Sizden GelenlerZararlı Yazılımlar

Locky Ransomware geri döndü, hedefi sadece Windows XP ve Windows Vista

2 dakikada okunur

Locky ransomware, Necurs botnet tarafından geniş bir spam e-postası dalgasıyla yayılıyor. Ancak bu ransomware, modern Windows OS sürümlerindeki dosyaları şifreleyemiyor ya da şifrelemek istemiyor…

Necurs botun arkasındaki aynı grubun Locky dolandırıcılığının arkasında olduğunu ve daha pek çoğunun Locky’nin halefini kabul eden Jaff ransomware’ın da arkasında olduğunu ima eden çok sayıda ipucu bulundu.

Necurs, yavaş yavaş Jaff’e geçtiğinde, Necurs grubu Mayıs ayında Locky spamını yaymayı durdurdu. Büyük olasılıkla eski Locky yerine yeni Jaff ransomware’ini tercih ediyorlardı.

Kaspersky Labs güvenlik araştırmacıları Jaff’in şifrelemesi üzerinde bir zafiyet buldu ve Necurs grubunun planlarını geçen hafta engellediler. Araştırmacılar, Locky’nin şifreleme yöntemini hiçbir zaman çözemezken Jaff’in çözdüler.
Kaspersky’in bu tutumu, Necurs grubunu şaşırtmış görünüyor. Ücretsiz şifre çözücü hazır olduğunda, Jaff spam’ı düştü ve 3 gün önce Necurs grubu Locky’yi bir kez daha dağıtmaya başladı.

Yeni spam dalgaları çok sayıda güvenlik araştırmacısı tarafından tespit edildi. Hepsi de test makinesinde kendine bulaştırmada sorun yaşadıklarını bildirdi.
Nedenini keşfeden Cisco’nun Talos birimi oldu. Şirketin uzmanlarına göre, Locky yazarları, Locky ile çözülmüş Jaff sürümünü değiştirmek için acele etti ve konuşlandırmalarında bazı hatalar yaptılar..

Cisco Talos uzmanları, “Ayrıntılı incelemeler sonucunda, Data Execution Prevention (DEP) ile Windows 7 veya sonraki sürümleri çalıştıran sistemlerde, açma paketinin başarısız olmasına neden olacağına karar verdik” dedi. Bu da, yalnızca XP ve Vista gibi daha eski OS sürümlerinin etkilenmesi anlamına geliyor.

Locky spam, tüm e-posta spamlarının %7,2’sini oluşturuyor

Cisco, bu yeni Locky varyantı için spam’ın Internet’in tüm e-posta spam trafiğinin yaklaşık %7,2’sini oluşturduğunu söylüyor. Bu da tüm Windows kullanıcı tabanının %10’undan fazlasını hedefleyen bir ransomware olduğunu gösteriyor.

Bu varyant, şifrelenmiş dosyaların sonunda *.LOTPR uzantısını ve C&C sunucuları için aynı URL yapısını kullanmaya devam ediyor. Bu, Kaspersky’nin Jaff şifrelerini yaydıktan sonra Necurs grubunun Locky’yi dağıtmak için acele ettiğinin göstergesi.

Locky’nin yeni taktiği

Yeni Locky spam dalgasında da yeni değişiklikler var. Flashpoint Direktörü Vitaly Kremez, Locky’nin hedeflenen bilgisayarlarda virüs bulaşmış ikili başlatmanın yeni bir yöntemi olduğunu keşfetti.
Buna ek olarak, Locky spam e-postaları faturalar, ödeme makbuzları, sipariş onayları vb. gibi içerikler barındırmaktadır.

Bu e-postalar ayrıca, iç içe geçmiş ZIP yapısı kullanarak dosya eklerini farkı şekilde paketledi. E-postalar sekiz rastgele basamaktan oluşan isimler içeriyor. (Örn: 38017832.zip)
Bu ilk ZIP dosyası açıldıktan sonra Locky’yi çalıştıran bir EXE dosyasını içeren başka bir ZIP dosyası ile karşılaşılıyor.

Son olarak bu Locky sürümü, ransomware’in sanal makinelerde ve diğer hata ayıklama ortamlarında çalışmasını engelleyen bazı anti-hata ayıklama (anti-debug) koruması da ekledi.

Genel olarak, bu Locky spamı acele bir çaba gibi görünüyor. Ancak ransomware üreticilerinin önümüzdeki günlerde kusurlarını düzeltip kararlı bir sürüm yaymaya başlamaları beklenebilir.

Aşağıda, en yeni Locky varyantı ile ilişkili göstergeler bulunmaktadır.

Hash : 49184047c840287909cf0e6a5e00273c6d60da1750655ad66e219426b3cf9cd8
Uzantı : .loptr
Fidye notu : loptr-[random_4_chars].htm

 

Gönderen: Murat Yeşiltepe

yazar hakkında
1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.
Bunlar ilgini çekebilir
Siber SaldırılarVeri SızıntılarıZararlı Yazılımlar

REvil Çetesi NY Hukuk Firmasından 42 Milyon Dolar Fidye Talep Etti! Trump da Tehdit Ediliyor

1 dakikada okunur
REvil fidye yazılımı çetesi birkaç gün önce Lady Gaga’nın yasal belgelerini yayınladı REvil (Sodinokibi) fidye yazılımının arkasındaki suç grubu, New York merkezli…
Siber SaldırılarZararlı Yazılımlar

PyXie RAT Birçok Endüstriyi Tehdit Ediyor

1 dakikada okunur
Araştırmacılar, çeşitli endüstrileri hedefleyen kampanyalarda kullanılan PyXie adlı Python tabanlı yeni bir RAT (Remote Access Trojan) keşfetti. RAT (Remote Access Trojan), bulaştığı…
Güvenlik AçıklarıSizden Gelenler

WhatsApp'tan Gönderilen Bir GIF ile Android Telefonunuz Hacklenebilir

2 dakikada okunur
WhatsApp‘ta kullanıcı sohbet oturumlarını, dosyaları ve mesajları tehlikeye sokmak için kötü amaçlı GIF‘ten yararlanan yeni bir güvenlik açığı keşfedildi. CVE-2019-11932 olarak adlandırılan güvenlik…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.