CRYPTTECH BLOG

Ryuk Genel bakış Kripto paraların popülerliğinin artması ve takip edilebilirliğinin zor olmasından dolayı kripto para cinsinden fidye isteyen zararlı yazılımların sayısı her geçen gün artmaktadır. Sisteme bulaşıp sistemdeki dosyaları şifreleyip, belirli bir para karşılığı dosyalarınızı tekrardan eski haline getireceğini söyleyen zararlı yazılım türüne fidye yazılımı denir. WannaCry, BadRabbit, Petya bunlardan en çok duyulanlarıdır. Ryuk zararlısı da bir fidye yazılımı olup Hermes fidye yazılımını geliştiren grupla bağlantısı olduğu idda ediliyor. Özet Bu analiz, 2018 yılının Noel zamanı aktivitesini arttıran Ryuk fidye yazılımının neler yaptığını anlatmaya yöneliktir. Ryuk, başka bir dropper içerisinde gelip kendini ortaya çıkartıyor. Zararlının amacı sistemdeki dosyaları şifreleyip, kurbandan para almak. Kullanılan MITRE ATT&CK vektörleri ve sürecin genel olarak işleyişi hakkında bilgileri aşağıdaki görsellerde bulabilirsiniz. Temel Bilgiler Bu b...

                                                      Genel Bakış GandCrab bir tür fidye yazılımıdır (ransomware). Fidye yazılımları bilgisayarınızdaki dosyaları şifreler ve şifre çözme karşılığında sizden fidye talep eder. GandCrab ilk olarak Ocak 2018'in sonunda görüldü. Şu ana kadar bilinen beş farklı sürümü yayınlandı. Bilinen son sürüm GandCrab v5.0.5 29 Ekim 2018 tarihinde yayınlandı. İlk sürümleri için bir şifre çözme aracı (decryption tool) yayınlandı. Bütün kullanıcı bilgilerini tutan bir web server keşfedildi, hacklendi ve özel anahtarlar ele geçirildi. Bazı şanslı kurbanlar fidye ödemek zorunda kalmadan şifrelenmiş dosyalarını kurtarabildiler. Hack olayı zararlının yazarı tarafından da doğrulandı ama aynı hafta GandCrab v2.0 yayınlandı ve server gelecekteki saldırılara karşı güçlendirildi. GandCrab diğer fidye yazılımlarından farklı olarak ...

NotPetya zararlı yazılımı ile aynı yazılımcılar tarafından geliştirildiği düşünülen BadRabbit, 24 Ekim 2017 tarihinde Ukrayna, Almanya, Türkiye ve Bulgaristan olmak üzere ağırlıklı olarak Doğu Avrupayı hedef almıştır. Fidye karşılığı olarak 0,05 Bitcoin talep edilmiştir. SMB'yi (Server Message Block) kullanarak ağ üzerinde yanal hareketlerle yayılmaktadır. NotPetya'dan ayıran en büyük özelliği ise ilk vektörün farklı olmasıdır. BadRabbit web sitesi üzerinden çalıştırılabilir dosya ile bulaşmaktadır. BadRabbit Nasıl Bulaşır? Zararlı yazılımın etkisi altında olan web siteleri tarafından normal bir güncelleme işlemi gibi kendini tanıtan BadRabbit, “Adobe Flash Güncelleme” isteği ile mağduru güncelleme yapmaya sevk eder. Mağdur kendi elleriyle güncelleme işlemi için güncelleme isteği üzerine tıklar ve indirme işlemini tamamalar. NotPetya direk sisteme bulaşır ancak BadRabbit, indirilen dosyayı çalıştırmaz ise herhangi bir aksiyon gerçekleştirmez. "install_flash_...