Satana: Cehennemden gelen fidye yazılımı

Bu sene, fidye yazılım hakkındaki haberler savaş alanından durmadan gelen harekat raporlarına benziyor. Araştırmacılar her gün, müşterilerden ve şirketlerden para çalmak amaçlı yapılan saldırıları keşfediyor. Ve güvenlik uzmanları bu sorunlara

Bu sene, fidye yazılım hakkındaki haberler savaş alanından durmadan gelen harekat raporlarına benziyor. Araştırmacılar her gün, müşterilerden ve şirketlerden para çalmak amaçlı yapılan saldırıları keşfediyor. Ve güvenlik uzmanları bu sorunlara çözüm ürettikçe, sahtekarlar farklı yöntemlerle çalışan yeni bir fidye yazılımla karşımıza çıkıyor.

Son günlerde, karmaşık bir fidye yazılımın türü keşfedildi. Bu kötü amaçlı yazılımın lakabı Satana (“Satan-Şeytan”). İsminden yola çıktığımızda, bu da bize yapımcılarının Rus kökenli olduğu hakkında bir öngörü sağlıyor. Trojan iki şeyi yapıyor: Dosyaları şifrelemek ve Windows Master Boot’u (MBR) bozmak. Yani Windows’un bootunu engelliyor.

MBR’e bulaşan Trojanlar hakkında daha önce konuşmuştuk. Hepimizin bildiği bir fidye yazılım olan Petya bunlardan biri. Bazı durumlarda, Satana ona benzer şekilde çalışıyor. Örneğin, MBR’a kendi kodunu enjekte ediyor. Ancak, Petya Master File Table’ı (MFT) şifrelerken, Satana MBR’ı şifreliyor. PC dosyalarını şifrelemek için Petya, Mischa lakaplı trojanın yardımını alıyor. Satana ise her iki işi de kendi yapıyor.

Şimdi, bilgisayarın iç işleyişinin nasıl olduğunu bilmeyenlere biraz yardım etmeyi deneyeceğiz. MBR, bilgisayarın hard diskindeki bir parçadır. İçinde diskin farklı alanlarındaki sistem dosyalarını barındırır, yani işletim sisteminin dosyalarını da barındırır.

MBR bozulursa veya şifrelenirse, bilgisayar kritik bilgilere ulaşma iznini kaybeder ve kendini başlatamaz. Satana gibi fidye yazılımın arkasındaki suçlular bunu kendi leyhlerine kullandı ve cryptolockerların, bootlocker (başlatmayı engellemek) ile geliştirdiler. Siber suçlular, MBR’daki dosyaları kendi fidye notlarıyla değiştirip asıl dosyaları başka bir yere taşıyor.

Fidye, 0.5 bitcoin kadar (yaklaşık 340 dolar). Bu fidyeyi verirseniz, MBR’ın şifresini çözüyorlar ve şifrelenmiş diğer dosyaları açmak için gerekli anahtarı veriyorlar. Fidye ödenince, Satana’nın yaratıcıları işletim sistemine ulaşımı size geri vereceklerini ve her şeyin eskisi gibi olacağını vaad ediyorlar. En azından böyle söylüyorlar.

Satana bir kez sisteme girince, tüm diskleri ve network bağlantılarını tarıyor ve .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, ve .asm uzantılı dosyaları arıyor. Bulduklarını da şifreliyor. Ayrıca, dosya adının başına bir e-mail adresi ve üç tane alt çizgi ekliyor (örnek olarak, test.jpg olan dosyanızın adı Sarah_G@ausi.com___test.jpg oluyor.)

satan_mbr_en

Bu e-mail kurbanların fidye ödemek için iletişime geçmesi gereken adres oluyor. Bu e-mail’e sahip kişiyle iletişime geçerek ödeme yollarını öğreniyorlar ve şifre çözümleme anahtarını alıyorlar. Bu zamana kadar araştırmacılar bu iş için kullanılan altı e-mail adresi buldular.

Güzel haber, kilidi kısmen kırmak için bir yol var: Biraz yeteneğiniz varsa MBR düzeltilebilir. Windows Club bloğunda uzmanlar, işletim sistemi geri yükleme özelliğini kullanarak MBR’ı düzeltmek için gerekli adımları anlattılar. Ancak, bu özellik komut sistemi ve bootrec.exe kullanan deneyimli kullanıcılar için geliştirilmiş. Bu özellikleri kullanmayan kullanıcılar bu zorlu adımları yaparken zorluk çekebilirler.

Kötü haber ise, Windows’un kilidi kırılsa bile şifrelenen dosyalar olduğu gibi duruyor. Bu sorun için henüz bir çözümümüz yok.

Bu noktada, Satana fidye yazılım kariyerine başlamış gibi duruyor: Yaygın değil ve araştırmacılar kodunda birkaç hata farkettiler. Buna rağmen, zamanla kendini geliştirebilir ve ciddi bir tehdit haline gelebilir.

Kullanıcılar için öncelikli tavsiyemiz uyanık olmaları. Basit önerilerimizle Satana’dan mümkün olduğunca fazla korunabilirsiniz:

1.Verilerinizi düzenli olarak yedekleyin.
Bu sizin sigortanız. Bir fidye yazılım saldırısı durumunda işletim sistemini tekrar yükleyebilir ve dosyalarınızı yedek dosyalarınız yardımıyla kurtarabilirsiniz.

2.Şüpheli siteleri ziyaret etmeyin ve şüpheli e-mail eklerini açmayın, e-mail veya link tanıdığınız birinden gelmiş olsa bile. Çok dikkatli olun. Satana’nın tekniklerini çok az biliyoruz.

3. Güvenilir bir antivirüs çözümü kullanın. Kaspersky Internet Security, Satana’yı Trojan-Ransom.Win32.Satan olarak tanır, işletim sistemini kilitlemesini ve dosyaları şifrelemesini engeller.

4.Ve tabiki, haberlerimizi takip edin!
Fidye yazılımın sizi gafil avlamaması için her zaman sizi yeni tehditlere karşı uyarıyoruz.

Yemeği, suyu ve elektriği hacklemek

Hep söylediğimiz gibi, en yeni siber güvenlik haberleri ve tehditlerine karşı bilinçli olmak çok önemlidir. Hazırlıklı olmak savaşın yarısından çoğunu oluşturur. Ancak, siber güvenlikle ilgili her şeyi bilen, güvenli şifreler

İpuçları