Okuma zamanı: 2 dakika
Yakın zamanda keşfedilen yeni bir fidye yazılımı olan Fantom, meşru bir Microsoft Windows güncellemesi kılığında saldırıyor. Böylece kullanıcıları indirmeleri için kandırır, böylece veri ihlalinin önünü açar…
AVG güvenlik firmasından kötü amaçlı yazılım araştırmacısı Jakub Kroustek, bu oldukça karmaşık kötü amaçlı yazılımı keşfetti.
Fidye yazılımı, bildiğimiz gibi, bilgisayar korsanlarının sistemleri engellemesine ve kullanıcıların dosyalarını açılamayacak veya kullanılamayacak şekilde şifrelemesine yardımcı olan kötü amaçlı yazılımları ifade eder. Fidye yazılımı, uygulamaların çalışmasını da durdurur. Bu nedenle, etkilenen kişi, sistemini tekrar rayına oturtmak veya dosya ve uygulamaları açıp kullanmak için bilgisayar korsanlarına fidye ödemek zorunda kalacak. Fidye yazılımı saldırılarının sayısı bu günlerde artıyor; birçoğu avlanan kuruluşlardır fidye Son aylarda saldırılar
Fantom Nasıl Çalışır…
Açık kaynaklı EDA2 fidye yazılımı projesine dayanan bir fidye yazılımı olan Fantom, sahte bir Windows Güncelleme Ekranı görüntüleyerek görünüyor. Bu güncelleme ekranı, Windows'un yeni bir kritik güncelleme yüklediğine inanmanıza neden olur. Fidye yazılımının dosya özellikleri bile, bunun Microsoft'tan geldiğini ve dosya açıklamasının 'Kritik Güncelleme' olarak olacağını belirterek buna inanmanızı sağlar.
Bunun gerçek bir Windows güncellemesi olduğuna inandırılarak çalıştırabilirsiniz. Bu fidye WindowsUpdate.exe adlı başka bir gömülü programı çıkarın ve çalıştırın, ardından sahte bir Windows Update ekranı görüntülenecektir. Bu ekran tüm etkin Windows'u kaplayacak ve başka hiçbir açık uygulamaya geçemeyeceksiniz. Bu güncelleme ekranında, gerçekte yüzde arttıkça dosyalarınız şifrelenirken Windows güncellemesinin gerçekleştiğine inanmanıza yol açan bir yüzde görürsünüz. Ctrl+F4 tuş kombinasyonu, isterseniz bu ekranı kapatmanıza yardımcı olsa da, dosya şifreleme arka planda devam eder.
Fantom, diğer EDA2 tabanlı fidye yazılımları gibi, rastgele bir AES-128 anahtarı oluşturacak ve bunu RSA kullanarak şifreleyecektir. Ardından, kötü amaçlı yazılım geliştiricilerinin Komuta ve Kontrol sunucusuna yüklenecektir. Ardından, hedeflenen dosya uzantılarını içeren dosyalar için yerel sürücüleri tarar. Bu dosyalar AES-128 şifrelemesi kullanılarak şifrelenir, şifrelenen her dosyaya .fantom uzantısı eklenir. Fantom'un dosyaları şifrelediği klasörlerde, DECRYPT_YOUR_FILES.HTML fidye notu da oluşturulacaktır. Şifreleme tamamlandığında, Fantom yürütülen iki toplu iş dosyası oluşturacaktır; bunlar, daha önce sahip olduğunuz gölge birim kopyalarını ve sahte güncelleme ekranını siler.
Sonra nihayet DECRYPT_YOUR_FILES.HTML adlı fidye notu gelir. Bu, verilerinizi geri yüklemenin yalnızca onlardan şifre satın alarak mümkün olacağından bahsedecektir. Ödeme talimatlarını alabilmeniz için fantomd12@yandex.ru veya fantom12@techemail.com adresine e-posta gönderme talimatları olacaktır. Ayrıca, verilerinizi tamamen yok edebileceğini söyleyen dosyaları geri yüklemeye çalışmamanız konusunda da uyarılırsınız.
Bilgisayar korsanları saldırmak için farklı taktikler kullansalar da fidye, Fantom örneğinde kullanılan strateji zekicedir. Saldırganlar, iş kullanıcıları da dahil olmak üzere çoğu kullanıcının tanıdığı ve hatta güvendiği bir ekranı taklit eder; insanları meşru bir Windows güncellemesi aldıklarına inandırmak ve böylece onları Fantom'u indirmeye yönlendirmek nispeten kolaydır. Bu, genel olarak kötü amaçlı yazılımlar ve özel olarak fidye yazılımları açısından oldukça tehlikeli bir eğilimin göstergesi olabilir.
E-POSTA GÜVENLİĞİNİZİ TEST EDİN ANINDA GÜVENLİK PUANINI ÜCRETSİZ ALIN Kaynak: https://blog.comodo.com/pc-security/ransomware-strikes-posed-windows-update/
