Kötü niyetli VBScript tabanlı bir tehdit olan Lcryx fidye yazılımı, Şubat 2025’te Kasım 2024’teki ilk görünüşünden sonra yeniden ortaya çıktı.
Dosyaları şifrelemekle bilinir .lcryx Uzatma ve talep eden 500 $ ‘lık şifre çözme için Bitcoin, bu fidye yazılımı, Windows sistemlerini kilitlemek ve algılamadan kaçmak için gelişmiş tekniklerle gelişmiştir.
Sistem araçlarını devre dışı bırakmak ve ayrıcalıkları yükseltmek
Fidye yazılımı, idari ayrıcalıklarla çalışmasını sağlayarak, gerekirse kendini yeniden başlatarak başlar.
Operasyonel olduktan sonra, Windows kayıt defteri ayarlarını değiştirerek görev yöneticisi, komut istemi ve kayıt defteri düzenleyicisi gibi kritik sistem araçlarını devre dışı bırakır.
Ayrıca, kontrol paneline erişimi engeller ve kullanıcı hesabı kontrolü (UAC) istemlerini kapatır ve kötü amaçlı yazılımın kesintisiz komutları yürütmesine izin verir.
Kullanıcı kontrolünü daha da bozmak için LCRYX, tanısal araçların yürütülmesini önler. msconfig.exe– gpedit.mscVe procexp.exesüreçlerini analiz etme veya sonlandırma girişimlerini etkili bir şekilde engellemek.
Komut dosyası ayrıca sistemi işlemleri için aktif tutmak için hareketsizlik zaman aşımlarını devre dışı bırakır.
Kalıcılık mekanizmaları ve dosya şifrelemesi
LCRYX, gibi anahtar sistem işlemleri için kendisini varsayılan kabuk ve hata ayıklayıcı olarak ayarlayarak kalıcılığı sağlar. cmd.exe.
Ayrıca, kayıt defteri ayarlarını HTTP ve HTTPS bağlantıları için işleyici olarak hareket ettirerek web bağlantıları tıklandığında yürütülmesini sağlar.
Kötü amaçlı yazılım, kullanıcı etkileşimlerini daha da bozmak için klavye tuşlarını ve fare düğmelerini değiştirir.
Şifreleme için Lcryx, Sezar şifre ve XOR şifreleme tekniklerinin bir kombinasyonunu kullanır.
Yedeklemeleri ve gölge kopyalarını silerken orijinal dosyaları şifreli sürümlerle değiştirir vssadmin Ve wbadmin komutlar.
K7 Güvenlik Laboratuarları raporuna göre, bu geleneksel yollarla iyileşmenin neredeyse imkansız olmasını sağlıyor.
Fidye yazılımı, görev yöneticisi ve kayıt defteri düzenleyicisi gibi temel işlemleri düzenli aralıklarla sonlandırmak için Windows Management Enstrümantasyonu (WMI) kullanır.
Ayrıca, disk sürücülerinin ana önyükleme kaydını (MBR) kötü niyetli içeriğe sahip olarak yazması için PowerShell komutlarını yürütür ve sistemi özel kurtarma araçları olmadan etkisiz hale getirir.
Tespitten kaçınmak için LCRYX, Windows Defender, Bitdefender ve Kaspersky gibi popüler antivirüs çözümlerinin gerçek zamanlı izleme özelliklerini devre dışı bırakır.
Ayrıca özelliklerini “gizli”, “sistem” ve “salt okunur” olarak ayarlayarak dosyalarını gizler.
Dosyaları şifreledikten sonra LCRYX, masaüstünde kurbanlara belirli bir web sitesini ziyaret etmelerini ve şifre çözme anahtarları için Bitcoin’deki fidye ödemelerini öğreten bir fidye notu oluşturur.
Bazı varyantlarda, kötü amaçlı yazılım, kurbanın IP adresini açığa çıkaran veya hesap makinesi gibi ilgisiz uygulamalar açan pop-up’lar göstererek psikolojik baskı ekler.
Lcryx fidye yazılımının yeniden canlanması, VBScript tabanlı tehditlerin artan sofistike olmasını vurgulamaktadır.
Güvenlik önlemlerini devre dışı bırakma, dosyaları etkili bir şekilde şifreleme ve sistem işlevselliğini bozma yeteneği, sağlam siber güvenlik savunmalarının önemini vurgulamaktadır.
Kullanıcılara K7 Total Güvenlik gibi kapsamlı güvenlik çözümleri dağıtmaları ve bu tür saldırılardan kaynaklanan riskleri azaltmak için düzenli yedeklemeler yapmaları önerilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free