小心！你装的赛博可能是个假赛博 – 作者:安全豹-安全小百科

概述

波兰游戏公司CD Project RED耗时八年的大制作《赛博朋克2077》在经历了三次跳票之后，终于在12月10日发售了！众多游戏玩家第一时间涌进steam，享受“过年般的狂欢”。赛博朋克的话题度在近日仍旧居高不下，隐隐有破圈之势，其在B站的相关视频高达上千个，最高观看数近500万，甚至一些手游厂商为了赶上这波热度，抓紧开发赛博朋克相关手游，在游侠上一款名为“赛博朋克2077手游”的安卓版本已经处于可“预约”状态。

赛博朋克2077热度之高，连不法分子也盯上了这款游戏，某钓鱼网站已经发布了“赛博手游的勒索版”，此apk程序在手机端图标显示如下：

用户尝试安装之后，其手机稍等便会弹出被勒索的页面。用户如果想要恢复数据，需要向指定的比特币地址支付500$。如下图所示：

同时手机里的文件也已经被加密了：

其加密方式并不复杂。首先通过检查读写权限，权限不够的话申请权限。一旦拥有“读写”权限，开始进入加密主函数。

加密主函数依次对“SDCARD根路径”、“mnt”、”mount”、“sdcard”、“storage”路径下的文件进行加密。

进入CryptDir函数之后，会迭代加密文件夹的所有文件，其操作主要有两点：

1）过滤掉文件名中包含“.coderCrypt”或是“README.txt”的文件，此两类文件不可加密

2) 当路径为目录时，将写有勒索信息的README.txt文件保存至此目录中

3）当路径为文件时，使用RC_4算法开始加密

其加密算法的特征与RC_4相同，笔者已经使用RC_4解密算法对一”加密后的截图“文件进行了解密：

即使中了CyberPunk2077手机版勒索病毒的用户也不要过分恐慌，此被加密之后的文件仍旧可以使用简单的工具进行还原。

溯源：

此伪造的CyberPunk2077手机客户端最早出现在cyberpunk2077mobile.com钓鱼网站中。通过其ip进行溯源，找到一批类似的钓鱼网站，此部分钓鱼网站涵盖“新闻”、“游戏”、“支付”、“交友平台”等，如下表展示：

malesto.com	未知
m-pubgmobile.com	手机版pubg
helpcentre-facebook.com	facebook帮助中心
help-instagramcopyright.com	instagram版权中心
confirm-tiktok.com	抖音确认界面
thepeoplenew.org	新闻类
helpcenter-verifiedbadges.com	确认中心
www-play-google.com	谷歌商店
finans-krediniz.com	贷款界面（土耳其语）
cyberpunk2077mobile.com	手机版赛博朋克
cheatpubg.in	pubg作弊器
kalhera.com	印度小镇
yazalimyapi.com	印度小镇
trcloaker.com	未知，猜测与游戏有关
angry-williamson.20-51-209-205.plesk.page	体育热点