Locky Ransomware geri döndü, hedefi sadece Windows XP ve Windows Vista

Locky Ransomware geri döndü, hedefi sadece Windows XP ve Windows Vista
Haziran 23 11:50 2017 Yazıyı Yazdır

Locky ransomware, Necurs botnet tarafından geniş bir spam e-postası dalgasıyla yayılıyor. Ancak bu ransomware, modern Windows OS sürümlerindeki dosyaları şifreleyemiyor ya da şifrelemek istemiyor…

Necurs botun arkasındaki aynı grubun Locky dolandırıcılığının arkasında olduğunu ve daha pek çoğunun Locky’nin halefini kabul eden Jaff ransomware’ın da arkasında olduğunu ima eden çok sayıda ipucu bulundu.

Necurs, yavaş yavaş Jaff’e geçtiğinde, Necurs grubu Mayıs ayında Locky spamını yaymayı durdurdu. Büyük olasılıkla eski Locky yerine yeni Jaff ransomware’ini tercih ediyorlardı.

Kaspersky Labs güvenlik araştırmacıları Jaff’in şifrelemesi üzerinde bir zafiyet buldu ve Necurs grubunun planlarını geçen hafta engellediler. Araştırmacılar, Locky’nin şifreleme yöntemini hiçbir zaman çözemezken Jaff’in çözdüler.
Kaspersky’in bu tutumu, Necurs grubunu şaşırtmış görünüyor. Ücretsiz şifre çözücü hazır olduğunda, Jaff spam’ı düştü ve 3 gün önce Necurs grubu Locky’yi bir kez daha dağıtmaya başladı.

Yeni spam dalgaları çok sayıda güvenlik araştırmacısı tarafından tespit edildi. Hepsi de test makinesinde kendine bulaştırmada sorun yaşadıklarını bildirdi.
Nedenini keşfeden Cisco’nun Talos birimi oldu. Şirketin uzmanlarına göre, Locky yazarları, Locky ile çözülmüş Jaff sürümünü değiştirmek için acele etti ve konuşlandırmalarında bazı hatalar yaptılar..

Cisco Talos uzmanları, “Ayrıntılı incelemeler sonucunda, Data Execution Prevention (DEP) ile Windows 7 veya sonraki sürümleri çalıştıran sistemlerde, açma paketinin başarısız olmasına neden olacağına karar verdik” dedi. Bu da, yalnızca XP ve Vista gibi daha eski OS sürümlerinin etkilenmesi anlamına geliyor.

Locky spam, tüm e-posta spamlarının %7,2’sini oluşturuyor

Cisco, bu yeni Locky varyantı için spam’ın Internet’in tüm e-posta spam trafiğinin yaklaşık %7,2’sini oluşturduğunu söylüyor. Bu da tüm Windows kullanıcı tabanının %10’undan fazlasını hedefleyen bir ransomware olduğunu gösteriyor.

Bu varyant, şifrelenmiş dosyaların sonunda *.LOTPR uzantısını ve C&C sunucuları için aynı URL yapısını kullanmaya devam ediyor. Bu, Kaspersky’nin Jaff şifrelerini yaydıktan sonra Necurs grubunun Locky’yi dağıtmak için acele ettiğinin göstergesi.

Locky’nin yeni taktiği

Yeni Locky spam dalgasında da yeni değişiklikler var. Flashpoint Direktörü Vitaly Kremez, Locky’nin hedeflenen bilgisayarlarda virüs bulaşmış ikili başlatmanın yeni bir yöntemi olduğunu keşfetti.
Buna ek olarak, Locky spam e-postaları faturalar, ödeme makbuzları, sipariş onayları vb. gibi içerikler barındırmaktadır.

Bu e-postalar ayrıca, iç içe geçmiş ZIP yapısı kullanarak dosya eklerini farkı şekilde paketledi. E-postalar sekiz rastgele basamaktan oluşan isimler içeriyor. (Örn: 38017832.zip)
Bu ilk ZIP dosyası açıldıktan sonra Locky’yi çalıştıran bir EXE dosyasını içeren başka bir ZIP dosyası ile karşılaşılıyor.

Son olarak bu Locky sürümü, ransomware’in sanal makinelerde ve diğer hata ayıklama ortamlarında çalışmasını engelleyen bazı anti-hata ayıklama (anti-debug) koruması da ekledi.

Genel olarak, bu Locky spamı acele bir çaba gibi görünüyor. Ancak ransomware üreticilerinin önümüzdeki günlerde kusurlarını düzeltip kararlı bir sürüm yaymaya başlamaları beklenebilir.

Aşağıda, en yeni Locky varyantı ile ilişkili göstergeler bulunmaktadır.

Hash : 49184047c840287909cf0e6a5e00273c6d60da1750655ad66e219426b3cf9cd8
Uzantı : .loptr
Fidye notu : loptr-[random_4_chars].htm

 

Gönderen: Murat Yeşiltepe
daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.