Gün geçmiyor ki kazanç kapısı halini alan Ransomware türevi Trojanlar çıkmasın. Siber tehdit araştırma şirketleri bu tür trojanların çok başarılı olduğunu açıklamış ve düzenli olarak önümüzdeki günlerde de yeni versiyonlarla bizleri rahatsız edeceğinin sinyallerini vermişlerdir.
Akyol Bilişim olarak, bu tür güvenlik tehdidi oluşturacak Trojan ve diğer tehlikeli yazılımları en kısa zamanda haberlerimizde yayınlayarak sizleri bilgilendirmeye devam edeceğiz. Burada bilgisayar kullanıcılarının yapması gereken çok önemli bir kaç görev düşmektedir.
- Sizler için değerli olan verilerinizi sürekli olarak yedeklemek.
- Bilmediğiniz yerden gelen epostaları açarken çok dikkatli olmak.
- Orjinal lisanslı antivirüs programı yada güvenlik duvarı kullanmak.
- İşletim sisteminizi güncel tutmak.
25 Mayıs 2016 tarihli raporlarda ortaya çıkan ve ismi gibi kötü olan bir trajandan bahsedeceğim. "BadBlock Ransomware". Adından da anlaşılacağı gibi bulaştığı sistemin harddiskindeki verileri şifrelediği gibi disk üzerindeki blokları şifreleyerek sistemin açılmasına da engel olmaktadır.
Trojan Çalışma Döngüsü:
Kullanmış olduğu icon:
Sistemde oluşturduğu dosya ve klasörler:
- %SystemDrive%\Network Prosoft\badransom.exe (copy of itself)
- %SystemDrive%\Network Prosoft\baman.vab
- %SystemDrive%\Network Prosoft\warn (copy of the Help Decrypt.html file)
Badransom.exe çalışmaya başladıktan sonra açılan pencere ve yapılan işlemler:
Badblock managemilz.com adresinde barındırılan bir uzak sunucuya bir kullanıcı kimliği gönderir. Bir yanıtıda kurbanın ödeme yapması için gerekli bilgilerin ve talimatların olduğu Bitcoin hesap adresi dizelerin içeriği alınır. Bu dizede ödeme talimatı içeren Help_decrypt.html dosyasında başvurulmaktadır.
İşlemlerini başarılı şekilde yaptıktan sonra 2 BitCoin yada kabaca 900$ fidye talebinde bulunan içeriği ekranda görüntüler.
Artık bu yardım dosyasını bütün şifrelenmiş dosyaların bulunduğu klasörler içerisinede eklemiştir.
Badblock aşağıdaki dosya uzantılarına sahip dosyaları şifreler:
.asp, .aspx, .avi, .bak, .bmp, .cab, .cer, .chk, .chm, .class, .css, .dat, .data, .db, .dmp, .doc, .dot, .edb, .Evt, .exe, .gif, .htm, .html, .jar, .jpg, .js, .json, .lnk, .log, .lst, .map, .mar, .mdb, .mpp, .pdf, .pem, .pf, .php, .png, .pot, .ppt, .sav, .sdf, .sql, .sqlite, .swf, .txt, .vab, .vbs, .ver, .wav, .wma, .wmv, .xls, .xml, .zip
Bu Ramsomware diğerlerinin aksine şifrelenmiş dosyaların uzantılarını değiştirmemektedir. Ayrıca BadBlock sistem dosyalarınızı da şifrelemektedir. Dolayısıyla bilgisayarınızı yeniden başlattığınız taktirde tekrar açılmayacaktır.
Kurbanın makinesi artık tamamen kilitlenmiş ve açılamayacak durumdadır. progman.exe ve rstrui.exe dosyalarını da şifrelemesinden dolayı sistem geri yüklemesi de çalışmayacaktır.