Windows sistemlerini hedefleyen Yurei, etkiyi en üst düzeye çıkarmak ve algılamayı en aza indirmek için gelişmiş dosya şifreleme ve gizli teknikler kullanır.
Şifreli dosyalar .yurei uzantısı ile eklenir ve kurbanlar, Tor tabanlı temas kanallarına sahip _readme_yurei.txt adlı bir fidye notu alır.
Cyfirma, Go dilinde geliştirilen ve birden fazla kötü amaçlı yazılım deposunda dolaşan yeni bir fidye yazılımı “Yurei Ransomware” gözlemledi.
Kötü amaçlı yazılım, yükünü geçici dizinlerde aşamalı olarak aşamalı, yedeklemeleri ve günlükleri devre dışı bırakır, SMB hisseleri ve çıkarılabilir medya aracılığıyla yayılır ve adli analiz ve kurtarma çabalarını hayal kırıklığına uğratmak için kendi kendini temizleme rutinlerini yürütür.
Yurei’nin temel rutini, encryptAllDriveNnetwork, bir saldırganın Ecoies genel anahtarıyla sarılmış Dolu başına ChaCha20 tuşlarını kullanarak tüm erişilebilir yerel, ağ ve çıkarılabilir sürücüler üzerindeki verileri hızla şifreler.
Dosyalar, yüksek bellek kullanımından kaçınmak için 2 MIB parçasında işlenir, daha sonra iyileşme şansını azaltmak için atomik olarak değiştirilir. Şifreli öğeler .yurei uzantısını alır ve her dizine profesyonel olarak biçimlendirilmiş bir fidye notu bırakılır.
Kurtarmayı engellemek için Yurei’nin devre dışıbackup işlevi, PowerShell komutlarını çağırır – vssadmin Delete Shadows /All /Quiet Ve wbadmin Delete Catalog -Quiet– Ses gölge kopyalarını ve yedek katalogları kaldırmak için.
Eşzamanlı yazılım, Powershell’s aracılığıyla Windows olayını ve sistem günlüklerini temizler Get-ChildItem -Recurse | Remove-Item -Force Boru hattı ve dosya zaman damgalarını gizlemek için meta verileri değiştirir.
Yanal hareket için Yurei, kimlik temelli tekniklerden yararlanır. Pscredential nesneler oluşturur, CIM oturumları oluşturur ve çalışır net use ve ağa bağlı ana bilgisayarları enfekte etmek için Psexec tarzı uzaktan yürütme.
Stealthpropagation rutini, kökleri paylaşmak için kendisini System32_backup.exe olarak kopyalayarak yazılabilir SMB hisselerini sürekli olarak numaralandırır. Çıkarılabilir sürücüler, yükü windowsupdate.exe olarak kopyalayarak hedeflenir. Bu adla herhangi bir dosya yoksa, şüphesiz kullanıcılar tarafından manuel yürütme olasılığını artırır.
Anti-forsik, kendi kendini temizleme yoluyla daha da geliştirilir: şifreleme ve yayılmadan sonra Yurei, SecuredElete, Cleanstaces ve WipEmemory rutinlerini yürütür.
Bu işlevler, kriptografik olarak güvenli rastgele verileri kullanarak fidye yazılımı ikili üzerinde birden fazla üzerine geçiş gerçekleştirir, dosyayı yeniden adlandırır ve sil, dosya meta verilerini ovmak ve zorla çöp toplama izleyerek bellek içi eserlerin üzerine yazır.
Konsol geçmişi aracılığıyla silinir Clear-Hostve kalıntı yığın verileri, bellek adli tıplarını engellemek için üzerine yazılmıştır.
Analiz ve Kod Yeniden Kullanımı
GO Binary’nin statik analizi, açık kaynaklı Prens-Ransomware projesi ile benzerlikler ortaya koymaktadır. Yurei, işlev ve modül adlarını tutar – InitPrinceKeys() yeniden markalı InitYureiKeys()—Ve Chacha20 + Ekies Şifreleme Şeması, Dosya Başlığı Düzenini paylaşır (sarılı anahtar ve nonce ile ayrılmıştır ||) ve özyinelemeli sürücü numaralandırma mantığı.
Bununla birlikte, Yurei, Prens’in tek iş parçacıklı tasarımı üzerindeki hızı artırarak Go Goroutines aracılığıyla paralel şifreleme getirir. Özellikle, Yurei, Prens’in belirli kenar koşulları altında VSS silinmesini devre dışı bırakamaması ve bazı iyileşme noktalarını sağlam bırakması.
Derleme zamanı meta verileri bir Windows kullanıcı adı ortaya çıkarır (intellocker) ve “SatanlockV2” projesine atıfta bulunan ve diğer fidye yazılımı geliştirme ortamlarıyla bağlar öneren dosya yolları.
İlk olarak 5 Eylül 2025’te görülen Yurei’nin ilk kurbanı bir Sri Lanka gıda üreticisiydi. Fas, Almanya ve Türkiye’den kötü amaçlı yazılım sunumları, Japon ismine “Yūrei” (幽霊) olmasına rağmen geliştiricinin kökenini belirsiz bırakıyor.
Yurei fidye yazılımı, hızlı, parçalanmış şifreleme, KOBİ ve USB yayılımı, çift gasp mesajlaşma ve sağlam anti-forensik ile donatılmış profesyonel sınıf bir tehdidi temsil eder. Cilalı fidye notları, Tor tabanlı iletişim kanalları ve otomatik kendi kendine aşınma rutinleri, hız ve gizlilik için optimize edilmiş olgun bir işlemi yansıtır.
Kodun Prens-Ransomware bileşenlerinin yeniden kullanılması, eşzamanlılık ve kendi kendini temizleme geliştirmeleri eklerken açık kaynak kitlerini uyarlama tehdidi aktörlerinin eğilimini vurgular.
Kuruluşlar, yetkisiz PowerShell infazları için uç nokta izlemeye öncelik vermeli, SMB hisseleri faaliyetlerini denetlemeli, katı USB cihaz kontrollerini uygulamalı ve bu sofistike, çift genişlemeye hazır kötü amaçlı yazılımlara karşı koymak için çevrimdışı yedeklemeleri korumalıdır.
Uzlaşma göstergeleri
| Gösterge | Tip | Notlar |
|---|---|---|
| 1263280C916464C2AA755A81B0F947E769C8A735A74A172157257FCA340E1CF4 | SHA256 | 3dec9093b6da575c8700eb.ps1 |
| 4F88D3977A24FB160FC3BA69821287A197A9B04493D705DC2FE939442BA6461 | SHA256 | Yureiransomware.exe |
| HXXP[:]// birkaç criet5rhoy66k6c4cyvb2pqrblxtx4Mekj3S5L4JJT4t4kn4vheyd[.]soğan | Url | Blog bağlantısı |
| HXXP[:]// birkaç criet5rhoy66k6c4cyvb2pqrblxtx4Mekj3S5L4JJT4t4kn4vheyd[.]Soğan/Sohbet/777676F8-2313-425F-873A-65C4DF8D5DEF/CHAT[.]PHP | Url | Sohbet bağlantısı |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.