一、小白劇場
小白:大東,賽博朋克2077已經登陸PC和PS4等平臺了,這種動作角色類遊戲真拼腦力。
賽博朋克2077 (圖片來自網絡)
大東:賽博朋克2077?就是那款由CD Projekt RED開發的動作角色類遊戲嗎?
小白:大東,這個你都知道?
大東:略聞一二吧,具體說來聽聽。
小白:賽博朋克 2077的故事發生在夜之城,權力更迭和身體改造是它不變的主題。玩家將扮演一名野心勃勃的僱傭兵:V,追尋一種獨一無二的植入體——獲得永生的關鍵。同時玩家還可以自定義角色義體、技能和玩法,探索包羅萬象的城市,玩家做出的選擇也將會對劇情和周遭世界產生影響。
大東:看來這個攬獲科隆展最佳遊戲獎、科隆遊戲展消費者「最期待遊戲」、最佳索尼PlayStation遊戲等五項大獎的遊戲確實是名副其實呀。
小白:最最最值得期待的是,在遊戲的開始,提供了V的三種身份,玩家將選擇其中一種身份開始遊戲。不同的身份不僅會決定玩家如何開局,還會在某種程度上影響主角跟其他幾個主要角色的關係。遊戲中BOSS的攻擊方式基本相同,首先會使用近戰攻擊,隨著血量下降,其中一些BOSS就會開始使用遠程武器,但大多數都是近戰攻擊的。可以通過連按兩次蹲伏鍵來閃避。一直保持向側面或向後閃避,然後使用遠程武器攻擊BOSS,重複這個步驟即可。
大東:看來V的一舉一動都將會對故事發展產生重大影響,不過小白,玩遊戲放鬆的同時也要時刻保持警惕,小心勒索軟體呀~
小白:emmmm,此話怎講?
二、話說事件
大東:不急不急,小白,先問你一個問題,比特幣是什麼呀?
小白:比特幣(Bitcoin)的概念最初由中本聰在2008年11月1日提出,並於2009年1月3日正式誕生。比特幣是一種P2P形式的虛擬的加密數字貨幣,點對點的傳輸意味著一個去中心化的支付系統。
大東:那它與其他貨幣有什麼不同呢?
小白:不同的是,比特幣不依靠特定貨幣機構發行,它依據特定算法,通過大量的計算產生,比特幣經濟使用整個P2P網絡中眾多節點構成的分布式資料庫來確認並記錄所有的交易行為,並使用密碼學的設計來確保貨幣流通各個環節安全性。
大東:那麼為什麼黑客們都喜歡用比特幣進行交易呢?
小白:比特幣有一個特點就是它只能在數字世界使用,不屬於任何國家和金融機構,並且不受地域的限制,可以在世界上的任何地方兌換它,其支付系統去中心化。也正是因為比特幣去中心化的這一特點,使得它不僅僅是這些黑客進行犯罪的手段,更是一些龐大的犯罪集團用以洗黑錢的重要工具,而一些比特幣交易平臺也成為了黑錢洗白的中介。
大東:了解的還挺詳細~
小白:嘻嘻,謝謝大東的誇獎。不過,比特幣和賽博朋克2077又有什麼關係呢?
大東:惡意軟體分析師Tatyana Shishkova在谷歌Play商城發現了賽博朋克2077的惡意勒索軟體,這個惡意軟體會誘導用戶前往一個虛假的谷歌Play商店下載這款遊戲軟體。
小白:虛假的谷歌Play商店?不會遊戲也是假的吧?
大東:沒錯,這款虛假的遊戲APP會給下載用戶的手機裡安裝勒索軟體,這個勒索軟體會導致用戶的手機感染,產生一系列不良後果。
正版盜版對比 (圖片來自網絡)
小白:這個勒索軟體是怎樣感染手機的呢?
大東:這個叫作Coderware的惡意勒索軟體一旦安裝到手機裡就會使所有內容被完全加密。勒索軟體會要求受害用戶在10個小時的時間內支付等值500美元的比特幣作為贖金,否則行動裝置被加密的內容就會被徹底清除。
小白:這勒索軟體真是太可惡了~
大東:Tatyana Shishkova還表示這次勒索軟體所使用的技術和BlackKingdom勒索軟體是相似的,是後者的變種,看來勒索軟體也在不斷地進化呀~
小白:這個盜版的含有勒索軟體的賽博朋克2077與正版的有什麼區別呢?
大東:黑客對正版賽博朋克2077應用進行了反編譯,並對內部代碼進行了修改,加入了勒索惡意代碼。
資源文件對比 (圖片來自網絡)
小白:這就一個文件的區別,最後的差別咋就那麼大呢。
三、大話始末
大東:不如進一步技術分析一下,讓我們來一探究竟!
小白:好呀好呀~
大東:先進行準備工作,在應用啟動休眠30s後啟動勒索活動:
休眠30s啟動勒索活動 (圖片來自網絡)
首先,我們需要檢測對用戶設備文件的讀寫權限,如果應用未獲得該權限,則彈窗申請權限:
檢測文件讀寫權限 (圖片來自網絡)
獲取權限後,該勒索病毒遍歷用戶設備的mnt、mount、sdcard、storage目錄。
遍歷文件目錄 (圖片來自網絡)
小白:怎樣就可以實現勒索提示呢?
大東:這個問題不大,在每個文件目錄下創建README.txt文件,並在文件內寫入勒索提示語句。
README.txt文件內容 (圖片來自網絡)
隨後,對每個文件進行加密,並對已加密文件添加.codeCrypt文件後綴,刪除原文件。加密文件key為21983453453435435738912738921。
加密文件,添加.codeCrypt文件後綴 (圖片來自網絡)
設備文件已被加密 (圖片來自網絡)
文件加密算法如下:
自定義加密算法 (圖片來自網絡)
小白:這樣就可以勒索500美元等值的比特幣了嘛?(一臉驚訝)
大東:隨後,在應用屏幕顯示勒索文檔,要求用戶支付500美元等值的比特幣,不然文件將在10小時後被刪除。代碼內並未發現10小時後刪除文件的行為,用戶支付比特幣後便可獲得解密密鑰和代碼。
Email:alrescodercry@protonmail.com
Bitcon Adress:336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8K
telegram : @Codersan
URL:https://buy.moonpay.io
勒索文檔 (圖片來自網絡)
小白:可以看到伺服器位置在什麼地方嗎?
大東:當然可以,目前知道的伺服器位置是在新加坡、美國。
(伺服器位置 圖片來源:網絡)
小白:離我們還挺近的呢~
大東:其實,這一勒索軟體使用了一個「硬編碼鑰匙」,這意味著一個解密器可以用來恢復文件而不需要支付網絡罪犯要求的贖金。
小白:或許,「勒索軟體解碼工具」是一個不錯的選擇。
四、小白內心說
大東:小白,說了這麼多,你覺著賽博朋克2077這款遊戲有移動端嘛?
小白:當然沒有啦~都是假的!《賽博朋克2077》移動版APP都是勒索軟體。
大東:看來我的科普真滴不錯~
小白:這種勒索軟體就在我們身邊呢~那如何才能防範它呢?
大東:首先,對於賽博朋克2077這款遊戲,一定要知道,CDPR官方從來沒有公布過移動版,所以任何網站上存在的任何移動版APP都是假的,一定要小心。
小白:廣大玩家一定要認清遊戲版本與發布方式呀。
大東:其次,用戶在安裝下載手機軟體時,要在正規的應用市場進行下載,最好到軟體官網下載。在日常生活中,往往有很多人分不清哪些是正規的應用市場,所以進入官網下載是最安全的。官網的APP是唯一的,而在某些應用市場上,也許同一個APP就有好幾個,他們其中有一些是第三方發布的,只是名字或功能上有細微差別,用戶一不小心就會下錯,這樣的軟體安全性十分令人擔憂。
小白:去正規的應用市場下載,最好是去軟體官網下載,這一點我get到了~
大東:同時,在日常使用手機的過程中,不瀏覽一些來路不明的網址,不隨便點擊簡訊、信息中的網頁連結也是避免勒索軟體或勒索病毒的很好方法。
小白:其實,我們的手機是很難直接中毒的,勒索軟體或勒索病毒必須經過小插件進入手機內部,才能對手機進行攻擊。那些不正規的網址,一旦點擊進去,後臺就會自動下載一些插件軟體,對手機安全造成威脅。
大東:沒錯,還有一點就是,在公共場所,免費WiFi要謹慎使用,建議使用移動流量。目前在很多公共場所都提供了免費WiFi,而搭建一個免費WiFi並不是什麼難事。因此,在這個過程中,有可能會不小心連接上黑客搭建的WiFi,洩露手機內部信息及個人信息。
小白:那如果萬一真中了勒索病毒,手機被鎖定,遭人索要錢財應該怎麼辦呢?
大東:進行手機恢復出廠設置,在無法進入手機系統的情況下,長按電源鍵和音量+-鍵,進入Recovery恢復模式一鍵回到手機初始狀態。
小白:提前備份好手機數據也至關重要呀~
參考資料:
1. 比特幣 https://baike.baidu.com/item/%E6%AF%94%E7%89%B9%E5%B8%81/4143690?fr=aladdin
2. 仿冒CyberPunk 2077的勒索軟體 https://mp.weixin.qq.com/s/4C6omGGZsv25BTecQzPINA
3. 科普:為何勒索軟體們都使用比特幣作為支付方式
https://www.landiannews.com/archives/35886.html
4. 手機如何防止勒索病毒 https://jingyan.baidu.com/article/a681b0de7275343b184346c9.html
5. 賽博朋克2077(波蘭角色扮演類遊戲) https://baike.baidu.com/item/%E8%B5%9B%E5%8D%9A%E6%9C%8B%E5%85%8B2077/3306049?fr=aladdin
來源:中國科學院信息工程研究所
溫馨提示:近期,微信公眾號信息流改版。每個用戶可以設置 常讀訂閱號,這些訂閱號將以大卡片的形式展示。因此,如果不想錯過「中科院之聲」的文章,你一定要進行以下操作:進入「中科院之聲」公眾號 → 點擊右上角的 ··· 菜單 → 選擇「設為星標」