Okuma zamanı: 4 dakikaÇoğu insan fidye yazılımlarının farkındadır, özellikle de Comodo blog bölümünü ve benzer yayınları düzenli olarak okuyanlar. Bunu yapmayanlar için fidye yazılımı, saldırganın kurbanın bilgisayarındaki veya sunucusundaki tüm dosyaları şifreleyerek onları tamamen kullanılamaz hale getirdiği bir saldırıdır. Saldırgan daha sonra dosyaların şifresini çözmek için genellikle Bitcoin'de bir fidye olan bir ücret talep eder. Suçlunun bakış açısından saldırının güzelliği, şifreleme gerçekleştikten sonra kurban için neredeyse hiçbir zaman bir çözüm olmamasıdır. Hiçbir antivirüs, teknik uzmanlardan yardım, polis gücü ve hiçbir ağlama bu dosyaları sizin için kurtaramaz. Şifre çözme anahtarına sahip olmalısınız veya dosyalarınıza elveda öpücüğü vermelisiniz.
Bu silahın acımasız namlusuna bakan birçok yüksek profilli kurban, ücreti ödemekten başka seçeneklerinin olmadığını görüyor. İşlerine devam etmek veya hizmetlerini topluma sunmak için bu dosyalara ihtiyaçları var ve herhangi bir kesintiyi göze alamazlar. Hastaneler, devlet daireleri, hayır kurumları, üniversiteler, sulh ceza mahkemeleri ve gazete büroları, pes eden ve fidye ödeyen büyük kurumlara sadece birkaç örnektir.
Fidye yazılımı genellikle şuralara yayılır: Airdrop Formu Truva atı programı. Bunlar, yüklediğinizde sizi normal bir program olduklarını düşündüren, ancak aslında sürücülerinizi şifreleyen kötü amaçlı bir yürütülebilir dosya olduklarına inandıran programlardır. Her fidye yazılımı parçasının, hedef makineye bulaşmanın kendine özgü bir yolu vardır ve her biri, tespit edilmekten kaçınmak için çeşitli düzeylerde gizleme kullanır. Bu blog, Comodo'nun önde gelen mühendislerinden birinin böyle bir parçanın iç işleyişine dair derinlemesine bir incelemesidir. fidye – WONSYS.
WONSYS Fidye Yazılımı Nedir?
Wonsys, kriptor yazılımı tarafından gizlenen veya UPX, ASPROTECT veya VMPROTECT gibi bir dosyaya paketlenen bir kötü amaçlı yazılım türüdür. Gerçek yürütülebilir dosya wonsys.exe, görünüşte masum olan başka bir programın derinliklerine gömülüdür, dolayısıyla daha önce bahsettiğimiz truva atlarından biridir. Bu, bir suçlunun, tespit edilmesini önlemek için kullandığı yaygın bir yöntemdir. antivirüs bir üretim ve ürünler geliştirmeye adamıştır.
Kötü amaçlı yazılım kendisini hedef bilgisayara bırakır ve ShellExecuteW olan SHELL32 API'sini kullanarak çalışır:
Fidye yazılımı kullanıcı tarafından çalıştırıldığında, kayıt defterinde bir "RunOnce" anahtarı oluşturur:
Ayrıca, hepsini şifreleyebilmesi için hedef makinedeki tüm sürücüleri sayar:
Wonsys daha sonra kapatılması gereken süreçlerin bir 'öldürme listesi' oluşturur. Bunlar, çalışır durumda bırakılırsa Wonsys'in tüm sisteme bulaşmasını potansiyel olarak engelleyebilecek programlardır. Spesifik olarak, Word, PowerPoint, Notepad, Thunderbird gibi dosyaları 'kilitleyebilen' ve böylece şifrelemelerini önleyen programlardır. Bu programları kapattıktan sonra, Wonsys ayrıca dosyaların gölge kopyasını da siler, böylece kullanıcı onları geri yükleyemez:
Komut istemi penceresi, sistem32 klasöründeki COMSPEC aracılığıyla yönetici ayrıcalıklarıyla açılır:
Saldırgan ayrıca API işlevlerini kullanarak tarih, saat biçimi, sistem adı ve yerel ayar bilgilerini toplar ve iplogger.org sitesine ping gönderir, böylece makine hakkında ayrıntılı bilgi toplar.
Wonsys artık ihtiyaç duyduğu tüm bilgilere sahip. Aşağıdaki ekran görüntüsü, 'dccdc'nin, şifrelemeden sonra tüm dosya adlarına ekleyeceği uzantı olduğunu, 'PC-Administrator' bilgisayar adının ve 'C:' sürücüsünün bulaşacağı sürücü olduğunu göstermektedir:
Son olarak WONSYS fidye makinedeki tüm dosyaları şifreleyerek yükünü serbest bırakır. Kullanıcının açabileceği şifrelenmemiş tek dosya olan 'CLICK_HERE-dccdc.txt' dışında tüm dosyalar '.dccdc' uzantısıyla bırakılır:
Bu .txt dosyası, saldırganın kurbana bir sonraki adımda ne yapacağını söyleme şeklidir. Her virüslü makineye kendi kimliği ve kişisel anahtarı verilir. Not, kullanıcıya bir sohbet hizmetine giriş yapmak için bu bilgilere ihtiyaç duyacakları bir web sayfasını ziyaret etmesini söyler:
Not, sohbetin, dosyalarını kurtarmalarına yardımcı olacak nazik bir operatörle dostane bir hizmet olduğu izlenimini yaratmaya çalışır. Gerçekte, sohbet, bilgisayar korsanının ödemelerini Bitcoin olarak talep ettiği veya kurbanın dosyalarının sonsuza kadar kaybolduğu yerdir.
Web Sitesi Kötü Amaçlı Yazılım Tarayıcı
Fidye Yazılımı Koruma Yazılımı
Sonrası WONSYS – Bir Fidye Yazılım Saldırısının Anatomisi İlk çıktı Comodo Haberleri ve İnternet Güvenliği Bilgileri.
- a
- Türkiye
- miktar
- analiz
- anatomi
- Başka
- antivirüs
- ayrı
- api
- Güzellik
- altında
- Bitcoin
- Engellemek
- Blog
- iş
- seçim
- kapanış
- Toplama
- ortak
- tamamen
- bilgisayar
- devam etmek
- olabilir
- Mahkemeler
- yaratmak
- oluşturur
- Ceza
- ağlayan
- derin
- talepleri
- detaylı
- Bulma
- ekran
- aşağı
- Kesinti
- sürücü
- her
- şifreleme
- Mühendisler
- örnekler
- uzmanlara göre
- Ad
- sonsuza dek
- biçim
- itibaren
- fonksiyonlar
- Hükümet
- Hacker
- yardım et
- at
- Hastanelerinden olan İstanbul Cerrahi Hastanesi'nde
- Ne kadar
- HTTPS
- bilgi
- bilgi
- kurmak
- kurumları
- Internet
- Internet Security
- IT
- kendisi
- anahtar
- önemli
- seviyeleri
- makine
- büyük
- Yapımı
- kötü amaçlı yazılım
- adı geçen
- ihtiyaçlar
- haber
- sonraki
- normal
- Ofisler
- açık
- Şebeke
- kendi
- paketlenmiş
- ödenmiş
- ödeme
- İnsanlar
- kişisel
- parça
- Nokta
- Bakış açısı
- Polis
- Süreçler
- Ürünler
- Programı
- Programlar
- koruma
- sağlamak
- yayınlar
- Fidye
- fidye
- Fidye Yazılımı Saldırısı
- Gerçeklik
- Kurtarmak
- koşmak
- koşu
- güvenlik
- hizmet
- Hizmetler
- birkaç
- gölge
- benzer
- tek
- yer
- So
- Toplum
- Yazılım
- çözüm
- özellikle
- yayılma
- sistem
- Hedef
- Teknik
- anlatır
- The
- Düşünme
- İçinden
- zaman
- Truva
- benzersiz
- Üniversiteler
- genellikle
- kurbanlar
- Görüntüle
- ağ
- Ne
- DSÖ
