Yazılar

Tox ile üç aşamada zararlı yazılım üretmek

Ülkemizde de son dönemde oldukça popüler olan Ransomware zararlı yazılımları üretmek oldukça kolaylaştı. Verilerin şifrelenip para talep edildiği bu yazılımlardan Tox siber yeraltı dünyasına hızlı bir giriş yaptı.

Yeni Ransomware üretme kiti ortaya çıkalı fazla bir zaman olmadı. 19 Mayıs’ta başlayan servis oldukça ilgi görüyor. Yazarları Tox’u şöyle ifade ediyor; “Geliştirdiğimiz virüs Windows işletim sisteminde açıldığında tüm dosyaları şifreliyor. Şifreleme tamamlandıktan sonra ise bir uyarıyla birlikte ücretin ödenmesi için Bitcoin adresini kullanıcıya gösteriyor”

tox-ile-uc-asamada-zararli-yazilim-uretmek_2

Tox üyelik sistemiyle çalışıyor. Siber suçlular kendi viruslerini üretmek için bu servise kayıt oluyorlar. Üstelik bu virusu oluşturmak oldukça basit üç adımdan oluşuyor;

1. Dosyaları şifrelenen kişiden talep edilecek ücret

2. Mesaj

3. Captcha’nın girilmesi

Tox’u yazan kişiler aynı zamanda Tox aracılığıyla alınan paralardan %30 gibi bir yüzde de alıyorlar. Yani şifrelenen dosyalar için 1000$ ücret isteniyorsa bunun 300$ kadar kısmı Tox’u yazanlara gidiyor. Zararlı yazılım anonimliği garanti altına almak için Bitcoin transferlerini Tor üzerinden gerçekleştiriyor. Tox ile üretilen zararlıların antivirusler tarafından tanınma oranı ise hayli düşük. Yazılımı geliştirenler bununla övünüyor.

tox-ile-uc-asamada-zararli-yazilim-uretmek

Tox’un ürettiği zararlı yazılım MinGW ile derleniyor. Bulaştığı sistemde dosyaları şifrelerken ise AES şifreleme ve Crypto++ kütüphanesini kullanıyor. Microsoft CryptoAPI ise anahtar üretmek amacıyla tercih edilmiş.

Türkiye’de henüz Tox kullanımına rastlamadık. Fakat ileriki zamanlarda hem Tox, hem de benzer servislerin Türkiye’ye de uyarlanacağını tahmin etmek zor değil.

Fidye için şifrelenmiş dosyaları çözmenin yeni yolu

fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yoluBir süredir çok sayıda abonesi olan firmaların ismiyle gönderilen phishing mailleri dolaşıyordu. Bunlara tıklayanların sistemindeki veriler şifrelenerek para ödemesi isteniyor. Şimdi ortada yeni bir çözüm var.

Saldırılar önce CryptoLocker türevleri ile başladı. Bu furyanın sonu CryptoLocker’ın şifreleme anahtarının keşfedilmesiyle geldi. Sonrasında ise TorLocker türevi zararlı yazılımlarla dosyalar şifrelenerek kullanıcılardan para toplandı. Halen farklı farklı firmaların ismiyle phishing mailleri gönderilerek kullanıcılar tuzağa düşürülüyor. Torlocker yani Ransom.Win32.Scraper halen çok sayıda varyantıyla birlikte yayılım gösteriyor.

Eğer bulaşan TorLocker zararlı yazılımı dosyaları başarıyla şifreledikten sonra bir güvenlik/antivirus yazılımı tarafından silinirse bir anda arka plan değişerek kırmızı bir uyarı mesajı geliyor. Burada bir .exe dosyasının linki var ve parayı ödeseniz bile bunu yüklemeden dosyaları deşifre edemeyeceğiniz söyleniyor. Aynı zamanda bu ekranda ödeme detaylarını da girebiliyorsunuz.fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yolu_2

Zararlı yazılım Office dosyaları, videolar, ses dosyaları, fotoğraflar, arşiv dosyaları, veritabanları, sertifikalar gibi çok tipte dosyayı şifreliyor. Kullanılan şifreleme ise AES-256 ve RSA-2048. Şifrenin çözülebilmesi için kullanıcılardan ortalama 600 TL isteniyor. Fakat şimdi yeni bir çözüm var ve bununla birlikte şifrelenen dosyaların %70’ine yakınını para ödemeden çözme imkanı mevcut.

Kullanılan algoritmada bulunan zayıflık sebebiyle keşfedilmiş olan çözüm, adına “ScraperDecryptor” denilen araçla TorLocker ve bazı türevleri tarafından şifrelenen dosyalarınızı çözmeye yardımcı oluyor. Yazılımı geliştiren firma zararlıyı geliştiren kişilerin ne hata yaptığını açıklamasa da bu hatayı istismar eden bir araç yayınlamayı ihmal etmedi.

TorLocker ile şifrelenmiş dosyaları çözme için kullanılabilecek ScraperDecryptor uygulamasını buradan indirebilirsiniz.