Fidye yazılımı, dünya çapında birçok kuruluşa milyonlarca dolar katkıda bulunan, kuruluşlara yönelik en büyük tehditlerden biri olmuştur.
Bu fidye yazılımı operatörlerinin çoğu sistemlere sızıyor, hassas verileri çalıyor ve sistemleri fidye yazılımıyla kilitliyor.
Geçmişte WannaCry, GandCrab ve diğerleri gibi çeşitli fidye yazılımı faaliyetleri yaşandı.
Fidye yazılımı operatörlerinin çoğu, operasyonları için özel olarak yazılmış fidye yazılımı kullanıyor. Ancak son yıllarda Python tabanlı fidye yazılımı türlerinde bir artış oldu.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Yeni Python Fidye Yazılımı
K7 laboratuvarlarının raporuna göre yakın zamanda bir fidye yazılımı örneği bulundu ve araştırıldı. Yaygın olmayan Python’da yazıldığı ortaya çıktı. Fidye yazılımı ikili dosyası VirusTotal’da kontrol edildi ve 47 antivirüs sağlayıcısı tarafından tespit edildi.
Kötü amaçlı dosyanın C++ dilinde derlenmiş yürütülebilir bir dosya olduğu tespit edildi. Üstelik yürütülebilir dosyanın, orijinal uzantısını gizlemek için bir PDF simgesi vardı. Daha fazla araştırma yapmak için, kötü amaçlı PDF dosyası pyinstxtractor ile çıkarıldı. Daha ileri analizler, “grinchv3.pyc” adı altındaki ana kaynak kod dosyasını ortaya çıkardı.
Davranış Analizi
Komut dosyası, “tatlı” adı verilen tek bir sınıf altında birkaç satır kodla yazılmıştır. Sınıfın __init__ işlevi ek bilgiler toplar ve aşağıdaki işlevleri gerçekleştirir.
- Kurban makinenin mevcut kullanıcısını getirir
- Sürücü bölümü taraması (A:\’dan Z:\’ye taranır)
- Şifrelenecek dosyaların türünü belirleme
Üstelik şifrelenecek tüm dosya yollarına “UNLOCK MY FILES.txt” adı altında kilit açma notları eklendikten sonra şifreleme başlatılıyor. Şifreleme için Fernet Python şifreleme modülü kullanıldı. Şifrelemenin ardından kullanıcıya gösterilecek bir açılır mesaj yapılandırılır.
Şifrelenmiş dosyaların tümü “.enc” uzantısı altındadır ve fidye yazılımı bunları şifreledikten sonra okunamaz halde kalır. Ayrıca fidye notları, saldırganın şifreyi çözmek için iletişime geçeceği e-posta adresini de içerir.
K7 Security Labs, bu yeni Python fidye yazılımı çeşidi hakkında eksiksiz bir rapor yayınladı. Bu yeni Python tabanlı fidye yazılımı kaynak kodu, şifreleme metodolojisi, deneysel ve davranışsal analiz hakkında ayrıntılı bilgi sağlar.
Uzlaşma Göstergeleri
Doğramak | Algılama Adı |
C967B8198501E3CE3A0E323B37D94D15 | Truva atı ( 005af6051 ) |