Bilgisayar korsanları yeni fidye yazılımı geliştirmek için Python kullanmaya başladı


Fidye yazılımı, dünya çapında birçok kuruluşa milyonlarca dolar katkıda bulunan, kuruluşlara yönelik en büyük tehditlerden biri olmuştur.

Bu fidye yazılımı operatörlerinin çoğu sistemlere sızıyor, hassas verileri çalıyor ve sistemleri fidye yazılımıyla kilitliyor.

Geçmişte WannaCry, GandCrab ve diğerleri gibi çeşitli fidye yazılımı faaliyetleri yaşandı.

Fidye yazılımı operatörlerinin çoğu, operasyonları için özel olarak yazılmış fidye yazılımı kullanıyor. Ancak son yıllarda Python tabanlı fidye yazılımı türlerinde bir artış oldu.

Belge

Posta Kutunuzda Ücretsiz ThreatScan’i Çalıştırın

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.

Yeni Python Fidye Yazılımı

K7 laboratuvarlarının raporuna göre yakın zamanda bir fidye yazılımı örneği bulundu ve araştırıldı. Yaygın olmayan Python’da yazıldığı ortaya çıktı. Fidye yazılımı ikili dosyası VirusTotal’da kontrol edildi ve 47 antivirüs sağlayıcısı tarafından tespit edildi.

Virüstotal Analizi (Kaynak: K7 Security Labs)
Virüstotal Analizi (Kaynak: K7 Security Labs)

Kötü amaçlı dosyanın C++ dilinde derlenmiş yürütülebilir bir dosya olduğu tespit edildi. Üstelik yürütülebilir dosyanın, orijinal uzantısını gizlemek için bir PDF simgesi vardı. Daha fazla araştırma yapmak için, kötü amaçlı PDF dosyası pyinstxtractor ile çıkarıldı. Daha ileri analizler, “grinchv3.pyc” adı altındaki ana kaynak kod dosyasını ortaya çıkardı.

PDF ve pyinstxtractor (Kaynak: K7 Security Labs)
PDF ve pyinstxtractor (Kaynak: K7 Security Labs)

Davranış Analizi

Komut dosyası, “tatlı” adı verilen tek bir sınıf altında birkaç satır kodla yazılmıştır. Sınıfın __init__ işlevi ek bilgiler toplar ve aşağıdaki işlevleri gerçekleştirir.

  • Kurban makinenin mevcut kullanıcısını getirir
  • Sürücü bölümü taraması (A:\’dan Z:\’ye taranır)
  • Şifrelenecek dosyaların türünü belirleme

Üstelik şifrelenecek tüm dosya yollarına “UNLOCK MY FILES.txt” adı altında kilit açma notları eklendikten sonra şifreleme başlatılıyor. Şifreleme için Fernet Python şifreleme modülü kullanıldı. Şifrelemenin ardından kullanıcıya gösterilecek bir açılır mesaj yapılandırılır.

Şifrelenmiş dosyaların tümü “.enc” uzantısı altındadır ve fidye yazılımı bunları şifreledikten sonra okunamaz halde kalır. Ayrıca fidye notları, saldırganın şifreyi çözmek için iletişime geçeceği e-posta adresini de içerir.

Fidye Notu (Kaynak: K7 Security Labs)
Fidye Notu (Kaynak: K7 Security Labs)

K7 Security Labs, bu yeni Python fidye yazılımı çeşidi hakkında eksiksiz bir rapor yayınladı. Bu yeni Python tabanlı fidye yazılımı kaynak kodu, şifreleme metodolojisi, deneysel ve davranışsal analiz hakkında ayrıntılı bilgi sağlar.

Uzlaşma Göstergeleri

Doğramak Algılama Adı
C967B8198501E3CE3A0E323B37D94D15 Truva atı ( 005af6051 )



Source link