Porno şantajı uygulaması GandCrab geri döndü

Mart 13, 2019

“Web kameranı ele geçirdik ve seni porno izlerken yakaladık.” Verilerini şifreledik. Şimdi de fidye istiyoruz.” Benzer bir şantaj yönetminin geçen yıl olağanüstü bir başarı kazandığını hatırlıyor olabilirsiniz. Doğrusu, bitmekte olan bu şantaj dolandırıcılığının arkasında fidye yazılımı olduğu söylentileri biraz abartılı görünüyor.

GandCrab fidye yazılımı geri döndü ve her zamanki gibi aktif. Geliştiricileri, zor kazandıkları ve şu anda ellerinde tuttukları hisselerini (tüm fidye yazılımı piyasasının yüzde 40’ını) kaybetmemek için sürekli yeni versiyonları piyasaya sürüyorlar. GandCrab’ı kiralayan ve yayan saldırganlar farklı, yaratıcı ve hatta bazen romantik taktikler tercih ederek kurbanlara saldırmaya devam ediyorlar.

Duygusallar için fidye yazılımı

Aşk ilanları içeren başlıklar cazip görünebilir ancak “Sana aşk mektubum,” “Sana aşık oldum,” ve “Senin hakkındaki düşüncelerimi yazdım,” gibi ifadeler olası bir felâketin habercisi olabilir. Sevgililer Günü, Noel, Yeni Yıl veya doğum gününüze yakın tarihlerde, hatta iş yerinde kasvetli bir Pazartesi günü bile böyle bir mesaj tehlike uyandırmayabilir bile. Ancak her e-posta kadar bu tür e-postalar da dikkatlice incelenmeye değer.

Bugünlerde ortalıkta dolaşan kötü amaçlı bir e-postanın en yaygın çeşidi, konu satırında romantik bir cümle, metinde kalp sembolü ve bir ek içerir (genellikle Love_You adında bir ZIP dosyası ve ardından gelen birkaç rakam). İçindeki JacaScript dosyasını ayıklayıp çalıştırırsanız GandCrab fidye yazılımını indirir.

Ardından, bilgisayarınızdaki tüm verilerin şifrelendiğini ve bu verileri geri almak için fidye (muhtemelen bitcoin cinsinden) ödeyebileceğinizi açıklayan bir nota yönlendirilirsiniz. Kripto para birimlerinin nasıl kullanıldığını bilmiyorsanız saldırıyı düzenleyen çete büyük bir nezaket göstererek gerekli miktarı satın alıp fidyeyi ödeyeceğinizi öğretecek bir canlı sohbet penceresi sunar.

İş için fidye yazılımı

2017 yılında, BT şirketleri için iki yönetim sistemi arasındaki verileri senkronize etmek için kullanılan bir araçtaki güvenlik açığını gideren bir düzeltme eki yayımlandı. Ancak herkes bu düzeltme ekini yüklemedi. 2019’da GandCrab, düzeltme ekini yüklemeyen kişileri hedef alıp ulaşabildiği tüm bilgisayarları şifreliyor.

Güvenlik açığı, kötü niyetli kişilerin yeni yönetici hesapları oluşturmalarını ve buradan fidye yazılımını yönetilmekte olan uç noktalara yüklemek için komutlar üretmelerini sağlıyor. Başka bir deyişle, saldırıya uğrayan şirketin müşterilerinin makinelerini şifreliyorlar ve (her zaman kripto para biriminde) geri ödeme talep ediyorlar.

Paniğe kapılan sorumlu kişiler (herkes) için fidye yazılımları

Kaçımız çalıştığınız bina için güncellenmiş bir acil çıkış haritası olduğunu söyleyen bir e-posta ekini açardık? Tamamen bilinmeyen bir adresten gelse bile? Büyük ihtimalle, hepimiz. Sonuçta, çok az kişi güvenlik yöneticilerinin adlarını hatırlıyor.

Saldırganlar, bir Word dosyası eklenmiş olan kötü niyetli e-postalar göndererek bu fırsatı kötüye kullanmaya başladılar. Belgeyi açanlar yalnızca “Acil çıkış haritası” başlığını ve İçeriği Etkinleştir butonunu görüyorlar. Butona tıklarsanız GandCrab fidye yazılımını yüklemiş olursunuz.

Ödeme yapanlar için fidye yazılımı

Başka bir taktik, WeTransfer’den indirilebilecek bir faturaya veya ödeme onayına benzeyen bir e-postayı kullanır. Bağlantı, bir şifreyle açılacak bir ZIP veya bazen RAR dosyasına gider. Arşivin içinde ne olduğunu tahmin edin.

İtalyanlar için fidye yazılımı

Başka bir çeşit, Excel dosya eki şeklinde bir “ödeme uyarısı” kullanabilir. Bu eki açmaya çalıştığınızda bir dosya iletişim kutusu size çevrimiçi olarak önizleme yapamayacağınızı söyleyecek ve içeriği görmek için Düzenlemeyi etkinleştir ve İçeriği etkinleştir’i tıklamanızı önerecektir.

İlginç bir şekilde, bu özel saldırı yalnızca İtalyanları hedef alıyor (en azından şimdilik). Gerekli butonlara tıklayarak, işletim sisteminin yönetim diline bağlı olarak bilgisayarınızın İtalya’da olup olmadığını kontrol eden bir komut dosyasını etkinleştirirsiniz.

İtalya’da değilse özel bir şey olmaz. Ancak İtalya’da olduğunuz görülürse saldırganın mizah anlayışını bir Mario resmi ile tecrübe edersiniz. Super Mario Bros’taki resmi bilirsiniz.

Mario’nun bu resmi, kötü amaçlı yazılım indiren kötü amaçlı bir kod içerir.

Dosyanın içeriğini görüntülemek için tıkladığınızda indirilen resim, kötü amaçlı PowerShell kodunu içerir ve kötü amaçlı yazılımı indirmeye başlar. Şu anda, araştırmacılar bunun tam olarak hangi kötü amaçlı yazılım olduğuna karar veremiyor: Verilerinizi şifreleyen GandCrab ya da banka ve çevrimiçi hesap bilgilerinizi çalan Ursnif olabilir. Doğrusunu söylemek gerekirse bu pek bir fark yaratmıyor; buradaki asıl nokta teslimat yöntemi ancak bunlar da sürekli evriliyor.

Açgözlü crabster’a hayır deyin

Kötü niyetli kişiler ekibi tarafından geliştirilen ve mümkün olduğu kadar çok hedefi şifrelemeye çalışan diğer sahtekarlara kiralanan bir hizmet şeklindeki fidye yazılımı olan GandCrab birçok farklı kişi tarafından dağıtılır. Ancak teslimat yöntemlerindeki farklılıklara rağmen, en iyi uygulamalardan birkaçı sizi GandCrab’ın açgözlü pençelerine karşı koruyabilir. İşte onlar:

  • Beklenmeyen bir e-posta aldığınızda, bir eki açmadan önce iletinin orijinal olduğundan emin olun. Örneğin, göndereni arayın.
  • Her zaman tüm önemli verilerinizin güvenilir ve test edilmiş bir yedeğini alın, böylece acil bir durumda bu verileri geri yükleyebilirsiniz.
  • Hiçbir fidye yazılımının bilgisayarınıza bulaşmamasını sağlamak için iyi bir güvenlik paketi kullanın.

Bu, GandCrab ile asla kişisel olarak karşılaşmamak için yeterli olmalı. Ancak bilgisayarınız zaten GandCrab tarafından şifrelenmişse, hâlâ hasarı en aza indirgeyebilirsiniz:

  • Dosyalarınızı ücretsiz olarak geri alabilirsiniz; No More Ransom projesinin internet sitesindeki şifre çözme aracını kontrol edin. GandCrab Ransomware’in bazı sürümlerinde şifre çözmeyi sağlayan kusurlar mevcut. Maalesef, tüm sürümlerinin şifresi çözülemez.
  • Şifre çözme aracını indirmeden ve çalıştırmadan önce, fidye yazılımını cihazınızdan kaldırmak için güvenilir bir virüsten koruma çözümü kullanın. Aksi takdirde, kötü amaçlı yazılım sisteminizi sürekli olarak kilitler veya dosyalarınızı şifreler.