Zararlı Yazılımlar

Windows Update gibi Görünen FANTOM Ransomware

3 dakikada okunur

Merhabalar,

Her geçen gün çoğalan Ransomware’lere bir yenisi daha eklendi. Bu seferki Ransomware’imiz kendisini Windows Update olarak gösterip, Windows çalıştıran sunucu ve bilgisayarları hedef alıyor.
AVG Security’den Jakub Kroustek tarafından keşfedilen ve blog post olarak paylaşılan Fantom Zararlısı, Windows’unuz Yeni bir kritik güncelleme yüklüyor süsü vererek, Windows Update ekranının görüntülenmesini sağlıyor. Bu sayede son kullanıcı da kritik bir update yapma görüntüsü verip panik havası yaratıyor ve kullanıcıların dikkatsizliğinden faydalanıyor.

[lightbox_image src=”http://h4cktimes.com/wp-content/uploads/fake-windows-update-screen.jpg” bigimage=”http://h4cktimes.com/wp-content/uploads/fake-windows-update-screen.jpg” title=”Image”]

Fantom Ransomware çalıştırıldığında tıp ki Windows Update ekranı gibi bir ekran karşımıza geliyor. Update işlemini gerçekleştiriyormuş gibi görünen bilgisayar aynı anda arka planda AES-128 bit şifreleme algoritması kullanarak tüm dosyaları şifreliyor ve .fantom şeklinde dosya uzantısını bırakıyor.

html-ransom-note

Fantom bulaştığı sistemlere diğer Ransomware’lerde olduğu gibi bir Fidye notu bırakıyor. Bu not sayesinde zararlıyı yazan kişilere ulaşıp, para karşılığında Decrytp Code ‘u alıp sisteminizi kurtarabiliyorsunuz.

[email protected] dobj veya [email protected] şeklinde bir E-mail adresine ödeme talimatı yapmanızı istiyor.

Fantom tarafından oluşturulan dosyalar;

%AppData%\delback.bat [Executable_Path]\WindowsUpdate.exe [Executable_Path]\update.bat %UserProfile%\2d5s8g4ed.jpg

 

Fantom Ransomware tarafından oluşturulan Regedit Kayıtları;

HKCU\Control Panel\Desktop\ “Wallpaper” “%UserProfile%\How to decrypt your files.jpg” HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = 1

 

Hash’s; SHA256: f4234a501edcd30d3bc15c983692c9450383b73bdd310059405c5e3a43cc730b

 

Hedef Dosya Uzantıları; .

001, .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .apk, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .aspx, .asr, .asset, .avi, .avs, .bak, .bar, .bay, .bc6, .bc7, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .bkp, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsa, .bsp, .cag, .cam, .cap, .car, .cas, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cfr, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .css, .csv, .ctt, .cty, .cwf, .d3dbsp, .dal, .dap, .das, .dayzprofile, .dazip, .db0, .dbb, .dbf, .dbfv, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .desc, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dmp, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .epk, .eps, .eql, .erf, .err, .esm, .euc, .evo, .ex, .exif , .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flac, .flp, .flv, .for, .forge, .fos, .fpk, .fpp, .fsh, .gam, .gdb, .gho, .gif, .grf, .gthr, .gz, .gzig, .gzip, .h3m, .h4r, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .idx, .ifo, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .kdb, .kdc, .kf, .kmz, .kwd, .kwm, .layout, .lbf, .lbi, .lcd, .lcf, .ldb, .lgp, .litemod, .log, .lp2, .lrf, .ltm, .ltr, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .md, .md3, .mdb, .mdbackup, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .mic, .mip, .mkv, .mlx, .mod, .mov, .moz, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .msg, .msp, .mxp, .nav, .ncd, .ncf, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .ntl, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .odtb .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pkpass, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .psk, .pst, .ptx, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qbb, .qdf, .qel, .qic, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .rb, .re4, .res, .rev, .rgn, .rgss3a, .rim, .rng, .rofl, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .sb, .sc2save, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .slt, .snp, .snx, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sum, .svg, .svi, .svr, .swd, .swf, .syncdb, .t12, .t13, .tar, .tax, .tax2015, .tax2016, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tor, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unity3d, .unr, .unx, .uop, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdf, .vdo, .ver, .vfs0, .vhd, .vmf, .vmt, .vob, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xf, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xml, .xpi, .xpt, .xvid, .xwd, .xxx, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo, .ztmp

yazar hakkında
| Cyber Security Consultant | Ethical Hacker | Microsoft Certified Trainer | Microsoft Certified System Engineer | Cisco Certified Network Professional | Log Management | SIEM | IS027001, 5651 | Threat Intelligence
Bunlar ilgini çekebilir
Mobil CasuslukSiber SaldırılarSizden GelenlerZararlı Yazılımlar

Cerberus Zararlısının USOM'u Taklit Eden C2C Sunucusu Tespit Edildi

1 dakikada okunur
ESET‘in araştırma ekibi, Türk kullanıcıları hedefleyen ve araç muayenesi adı altında kullanıcıların kredi kartı bilgilerini isteyip sonrasında ise fatura görünümündeki Cerberus bankacılık…
Siber SaldırılarVeri SızıntılarıZararlı Yazılımlar

REvil Çetesi NY Hukuk Firmasından 42 Milyon Dolar Fidye Talep Etti! Trump da Tehdit Ediliyor

1 dakikada okunur
REvil fidye yazılımı çetesi birkaç gün önce Lady Gaga’nın yasal belgelerini yayınladı REvil (Sodinokibi) fidye yazılımının arkasındaki suç grubu, New York merkezli…
Siber SaldırılarZararlı Yazılımlar

PyXie RAT Birçok Endüstriyi Tehdit Ediyor

1 dakikada okunur
Araştırmacılar, çeşitli endüstrileri hedefleyen kampanyalarda kullanılan PyXie adlı Python tabanlı yeni bir RAT (Remote Access Trojan) keşfetti. RAT (Remote Access Trojan), bulaştığı…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.