймер обнулится, так что торопись. У тебя 10 часов, чтобы найти свой ключКогда ты платишь >>> 500$ <<< на биткойн-адрес ниже, нужно отправить копию на наш email-адрес, и, если квитанция верна, твой код для расшифровки файлов на твой email-адрес. Он будет переправлен тебе по email.Но для этого нужно действовать быстро. Потому что у тебя 24 часа. Если ты не заплатишь за 10 часов, твои файлы будут удалены без возможности восстановления.И это снова будет вне досягаемости. Если ты не знаешь, как получить биткойн. https://buy.moonpay.ioможешь быстро получить свою кредитную или дебетовую карту онлайн на веб-сайте.Пожалуйста, введи биткойн-адрес, показанный на экране, в поле кошелька на веб-сайте. Если ты захочешь выключить его силой, ты потеряешь свои файлы. потому что, если ты потеряешь свой биткойн-адрес, ты не сможешь заплатить. и ты никогда не получишь свои файлы обратно.Если ты удалишь приложение, доступ к твоим файлам будет невозможен.email: alrescodercry@protonmail.comБиткойн Адрес: 336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8KTelegram: @Codersan
Как итог, да все молодцы, все работает, видимо была чей-то курсовой работой все файлы после шифрования приобрели расширение : .coderCrypt
Единственная радость что для шифрования используется алгоритм RC4. По моему предположению криптоключ открытый и должен быть зашит в коде но это уже в другой статье.