Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

Locky yeni varyant çıkardı: Ykcol Ransomware

0

Stormshield malware analisti coldshell tarafından, şifrelediği dosyalar için .ykcol uzantısını kullanan yeni bir Locky ransomware varyantını keşfetti.

Bu varyant şu anda 7zip veya 7z ile sıkıştırılmış bir ek dosya içeren ve (sahte) fatura başlığına sahip spam e-postalar yoluyla bulaştırılıyor. Bu ekteki sıkıştırılmış dosyanın içindeki VBS dosyası çalıştırıldığında Locky’nin çalıştırılabilir dosyasını uzaktaki bir siteden indirip çalıştırmaktadır.

“7z” eklentisinin kullanılıyor olması muhtemelen mail security gateway, Gmail veya diğer posta hizmetleri tarafından daha sıkı filtreleri atlatmak için yapılmış olabilir.

Dosya indirilip ve çalıştırıldıktan sonra bilgisayardaki tüm dosyaları tarıyor ve şifreliyor. Bu varyant dosyaları şifrelediğinde adını değiştiriyor ve dosya uzantısını .ykcol yapıyor.

Dosyanın adını değiştirirken [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol formatını kullanmaktadır.

Şifreleme bitirdikten sonra indirilen çalıştırılabilir dosya kaldırılıp fidyenin nasıl ödenmesi gerektiği hakkında bilgi veren bir fidye notu görüntülenecektir. Bu fidye notlarının isimleri bu sürüm için ykcol.htm ve ykcol.bmp olarak değiştirilmiş.

Locky Decryptor, TOR ödeme sitesinin fidyesi yaklaşık olarak 1.025 dolar olarak belirlenmiş durumda.

 

Gönderen: Murat Yeşiltepe

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.