年度电玩大作电驭叛客2077甫上市，惊传勒索软假冒其名，针对Windows和Android用户发动攻击

由于COVID-19疫情延烧，导致许多人必须居家隔离，使得电玩游戏的需求大增，骇客也盯上这个产业发动攻击。而其中一款受到许多玩家瞩目的年度电玩游戏大作“电驭叛客2077（Cyberpunk 2077）”，在历经一波三折之后，终于在12月10日正式上市。但在5天之后，有资安研究员发现，骇客竟以提供Windows和Android测试版游戏的名义，佯称提供玩家免费下载电驭叛客2077，但他们提供的安装档案，实际上是勒索软件CoderWare。究竟有多少人受害？目前仍不得而知，但卡巴斯基取得这款勒索软件进行分析，并加以追踪骇客提供受害者支付赎金的比特币钱包后指出，骇客至少得手价值8千美元的比特币。

事实上，针对手机发动勒索软件攻击的情况并不多，而且这次骇客同时锁定Windows电脑下手更是少见，而这种将手机为主要目标的勒索软件攻击，很可能会越来越多。

为何电驭叛客2077会被骇客选来当做诱饵？原因是玩家已经期待已久，这款游戏自去年E3电玩展宣布计划要在今年4月上市后，便引起关注，然而游戏开发商却屡屡延后上市的时间，直到这个月才正式推出，也因此许多玩家早已迫不及待想要游玩这款游戏。什么是电驭叛客2077？这是一款角色扮演游戏，玩家在这个游戏的世界中，扮演一名叫做V的佣兵，来进行各式的任务。这款由波兰游戏业者CD Projekt开发的游戏，支援多种平台，不仅有Windows版本，也提供PlayStation 4与Xbox One等电玩主机适用的版本，亦于Google Stadia串流游戏平台上架。究竟“电驭叛客2077”有多热门？这款游戏推出至今约2周，已经卖出超过1,300万套。

然而，在这款游戏推出不久，12月15日，有一名ID为Sh33tos的研究人员在推特上贴文指出，有个网址为cyberpunk2077mobile[.]com的网站，提供疑似是游戏安装档案的CyberPunk2077Mobile.apk，他也将这个Android安装档案上传到VirusTotal比对，但没有提及分析的结果。由此我们推断，当时许多防毒软件无法察觉异状，而从VirusTotal比对的结果来看，65个防毒软件目前只有29个判别为病毒，换言之，不到一半的防毒软件察觉这个APK档案有害。

cyberpunk2077mobile\\.com downloads -> CyberPunk2077Mobile.apk

SHA-25685763589171b520806c08fd836010a4ca264ffa3dbf428cc4797fefa9136a189https://t.co/dLNG9miPy1

— Sh33tos (@huntingneo) December 14, 2020

有研究人员发现，佯称是Android版电驭叛客2077（Cyberpunk 2077）安装档案Cyberpunk2077mobile.apk，并上传到VirusTotal分析，目前为止，65个防毒引擎有29个能识别有害，仅有接近半数的防毒软件会发出警示或予以拦截。

这个宣称提供测试版本的电驭叛客2077冒牌网站，为何会引起许多资安人员关注？因为，这款游戏官方根本没有推出Android版本，唯一能够在Android手机上执行的方法，是透过Google Stadia串流平台游玩，基于部分玩家可能不甚清楚系统需求的情况下，提供APK档案很可能会让他们受骗上当。在此情势之下，许多资安研究人员着手进行调查。

其中，受到许多国外媒体引用、揭露资讯较为详细的是卡巴斯基安卓恶意软件分析师Tatyana Shishkova的分析结果。她先是于17日张贴推文指出，骇客架设的冒牌网站伪装成Google Play市集，她分析CyberPunk2077Mobile.apk后发现，这是隶属CoderWare（亦称BlackKingdom）家族的勒索软件，一旦使用者同意这个冒牌游戏软件存取手机里的档案，受害者的手机资料就会被加密并加上副档名coderCrypt。

New Android #Ransomware disguised as #Cyberpunk2077 game.
Downloaded from fake website imitating Google Play Store.
Extension: .coderCrypt
Family: CoderWare/BlackKingdom https://t.co/JBudDP6vG1 pic.twitter.com/TdM4SAkFWl

— Tatyana Shishkova (@sh1shk0va) December 16, 2020

Tatyana Shishkova在推特公布相关发现后，她随后于23日在卡巴斯基部落格公开更多细节。首先，针对上述的Android版冒牌游戏，她指出下载网页宣称档案大小为3.4GB，但实际上取得的档案仅3MB，落差相当大。

一旦使用者安装了该APK档案后，这款详称是手机测试版的电驭叛客2077，便会要求受害者允许应用程序存取装置的档案。由于大部分的游戏都会因为储存进度等因素，向使用者取得这项权限，一般人往往不疑有他，很自然的按下同意按钮。

但在受害者允许冒牌游戏存取电脑档案后，随即就会看到勒索讯息，内容大致上是指出手机的档案已被CoderWare勒索软件加密，受害者想要复原档案，必须在指定时间内支付价值500美元的比特币赎回，这些骇客甚至要胁，如果不愿意在时限内付款，他们就会把手机里的资料清除。不过，Tatyana Shishkova提到，勒索讯息似乎是拼凑出来的，因为，里面提到支付赎金的期限，在不同的字句里就有10小时和24小时两种说法。

另外，稍微值得庆幸的是，对于已经遭到加密的Android装置，Tatyana Shishkova说档案应该可以救得回来。原因是他们发现，骇客采用RC4对称加密算法，并且把加密金钥写死在App里面，这意味着该加密金钥也可以用来解密档案。而且，经过测试与反组译程式码后，她发现该勒索软件并不会在超过宣称的10小时或24小时，清除受害手机的档案。而对于手机档案已经被加密的受害者，她认为可以把这些遭到加密的档案先备份出来，再试图解密。

除了上述冒牌的Android版电驭判客2077之外，Tatyana Shishkova表示他们还看到了锁定Windows装置的勒索软件，但与前述的Android版本不同的是，金钥并未写死在勒索软件，而是在加密的时候动态产生，这些受害电脑的档案恐怕难以救回。

从卡巴斯基揭露的Windows版CoderWare勒索软件执行档案加密后，所出现的勒索讯息的屏幕截图来看，文句排列较Android版整齐，同时也于屏幕下方提醒受害者剩余付款时间。