Malware

Çin’de 100,000’den Fazla Bilgisayara Bulaşmış Yeni Bir Fidye Yazılımı Süratle Yayılıyor

Tedarik zinciri saldırısının bir sonucu olarak Çin’in bir ucundan öbür ucuna kadar şimdiden geçtiğimiz 4 günde 100,000’den fazla bilgisayara bulaşmış yeni bir fidye yazılımı süratle yayılıyor ve bu virüsün bulaştığı kullanıcı sayısı her saat aralıksız artmaya devam ediyor.

İlginç olan yanı ise çoğu benzer fidye yazılımlarının aksine bu yeni virüs fidye ödemelerini Bitcoin’den talep etmiyor.

Hacker, (Çin’in en gözde mesajlaşma uygulaması tarafından sunulan ödeme özelliği) WeChat Pay vasıtasıyla kurbanlardan 110 yuan (yaklaşık 85 tl) ödemesini istiyor.

Fidye Yazılımı + Şifre Çalıcı: Geçen yıl dünya çapında kaosa sebep olan WannaCry ve NotPetya fidye yazılımı salgınlarının aksine bu yeni Çin fidye yazılımı sadece Çinli kullanıcıları hedef almış.

Ayrıca ek olarak Alipay, NetEase 163 e-posta hizmeti, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall , AliWangWang, ve QQ web sitelerindeki kullanıcıların hesap şifrelerini de çalabiliyor.

Bir Tedarik Zinciri Saldırısı: Bir Çin siber güvenlik ve antivirüs firması olan Velvet Security’nin dediğine göre hacker, çok sayıda uygulama geliştiricisi tarafından kullanılan “EasyLanguage” programlama yazılımının içine kötücül kodlar eklemiş.

Tamamen art niyetle değiştirilmiş programlama yazılımı, fidye yazılımı kodlarını her bir uygulamanın ve yazılım ürününün içine yerleştirmesi amacıyla tasarlanmış.

Yukarıdaki listede belirtilmiş virüslü uygulamaların herhangi birini kurmuş sayısı 100,000’den fazla olan Çinli kullanıcılar bilgisayarlarını tehlikeye atmış durumdalar. Bu fidya yazılımı bulaştığı bilgisayarın (gif, exe ve tmp uzantılı dosyaları hariç) tüm dosyalarını şifreliyor.

Çalınan Dijital İmzaları Kullanmak: Antivirüs programlarına karşı korunmak babında hacker, kötücül kodlarını Tencent Technologies’den güvenilir bir dijital imza ile imzaladı ve “Tencent Games, League of Legends, tmp, rtl ve program” gibi bazı belirli dizinlerdeki verileri şifrelemekten kaçındı.

Bir kez şifrelendiğinde fidye yazılımı, pop-up ile kullanıcıların kendisine 3 gün içinde şifre çözme anahtarını almak için WeChat hesabına 110 yuan ödemesini isteyen bir not gösteriyor.

Söylediği zaman içerisinde ödeme gerçekleşmezse bu kötücül yazılım, kullanıcıları uzaktan komuta kontrol sunucusundan otomatik olarak şifre çözme anahtarını silmek ile tehdit ediyor.

 

 

Kullanıcının dosyalarını şifrelemenin yanısıra bu fidye yazılımı usulca, popüler Çin web sitelerindeki ve sosyal medya hesaplarındaki kullanıcı giriş bilgilerini de çalıyor ve bunları uzak sunucuya yolluyor.

Ayrıca, işlemci modeli, ekran çözünürlüğü, ağ bilgisi ve kurulu yazılımlar listesi gibi bilgiler dahil detaylı bir sistem bilgisi de topluyor.

Bu Ucuz Fidye Yazılımı Crack’lendi: Çinli siber güvenlik araştırmacıları, fidye yazılımınım çok zavallıca programlandığını ve hacker’ın şifreleme işlemi hakkında yalan söylediğini buldular.

Fidye yazılımı notunda şöyle diyor:

“Kullanıcıların dosyaları DES şifreleme algoritması kullanarak şifrelendi. Aslında daha az güvenlikli bir XOR cipher kullanarak dosyaları şifreledi ve şifreyi kırma anahtarı da kurbanın bilgisayarının içinde şu gizli klasörde saklı:

%user%AppDataRoamingunname_1989dataFileappCfg.cfg”

Bu bilgiyi kullanarak Velvet, herhangi bir fidye ödemelerine gerek kalmadan kolaylıkla şifrelenmiş dosyaların şifresini çözen ücretsiz bir fidye yazılımı şifre çözme aracı oluşturdu ve piyasaya sundu.

Araştırmacılar ayrıca hacker’ın komuta kontrol ve MySQL veritabanı sunucularını crack’lemeyi ve erişim sağlamayı başardılar ve binlerce çalınmış kimlik bilgisinin depolandığını gördüler.

Peki Bu İşin Ardında Kim Var?: Alenen mevcut bilgileri kullanarak araştırmacılar, yazılımcı olan ve “lsy resource assistant” ve “LSY classic alarm v1.1” gibi uygulamaları geliştiren “Luo” isimli bir şüpheli buldular.

Hacker’ın WeChat hesabından yola çıkılarak araştırmacılar, Lua’nın QQ hesap numarası, telefon numarası, Alipay ID’si gibi bilgilerini topladılar.

Bu tehditin farkına vardıktan sonra WeChat de ayrıca bu hacker’ın fidye ödemelerini almak için kullandığı hesabını hizmetinden uzaklaştırdı.

Velvet araştırmacıları ayrıca Çin emniyet teşkilatlarını da tüm mevcut bilgiler ile beraber daha kapsamlı bir soruşturma için malumat vermişler.

Etiketler
Daha Fazla Göster

YavuzhanD

Kocaeli Üniversitesi Bilgisayar Programcılığı öğrencisiyim. Sofya'da Todor Kableshkov Higher School of Transport'da Erasmus+ yaptım.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir