Avast’taki araştırmacılar, Funksec fidye yazılımlarının kurbanları için ücretsiz bir şifreleme aracı tanıttılar ve şimdi yok olan bu kötü amaçlı yazılım zorluğuyla mücadelede önemli bir adım işaretlediler.
Kolluk kuvvetleri ile işbirliği içinde geliştirilen şifreden etkilenen kullanıcıların fidye ödemeden şifreli dosyaları kurtarmalarını sağlar.
Fidye yazılımı operasyonu aktif olarak kabul edilen Avast, aracı kamuya açık hale getirdi ve çetenin sızıntı alanında listelenen 113 belgelenmiş kurbanı hedef aldı.
Fidye yazılımı tehdidine genel bakış
Funksec’in faaliyetlerinin zaman çizelgesi, 4 Aralık 2024’ten itibaren Veri Defiltrasyonu ve Gasardan, 15 Aralık 2024 yılına kadar Virustotal üzerindeki başlangıç kaynak kodunun yüklenmesine ve 31 Aralık 2024’te ortaya çıkan ilk fidye yazılımı örneğine bir ilerlemeyi ortaya koymaktadır.
Operasyonlar, 15 Mart 2025’te bildirilen en son kurbanla zirveye çıktı ve bundan sonra grup etkinliği durdurdu.
Özellikle, Funksec, operasyonlarının yaklaşık% 20’sinde yapay zeka içeriyordu, AI’yı siber tehditlerde makine öğreniminin gelişen rolünü vurgulayan araçlar ve kimlik avı şablonları üretmek için kullandı.
Bununla birlikte, birçok fidye yazılımı örneği kusurlu ve işlevsel değildi, genellikle Imgur’dan Hxxps: //i.imgur.com/hcyqovr.jpeg ve hxxps: //i.imgur.com/mluvwyt.jpeg gibi harici görüntülere dayanıyordu.
Teknik analiz
Pas programlama dilinde kodlanmış Funksec fidye yazılımı, şifreleme rutinleri için Orion-Rs Cryptografik Kütüphane sürümünü 0.17.7 kullanır ve anahtar, olmayan, blok uzunlukları ve CIPEREXT’in kendisi de dahil olmak üzere şifreli verilerin bütünlüğünü sağlamak için ChaCha20 Stream Cipher kullanır.
Dosyalar 128 baytlık bloklarda işlenir, her blok 48 bayt meta veri ekler ve bu da orijinallerinden yaklaşık% 37 daha büyük şifreli dosyalara neden olur.
Rapora göre, kötü amaçlı yazılım, sistem işlevselliğini veya kendi kalıcılığını bozmaktan kaçınmak için .exe, .dll, .pdf ve .mp3, .xlsx ve .ZIP gibi belirli uzantıları atlarken dosyaları şifreleyerek yerel sürücüleri sistematik olarak tarar.
Şifrelemeden önce, tespit ve parazitten kaçınmak için chrome.exe, outlook.exe ve taskmgr.exe gibi kritik işlemleri makul, bit ve windeFend gibi hizmetlerle birlikte sonlandırır.
Enfekte edilmiş dosyalar bir “.funksec” uzantısı alır ve etkilenen her klasöre “ReadMe- {random} .MD” adlı bir fidye notu yerleştirilir ve kurtarma talimatları sağlar.
64 bit yürütülebilir (eski sistemler için 32 bit varyantla) olarak sunulan Avast’ın DeRryptor, idari ayrıcalıklar gerektiren bir sihirbaz arayüzü aracılığıyla çalışır.
Kullanıcılar, tüm yerel sürücülere varsayım yapan ancak belirli dizinler için özelleştirilebilir hedef konumları seçerek başlar ve ardından şifrelemeden önce şifrelenmiş dosyaları yedekleme seçeneği, riskleri azaltmanız önerilir.
Süreç daha sonra dosyaları geri yüklemeye devam ederek, şifrelemenin, saldırganların anahtarlarına ihtiyaç duymadan Chacha20-Poly1305 şifrelemesini tersine çevirmek için funksec’in kriptografik kusurları anlayışından yararlanır.
Bu sürüm sadece kurbanları güçlendirmekle kalmaz, aynı zamanda Funksec’in Orion-RS gibi açık kaynaklı kütüphanelere güvenmesi, şifrelemenin oluşturulmasını sağlayan açık kaynaklı kütüphanelere güvenmesi nedeniyle fidye yazılımlarını azaltmada sağlam kriptografik analizin önemini de vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| IOC Türü | Sha-256 karma |
|---|---|
| Fidye Yazılımı Örneği | C233AC7917CF34294C19DD60F79A6E0FAC5ED6F0CB5AF98013C088A7A1C |
| Başlangıç Kaynak Kodu | 7E223A685D532491BCACF3127869F9F3C5D5100C5E7CB5AF45A227E6AB4603 |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!