Kötü Tavşan fidye yazılımı (Bad Rabbit Ransomware) nedir nasıl bulaşır nasıl korunulur?

Kötü Tavşan (Bad Rabbit) fidye yazılımı

Kötü Tavşan (Bad Rabbit) nedir?

Kötü Tavşan (Bad Rabbit), bilgisayar sistemlerini etkileyen ve bulaştığı sistemdeki dosyaları şifreleyen bir fidye yazılımıdır.

Kötü Tavşan (Bad Rabbit) ne yapar?

Kötü Tavşan (Bad Rabbit) yazılımı bir bilgisayarın içeriğindeki tüm verileri şifreler ve şifrenin çözülerek verilere tekrar ulaşılabilmesi için sizden bir miktar ödeme ister – bu durumda 0.05 bitcoins, ya da yaklaşık 280 $ (213 £) ödemeniz istenir.

Nasıl yayılmaya başladı?

Kötü Tavşan (Bad Rabbit) lakaplı yeni bir fidye yazılımı Rusya ve Ukrayna başta olmak üzere yayılmaya başladı.

Kötü Tavşan fidye yazılımı üç Rus web sunucusunu, Ukrayna’nın Odessa şehrindeki bir hava limanındaki ve Kiev’de yer alan metro’daki bilgisayar sistemini etkiledi.

24 Ekim’de çoğunluğu Rusya ve Ukrayna olmak üzere kurbanların geri bildirimleri üzerine Kötü Tavşan (Bad Rabbit) adlı fidye yazılımı ile kitlesel saldırılara mağruz kalındığı görüldü.

Ukrayna’daki siber polis şefi tarafındanda  Bad Rabbit’in verilere şifrelemeye yönelik bir kötü amaçlı yazılım olduğu doğrulandı.

Bad Rabbit zararlısının bu yılın başlarında ortalığı kasıp kavuran WannaCry ve Petya zararlılarına benzediği görülüyor. Ancak, Bad Rabbit’in ne kadar yayılabileceği henüz bilinmiyor. Rusya’nın siber güvenlik firması Group-IB Başkanı Ilya Sachkov TASS haber ajansına ‘Bazı şirketlerin, işler tamamen felç oldu – sunucular ve iş istasyonları şifrelendi’ dedi.

Kimler etkilendi?

24 Ekim 2017 – Etkilenen sitelerin ikisi Interfax ve Fontanka.ru’dur.

24 Ekim 2017 – Ukrayna’nın Odessa şehrinde bir havaalanı ve Kiev’deki metro sistemi

25 Ekim 2017 – Rus bankaları ve mali kurumlar hedef alındı. (Otkrytiye vs.)

Rusya ve Ukrayna’da bazı şirketleri sunucuları şifrelendi. Rusya’nın en büyük özel sermayeli bankası olan Otkrytiye, saldırıyı püskürtmeyi başardı. En büyük 20 Rus bankasından birçoğu saldırıyı atlatmayı başardı.

Kaspersky Lab; Türkiye ve Almanya’da da benzer saldırılar görüldüğünü açıkladı. Rusya merkezli Kaspersky de dahil olmak üzere siber güvenlik firmaları saldırıyı izlediklerini açıkladı.

Saldırı kimleri hedef alıyor?

Hedeflerin çoğu Rusya’da. Benzer türde, ancak daha az miktarda saldırı da diğer ülkelerde (Ukrayna, Türkiye ve Almanya) görüldü. KSN istatistiklerine göre saldırının neredeyse 200 hedefi var.

Petya adlı fidye yazılımıyla benzerlik gösteriyor mu?

Kötü Tavşan (Bad Rabbit), Petya saldırısı sırasında kullanılanlara benzer yöntemleri kullanarak kurumsal ağlara yönelik hedefli bir saldırı olduğunu görülüyor. Dahası, kod analizi sırasında Petya ve Bad Rabbit’in ikili dosyaları arasında dikkate değer bir benzerlik gösterdiği görülüyor.

Kötü Tavşan (Bad Rabbit) fidye yazılımı bulaşan bir bilgisayarda fidye ödeme ekranı

Nasıl bulaşır?

Kurban öncelikle legal bir haber sitesinden kötü amaçlı yazılım içeren web sayfasına yönlendirilir. Kötü Tavşan (Bad Rabbit) zararlısını dağıtan sayfa “hxxp://1dnscontrol[.]com/flash_install.php” şeklindedir.

Hiçbir exploit kullanılmadan “install_flash_player.exe” kurban tarafından indirilimesi sağlanır. Sahte yükleme dosyasını indirmeyi kabul eden kullanıcılar tarafından yüklenen install_flash_player.exe dosyasının kurban tarafından manuel olarak başlatılması gerekir. Doğru çalışması için, standart UAC istemini kullanarak elde etmeye çalıştığı yüksek yönetici ayrıcalıklarına ihtiyaç duyar. Kurban  install_flash_player.exe dosyasının  yönetici haklarıyla çalıştırdığında zararlı yazılım, kötü amaçlı DLL’yi C:\Windows\ infpub.dat olarak kaydeder ve rundll32‘yi kullanarak başlatır.

infpub.dat ile bellek üzerindeki kullanıcı adı ve parola bilgileri elde edilir.Network’te bulunan diğer Windows makinelerinde ise kimlik doğrulama servisi NTLM’e brute-force ile saldırarak oturum açma kimlik bilgilerini elde etmeye zorlar. SMB servisi üzerinden yayılmak istenen zararlı yazılım kullanıcı adı ve parola bilgilerini elde ederse diğer sistemede bulaşır.

infpub.dat, kötü amaçlı çalıştırılabilir “dispci.exe” dosyasını C:\Windows dizinine yükleyecek ve başlatmak için otomatik bir görev oluşturacaktır.

infpub.dat dosyası bir fidye yazılımı gibi davranarak kurbanın veri dosyalarını gömülü bir uzantı listesi kullanarak buluyor ve onları RSA-2048 şifre algoritması ile şifreliyor.

“dispci.exe” DiskCryptor kod tabanından türetilmişe benziyor. Ayrıca, modifiye edilmiş bootloader’ı yüklenerek ve enfekte makinenin normal önyükleme işlemi engellenir ve disk şifreleme modülü devreye sokulur

Kurbanın disklerindeki bölümler DiskCryptor sürücüsü dcrypt.sys (C: \Windows\ cscc.dat içine yüklenir) yardımıyla şifrelenir.

Enfekte olmuş makine üzerindeki disk bölümleri, XPS modunda AES şifresini kullanarak DiskCryptor sürücüsü tarafından şifrelenir. Parola, WinAPI işlevini CryptGenRandom kullanarak dispci.exe tarafından oluşturulur ve 32 sembol uzunluğundadır.

Bulaştığı sistemde bulunana bir dosyayı açmaya çalıştığınızda aşağıdaki gibi bir ekranla karşılaşırsınız:

Kötü Tavşan (Bad Rabbit) fidye yazılımı bulaşan bir bilgisayarda bir dosya açmaya çalıştığınızda aldığınız hata

Ne yapmalı?

1. Ziyaret edilen internet sitelerine dikkat edilmeli.

2. E-posta ile gelen linklere dikkat edilmeli.

3. Sık sık yedek alınmalı.

4. Bu yazılım Adobe’nin Flash Player yazılımını taklit ettiği için Flash Player ile ilgili çalıştırılabilir dosyalar kendi orjinal sitesi hariç diğer kaynaklardan yüklenmemelidir.

5. Antivirüs ve  Anti Ransomware yazılımları yüklenerek güncel tutulmalı.

6. İşletim sisteminiz ve diğer yazılımlarınızın güncel olmasına dikkat edin.

7. Bad Rabbit sisteminize bulaştıysa c:\windows\infpub.dat ile c:\Windows\cscc.dat dosyalarının çalışmasını engellemeniz gerekiyor ve bulaştığı makinenin VMI servisini kapatmanız yada network bağlantısını kesmeniz gerekiyor.

8. Şirket içi bilgisayar kullanıcıları bu tür durumlarda acilen bilgilendirilmelidir.

9. Bilgisayara yüklenen her program orjinal kaynağından yüklenmeli.

10. Programların illegal sürümleri yada crack vb. dosyalar yüklenerek çalıştırılmamalıdır. (En büyük Risk Grubu)

11. Kullanıcı hesaplarında basit parola ve kullanıcı adı kullanmayın.

Sonuç

Kötü Tavşan (Bad Rabbit) zararlısı yine birçok sisteme zarar vereceğe benziyor. Wannacry ve Petya zararlılarından sonra bilgisayar kullanıcıları azda olsa bilinçlendiler fakat yinede insalar bu tür aldatmacalara kanabiliyor. Kötü Tavşan (Bad Rabbit) zararlısı sonda olmayacaktır. Bugün Flash Player uygulamasının taklit uygulamasıyla saldırılması yarın başka bir uygulamanın taklit edilerek saldırılmayacağı anlamı taşımıyor.

Sizde Üyelerimiz Arasında Yer Alın !

Yeni konu ve içerikleri yakından takip edin....

Üye olursanız sık sık bildirimler alacaksınız. Üye olmadan önce bu tür durumlardan rahatsız olup olmayacağınızı gözden geçirin.

Yazar Hakkında Bilgi

Uzun yıllardır IT sektöründe bulunmaktayım. Bu blog teknolojik konularda kullanıcıları bilgilendirme, yardımcı olabilme amacı taşır. Fikir ve önerileriz konusunda bizlere iletişim bölümümüz üzerinden ulaşabilirsiniz.

Bir Yorum Yaz