Yurei fidye yazılımı ilk olarak Eylül 2025’in başlarında ortaya çıktı ve hızlı, büyük ölçekli şifreleme için tasarlanmış sofistike GO tabanlı bir yüke sahip Windows ortamlarını hedef aldı.
Uygulandıktan sonra, kötü amaçlı yazılım tüm erişilebilir yerel ve ağ sürücülerini numaralandırır, bir .Yurei her bir dosyanın uzantısı ve etkilenen her dizinde benzersiz fidye notları yazar.
.webp)
Operatörleri daha sonra Tor üzerinden ödeme talep ederek, Gölge kopyalarının, yedeklemelerin ve günlük dosyalarının kurtarma çabalarını hayal kırıklığına uğratmak için geri döndürülemez şekilde yok edildiğini uyardı.
Öncelikle çalıntı kimlik bilgileri ve mızrak aktı kampanyaları yoluyla dağıtılan Yurei, kurumsal ağlarda bir dayanak kazanmak için Windows Management Enstrümantasyon (WMI) ve kimlik bilgisi tabanlı uzaktan yürütme kullanır.
İlk uzlaştıktan sonra, ikili aşamalar geçici klasörlerde kendisini aşarlar ve Hacim Gölge Kopyalama Hizmetini (VSS) devre dışı bırakan ve mevcut tüm yedeklemeleri silen PowerShell komut dosyalarını dağıtır.
Cyfirma analistleri, fidye yazılımlarının ekies ve kendi kendini temizleyen rutinlerle sarılmış dosya başına ChaCha20 şifreleme anahtarlarının kombinasyonunun adli araştırmayı son derece zor hale getirdiğini belirtti.
Dağıtımından sonra Yurei, sonsuz bir yayılma döngüsüne girer ve kendini USB cihazlarına kopyalayarak Windowsupdate.exe ve yazılabilir SMB paylaşımlarına System32backup.exe.
Bu ikili yayılma stratejisi, kötü amaçlı yazılımların ağ segmentasyon kontrollerini Leapfrog yapmasına ve minimal algılama ile yanal olarak yayılmasına izin verir.
Mağdurlar, şifrelenmiş dosyaların tamamen erişilemeyeceğini bildirir, çünkü her Chacha20 anahtarı ve nonce çifti, saldırganların gömülü genel anahtarıyla asimetrik olarak sarılır ve ASCII işaretçisi ile ayrılan özel bir başlıkta saklanır 0x7c7c.
Enfeksiyon mekanizması ve yanal yayılma
Yurei’nin enfeksiyon mekanizmasının çekirdeği, çıkarılabilir ve ağ sürücülerinde yayılmak için PowerShell ve yerel pencerelere dayanmaktadır.
İlk olarak, WMI aracılığıyla tüm “çıkarılabilir” türünde sorgular ve mevcut bir Windowsupdate.exe her kökte.
Yoksa, fidye yazılımı yürütülebilir dosyasını geçici evreleme dizininden kopyalar. Ardından, Powershell’s aracılığıyla SMB hisselerini numaralandırır Get-Smbshare cmdlet ve her yazılabilir hisse yolunu yineleyerek, Kopya Düşmek için System32backup.exe.
Çıkarılabilir medya yayılma rutinini gösteren bir snippet aşağıda gösterilmiştir.
# Figure 1: Removable drive propagation using PowerShell
$drives = Get-WmiObject -Class Win32_Volume | Where-Object {$_.DriveType -eq 2}
foreach ($drive in $drives) {
$path = "$($drive.DriveLetter)\WindowsUpdate.exe"
if (-not (Test-Path $path)) {
Copy-Item -Path $MyInvocation.MyCommand.Definition -Destination $path -Force
}
}Kopyalandıktan sonra, Yurei, her bir örneği pscredential tabanlı bir CIM oturumu veya Psexec tarzı çağırma yoluyla uzaktan ortaya çıkarır ve yükün kullanıcı etkileşimi olmadan yükseltilmiş ayrıcalıklar altında yürütülmesini sağlar.
Senaryo bir System.Management.Automation.PSCredential nesne ve çağırır Invoke-CimMethod Uzak ana bilgisayarlarda bir işlem oluşturmak için, yürütmeden önce kendi ikili baytlarını diske kopyalayın.
Bu gizli yayılma döngülerini agresif anti-forsisiklerle birleştirerek-VSS anlık görüntülerini engelleme (vssadmin Delete Shadows /Quiet), olay günlüklerini temizleme ve ikili belleğinde üzerine yazma – yörün son derece otomatik, kendini gösteren Maksimum ağ penetrasyonu ve geri döndürülemez veri uzlaşması için tasarlanmış tehdit.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
