Locky yeni varyant çıkardı: Ykcol Ransomware

Locky yeni varyant çıkardı: Ykcol Ransomware
Eylül 19 08:25 2017 Yazıyı Yazdır

Stormshield malware analisti coldshell tarafından, şifrelediği dosyalar için .ykcol uzantısını kullanan yeni bir Locky ransomware varyantını keşfetti.

Bu varyant şu anda 7zip veya 7z ile sıkıştırılmış bir ek dosya içeren ve (sahte) fatura başlığına sahip spam e-postalar yoluyla bulaştırılıyor. Bu ekteki sıkıştırılmış dosyanın içindeki VBS dosyası çalıştırıldığında Locky’nin çalıştırılabilir dosyasını uzaktaki bir siteden indirip çalıştırmaktadır.

“7z” eklentisinin kullanılıyor olması muhtemelen mail security gateway, Gmail veya diğer posta hizmetleri tarafından daha sıkı filtreleri atlatmak için yapılmış olabilir.

Dosya indirilip ve çalıştırıldıktan sonra bilgisayardaki tüm dosyaları tarıyor ve şifreliyor. Bu varyant dosyaları şifrelediğinde adını değiştiriyor ve dosya uzantısını .ykcol yapıyor.

Dosyanın adını değiştirirken [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol formatını kullanmaktadır.

Şifreleme bitirdikten sonra indirilen çalıştırılabilir dosya kaldırılıp fidyenin nasıl ödenmesi gerektiği hakkında bilgi veren bir fidye notu görüntülenecektir. Bu fidye notlarının isimleri bu sürüm için ykcol.htm ve ykcol.bmp olarak değiştirilmiş.

Locky Decryptor, TOR ödeme sitesinin fidyesi yaklaşık olarak 1.025 dolar olarak belirlenmiş durumda.

 

Gönderen: Murat Yeşiltepe
daha fazla yazı

Yazar Hakkında

Konuk Yazar
Konuk Yazar

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.