Siber Güvenlik uzmanları tarafından 9 Ağustos 2016 tarihi itibariyle tesbit edilen ve Unlock92 ismini verdikleri yeni bir Ransomware türü virüsten bahsetmen istiyorum.
Unlock92 fidye aracı diğer Ransomware virüslerinden farkı, daha önce kriptolanmış dosyalarınızı açmak için bir tool gibi kendini tanıtan fakat asıl amacının rastgele oluşturulmuş RSA-2048 anahtarla dosyalarını şifreleyen fidye yazılımı olduğu anlaşılmıştır.
Virüs Döngüsü.
Uygulamayı başlatmak için sisteminide yüklü MS Office programlarını çalıştırıp kendini meşru bir programmış gibi göstermesiyle işleme başlar.
Şekil 3'te görüldüğü gibi Unlock92.exe altında çalışan cmd.exe olduğunu görebiliriz. Netview komut ile erişilebilir etki alanı, bilgisayarlar ve paylaşılan kaynakların listesini oluşturur.
Başarılı bir enfeksiyondan sonra, kurbanın dosyalarını şifreler ve dosya uzantısı olarak ".blocked" ekler.
Şekilde görüldüğü gibi sistemdeki tüm dizinlere talimat dosyası ve keyvalue.bin dosyalarının bir kopyalarını ekler.
Ayrıca bu dosyaları windows başlat menüsüne ekleyerek kurbanın olayda farkındalığını artırmaktadır.
Aşağıdaki görüntüde "Dosyalarınızın nasıl kurtarılması" gerektiğinin talimatını görebilirsiniz.
Önemli Not: Bu tür durumlara maruz kalmamak için her yazımızda olduğu gibi bu yazımızda da tekrar etmekte fayda gördüğüm bir uyarıyı paylaşmak istiyorum. "Lütfen dosyalarınızı düzenli olarak yedekleyin !!!"
