Fidye Yazılımlarda Yeni Tehlike: Badrabbit

0

WannaCry, Petya, NotPetya ve DoubleLocker’dan sonra yeni bir siber saldırı dalgasıyla daha karşı karşıyayız. Yeni tehlikenin adı; Badrabbit.

Badrabbit Nedir?

Badrabbit, WannaCry ve NotPetya’nın izlerini takip ederek, benzer şekilde Ukrayna, Rusya ve komşu ülkelerinden başlayarak aralarında Türkiye’nin de bulunduğu 15 ülkeye yayılan yeni bir fidye yazılım (ransomware). Yazılımın etki alanını Avast’ın yayınladığı harita üzerinden daha net bir şekilde algılayabiliriz.

siber güvenlik

Badrabbit Nasıl Yayılıyor?

Badrabbit, benzerlerinin aksine kurbanların networklerine bağlanmak için EternalBlue istismarını kullanmıyor. Bunun yerine, Equation Group adlı NSA’in seçkin hack grubuna ait olduğu iddia edilen birçok hack aracından birisi olan EternalRomance RCE’den yararlanıyor. EthernalRomance, Windows Server Message Block (SMB) içindeki bir kusurdan (CVE-2017-0145) ve WMIC (Windows Management Instrumentation Command-line) altyapısından yararlanarak uzaktan kod yürütme imkânı sağlıyor.

Kullanıcılar açısından baktığımızda ise Badrabbit, Adobe Flash Player güncellemesi olarak görünerek kurbanların sistemlerine sızmaya çalışıyor. Kurbanlar Badrabbit’i Adobe’un resmi güncellemesi olarak algılıyor ve güncellemeyi yapmak için fidye yazılımı içeren dosyayı indiriyor.

Ancak bu noktada da Badrabbit’i benzerlerinden ayıran bir nokta mevcut. “install_flash_player.exe” sisteme indirilen yazılım otomatik olarak açılmıyor, aksine kurbanların çalıştırması ile aktif oluyor. Dosya çalıştırıldığı zaman Windows dizini altında

  • C:\Windows\infpub.dat
  • C:\Windows\cscc.dat
  • C:\Windows\dispci.exe

isimli 3 dosya oluşuyor. Kısa bir süre sonra da yazılımın bulaştığı sistemde kurbanın kontrolü dışında açılan bir text dosyası ile dosyaların şifrelendiği ve tekrar aktif edilmesi için fidye talep edildiğini belirten bir mesaj açılıyor. Fidye olarak ise 0.05 Bitcoin (Yani bu yazının yayımlandığı tarihte yaklaşık olarak 347 $) talep ediliyor.

Badrabbit’ten Korunmak İçin Hangi Önlemler Alınmalı?

  • Güvenliğinden emin olmadığınız ve resmi olmayan kaynaklardan dosya indirmeyin ve çalıştırmayın.
  • Güçlü ve karmaşık şifreler kullanmaya özen gösterin. Mümkünse en az 8 karakter, büyük-küçük harf ve özel karakter içeren şifreler tercih edin.
  • WMIC(Windows Management Instrumentation Command-line) kullanmaktan kaçının. (Bu servisi farklı amaçlar için kullanan yazılım ve servislerin olabileceğini ve kapatılmasının sorunlara yol açabileceğini de hatırlatmak isteriz.)
  • Kullandığınız işletim sisteminin güncelliğinden ve güncellemelerin Windows Update tarafından yapıldığından emin olun.
  • Kullandığınız anti-virüs yazılımının aktif ve güncel olmasına dikkat edin.
  • Windows 10 ve Windows Server 2016 kullanıyorsanız, “Defender” güncel tarama yapmanız durumunda olası tehlikelere karşı uyarı verecektir.
  • Benzeri diğer yazılarımızda da belirttiğimiz gibi, bu tür fidye yazılımlardan korunmanın en önemli yolu bilgisayarınızdaki ve sunucunuzdaki verilerinizin düzenli ve güncel yedeklerini almanızdır.

Zararlı yazılımlardan etkilenmemeniz adına, Vargonen’in sizlere sunmuş olduğu sunucu yedekleme ve SLA hizmetlerimiz ile ilgili detaylı bilgi almak için 0850 660 00 99 numaralı telefondan Vargonen Satış Ekibine uzmanlarına ulaşabilirsiniz.

Paylaş.

Yazar Hakkında

Cevap bırakın

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Vargonen E-Bülten
ABONE OL
vargonen cloud fiziksel sunucu domain hosting

Fırsatlardan ve Gelişmelerden Haberdar Olun!

En güncel haberler, sistemsel gelişmeler ve özel kampanyalar Vargonen E-Bülten'de.