Yengeç Pençelerinde: Fidye Yazılımının Yeni Sürümü Ruslar Dışındaki Herkese Vuruyor

Okuma zamanı: 5 dakika

Siber suçlular ile siber güvenlik savaşçıları arasındaki silahlanma yarışı muazzam bir hızla artıyor. Kötü amaçlı yazılım yazarları, tespit edilen ve etkisiz hale getirilen kötü amaçlı yazılımlara, en yeni kötü amaçlı yazılımdan koruma ürünlerini atlamak için yeni, daha karmaşık örneklerle anında tepki verir. GandCrab, bu tür yeni nesil kötü amaçlı yazılımların parlak bir temsilcisidir.

İlk olarak Ocak 2018'de keşfedilen bu gelişmiş, kurnaz ve sürekli değişen fidye yazılımının halihazırda birbirinden önemli ölçüde farklılaşan dört sürümü var. Siber suçlular, daha sert şifreleme ve tespit edilmekten kaçınma için sürekli olarak yeni özellikler ekledi. Comodo kötü amaçlı yazılım analistlerinin keşfettiği son örnekte yepyeni bir şey var: Tespit edilmekten kaçınmak için Minik Şifreleme Algoritmasını (TEA) kullanıyor.

GandCrab'i analiz etmek belirli bir yeniliğin keşfi olarak yararlı değildir. kötü amaçlı yazılım, bazı araştırmacılar bunu "Fidye yazılımının yeni kralı" olarak adlandırdı. Bu, modern kötü amaçlı yazılımların yeni siber güvenlik ortamına nasıl yeniden uyum sağladığının açık bir örneğidir. Öyleyse GandCrab'ın evriminin derinliklerine inelim.

Tarih

GandYengeç v1

Ocak 2018'de keşfedilen GandCrab'in ilk sürümü, kullanıcıların dosyalarını benzersiz bir anahtarla şifreledi ve DASH kripto para biriminde zorla fidye aldı. Sürüm, RIG EK ve GrandSoft EK gibi yararlanma kitleri aracılığıyla dağıtıldı. Fidye yazılımı kendini kopyaladı“%appdata%Microsoft” klasör ve sistem sürecine enjekte edildi Nslookup.exe.

İlk bağlantıyı kurdu pv4bot.whatismyipaddress.com virüslü makinenin genel IP'sini bulmak ve ardından çalıştırmak için nslookup ağa bağlanma işlemi gandcrab.bit a.dnspod.com ile ".biraz" Üst düzey alan.

Bu sürüm siber uzayda hızla yayıldı, ancak zaferi Şubat ayının sonunda durduruldu: bir şifre çözücü oluşturulup çevrimiçi olarak yerleştirildi, böylece kurbanların, faillere fidye ödemeden dosyalarının şifresini çözmelerine olanak tanındı.

GandYengeç v2

Siber suçlular yanıt üzerinde uzun süre kalmadı: Bir hafta içinde GandCrab sürüm 2 kullanıcılara ulaştı. Şifre çözücüyü işe yaramaz hale getiren yeni bir şifreleme algoritması vardı. Şifrelenmiş dosyalar .CRAB uzantısına sahipti ve sabit kodlu alanlar şu şekilde değiştirildi: ransomware.bit ve Zonealarm.bit. Bu sürüm Mart ayında spam e-postalar yoluyla yayıldı.

GandYengeç v3

Bir sonraki sürüm, kurbanın masaüstü duvar kağıtlarını fidye notuna dönüştürme olanağı sağlayan yeni bir özellik ile Nisan ayında ortaya çıktı. Masaüstü ve fidye pankartı arasında sürekli geçişin amacı kesinlikle kurbanlar üzerinde daha fazla psikolojik baskı oluşturmaktı. Bir diğer yeni özellik ise RunOnce otomatik çalıştırma kayıt defteri anahtarıydı:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncewhtsxydcvmtC:Belgeler ve AyarlarYöneticiUygulama VerileriMicrosoftyrtbsc.exe

GandYengeç v4

Son olarak, Gandcrab v4'ün yeni dördüncü sürümü, yeni bir şifreleme algoritması da dahil olmak üzere çeşitli önemli güncellemelerle Temmuz ayında karşımıza çıktı. Comodo analistinin keşfettiği gibi, kötü amaçlı yazılım artık tespit edilmekten kaçınmak için David Wheeler ve Roger Needham tarafından simetrik şifreleme temelinde geliştirilen en hızlı ve etkili şifreleme algoritmalarından biri olan Tiny Encryption Algorithm'i (TEA) kullanıyor.

Ayrıca tüm şifrelenmiş dosyalar artık CRAB yerine .KRAB uzantısına sahip.

Ayrıca siber suçlular fidye yazılımının yayılma yolunu da değiştirdi. Artık sahte yazılım crack siteleri aracılığıyla yayılıyor. Bir kullanıcı böyle bir "doldurma" crack'ini indirip çalıştırdığında, fidye yazılımı bilgisayara düşer.

İşte bu tür sahte yazılım çatlamalarının bir örneği. Crack_Merging_Image_to_PDF.exegerçekte GandCrab v4'tür.

Bir kullanıcı bu dosyayı çalıştırırsa ne olacağını ayrıntılı olarak görelim.

Kaputun altında

Yukarıda belirtildiği gibi, GandCrab Ransomware Algılanmayı önlemek için güçlü ve hızlı TEA şifreleme algoritması kullanır. Şifre çözme rutin işlevi GandCrab düz dosyasını alır.

Şifre çözme işlemi tamamlandıktan sonra, orijinal GandCrab v4 dosyası düşer ve çalışır ve öldürme baskını başlar.

Fidye yazılımı ilk olarak CreateToolhelp32Snapshot API ile aşağıdaki işlemlerin listesini kontrol eder ve çalışan herhangi birini sonlandırır:

Daha sonra fidye yazılımı klavye düzenini kontrol eder. Eğer Rus ise, GandCrab infazı derhal sonlandırır.

URL Oluşturma Süreci

Önemli bir şekilde, GandCrab her ana bilgisayar için URL oluşturmak amacıyla belirli bir rastgele algoritma kullanır. Bu algoritma aşağıdaki modele dayanmaktadır:

http://{host}/{value1}/{value2}/{filename}.{extension}

Kötü amaçlı yazılım sürekli olarak modelin tüm öğelerini oluşturarak benzersiz bir URL oluşturur.

Kötü amaçlı yazılım tarafından oluşturulan URL'yi sağ sütunda görebilirsiniz.

Bilgi toplama

GandCrab, virüslü makineden aşağıdaki bilgileri toplar:

Daha sonra bir kontrol yapar antivirüs çalışıyor…

… ve sistem hakkındaki bilgileri toplar. Bundan sonra toplanan tüm bilgileri XOR ile şifreler ve Komuta ve Kontrol sunucusuna gönderir. Önemli bir şekilde, şifreleme için Rusça'da müstehcen bir dil olan "jopochlen" anahtar dizisini kullanıyor. Bu, kötü amaçlı yazılımın Rusya menşeli olduğuna dair bir başka açık işaret.

Anahtar Üretimi

Fidye yazılımı, Microsoft Şifreleme Sağlayıcısı'nı ve aşağıdaki API'leri kullanarak özel ve genel anahtarlar oluşturur:

Şifreleme işlemine başlamadan önce, kötü amaçlı yazılım bazı dosyaları kontrol eder…

… ve şifreleme sırasında atlanacak klasörler:

Bu dosyalar ve klasörler fidye yazılımının düzgün çalışması için gereklidir. Bundan sonra GandCrab kurbanın dosyalarını şifrelemeye başlar.

fidye

fidye

Şifreleme bittiğinde GandCrab, fidye notu olan KRAB-DECRYPT.txt dosyasını açar:

Kurban, faillerin talimatlarını takip edip TOR sitesine giderse, sayaçla birlikte fidye pankartını görecektir:

Ödeme sayfasında fidyenin nasıl ödeneceğine ilişkin ayrıntılı talimatlar yer almaktadır.

Comodo siber güvenlik araştırma ekibi GandCrab iletişim IP'lerinin izini sürdü. Aşağıda bu IP listesindeki ilk on ülke yer almaktadır.

GandCrab dünyanın her yerindeki kullanıcılara ulaştı. Kötü amaçlı yazılımdan etkilenen ilk on ülkenin listesi aşağıdadır.

Comodo Tehdit Araştırma Laboratuvarları Başkanı Fatih Orhan, "Analistlerimizin bu bulgusu, kötü amaçlı yazılımların siber güvenlik sağlayıcılarının karşı önlemlerine uyum sağlama hızının hızla değiştiğini ve geliştiğini açıkça gösteriyor" diyor. “Açıkçası siber güvenlik alanındaki tüm süreçlerin yoğun bir şekilde katalizör olduğu bir çağın eşiğindeyiz. Kötü amaçlı yazılımlar yalnızca nicelik olarak değil, aynı zamanda anında taklit etme yeteneği açısından da hızla büyüyor. İçinde Comodo Siber Güvenlik 2018 Birinci Çeyrek Tehdit Raporufidye yazılımının boyutunun küçültülmesinin sadece güçlerin yeniden konuşlandırılmasından ibaret olduğunu ve yakın gelecekte güncellenmiş ve daha karmaşık örneklerle karşılaşacağımızı öngördük. GandCrab'ın ortaya çıkışı bu eğilimi açıkça doğruluyor ve gösteriyor. Bu nedenle siber güvenlik pazarının, yepyeni fidye yazılımı türleriyle dolu yaklaşan saldırı dalgalarıyla yüzleşmeye hazır olması gerekiyor.”

Comodo ile güvenli yaşayın!

Alakalı kaynaklar:

DENEME SÜRÜMÜNE BAŞLA ANINDA GÜVENLİK PUANINI ÜCRETSİZ ALIN

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://blog.comodo.com/comodo-news/gandcrab-the-new-version-of-ransomware/