{"id":4907,"date":"2018-05-16T11:28:48","date_gmt":"2018-05-16T08:28:48","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=4907"},"modified":"2018-09-18T15:30:51","modified_gmt":"2018-09-18T12:30:51","slug":"synack-ransomware-featured","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/synack-ransomware-featured\/4907\/","title":{"rendered":"SynAck fidye yaz\u0131l\u0131m\u0131: Doppelg\u00e4ngster"},"content":{"rendered":"

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar, vir\u00fcs korumalar\u0131 taraf\u0131ndan fark edilmemek i\u00e7in yeni i\u015flevler ve teknikler ekleyerek yapt\u0131klar\u0131 hilelerle evrim ge\u00e7irir. Bazen bu evrim olduk\u00e7a h\u0131zl\u0131 bir \u015fekilde ger\u00e7ekle\u015fir. \u00d6rne\u011fin; Eyl\u00fcl 2017\u2019den beri (o zamanlar ortalama bir yaz\u0131l\u0131md\u0131, bu kadar usta de\u011fildi) bilinen SynAck fidye yaz\u0131l\u0131m\u0131 yak\u0131n zamanlarda yenilenerek tehdidin alg\u0131lanmas\u0131na y\u00f6nelik daha \u00f6nce g\u00f6r\u00fclmemi\u015f bir etki sunan geli\u015fmi\u015f bir tehlike haline gelmi\u015ftir ve Process Doppelg\u00e4nging ad\u0131nda yeni bir teknik kullanmaktad\u0131r.<\/p>\n

\"\"<\/p>\n

Sinsi sald\u0131r\u0131<\/h2>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m olu\u015fturucular\u0131 yayg\u0131n olarak kod karartma<\/a> y\u00f6netimini kullanarak kodlar\u0131n okunmamas\u0131n\u0131, b\u00f6ylelikle vir\u00fcs korumalar\u0131n\u0131n k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 fark etmemelerini sa\u011fl\u0131yor ve bu ama\u00e7la genellikle \u00f6zel paket yaz\u0131l\u0131mlar\u0131 kullan\u0131yor. Fakat vir\u00fcs korumas\u0131 geli\u015ftiricileri bunu fark etti ve art\u0131k vir\u00fcs korumas\u0131 yaz\u0131l\u0131mlar\u0131 bu t\u00fcr paketleri hi\u00e7bir \u00e7aba g\u00f6stermeden a\u00e7abiliyor. SynAck\u2019in arkas\u0131ndaki geli\u015ftiriciler de iki taraftan da daha fazla \u00e7aba gerektiren farkl\u0131 bir yol se\u00e7ti: paket olu\u015fturulmadan \u00f6nce kodun tamamen karart\u0131lmas\u0131, g\u00fcvenlik \u00e7\u00f6z\u00fcmleri i\u00e7in tespit s\u00fcrecinin \u00f6nemli \u00f6l\u00e7\u00fcde zorla\u015ft\u0131r\u0131lmas\u0131.<\/p>\n

SynAck\u2019in yeni s\u00fcr\u00fcm\u00fcn\u00fcn kulland\u0131\u011f\u0131 tek ka\u00e7akl\u0131k yolu bu de\u011fil. Process Doppelg\u00e4nging ad\u0131nda daha karma\u015f\u0131k bir teknik de kullan\u0131yor ve SynAck, bu tekni\u011fi kullanan ilk fidye yaz\u0131l\u0131m\u0131. Process Doppelg\u00e4nging ilk olarak Black Hat 2017<\/a>\u2018de g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131 taraf\u0131ndan ortaya koyuldu, bu etkinlikten sonra su\u00e7lular\u0131n eline ge\u00e7ti ve \u00e7e\u015fitli k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m t\u00fcrlerinde kullan\u0131ld\u0131.<\/p>\n

NTFS (yeni nesil) dosya sistemine ve b\u00fct\u00fcn Windows s\u00fcr\u00fcmlerinin Windows XP\u2019den bu yana sahip oldu\u011fu bir Windows i\u015flem y\u00fckleyicisi miras\u0131na dayanan Process Doppelg\u00e4nging, geli\u015ftiricilerin k\u00f6t\u00fcc\u00fcl eylemleri zarars\u0131z ve yasalm\u0131\u015f gibi g\u00f6steren ve dosya i\u00e7ermeyen k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar geli\u015ftirmelerine m\u00fcsaade ediyor. Teknik biraz karma\u015f\u0131k, bu konuda daha fazla bilgi almak i\u00e7in konu \u00fczerinde Securelist\u2019in yay\u0131nlad\u0131\u011f\u0131 daha detayl\u0131 bir g\u00f6nderiyi inceleyebilirsiniz<\/a>.<\/p>\n

SynAck\u2019in iki \u00f6nemli \u00f6zelli\u011fi daha var. \u00d6ncelikle, do\u011fru adrese indirilip indirilmedi\u011fini kontrol ediyor. Do\u011fru adrese indirilmemi\u015fse \u00e7al\u0131\u015fm\u0131yor, b\u00f6ylelikle \u00e7e\u015fitli g\u00fcvenlik \u00e7\u00f6z\u00fcmlerinin kulland\u0131\u011f\u0131 otomatik korumal\u0131 alanlar\u0131n yaz\u0131l\u0131m\u0131 tespit etmesini \u00f6nl\u00fcyor. Buna ek olarak, belli bir beti\u011fe ayarlanm\u0131\u015f bir klavyesi (bu durumda, Kiril) olan bir bilgisayara indirildi\u011finde de hi\u00e7bir \u015fekilde \u00e7al\u0131\u015fm\u0131yor. Bu, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 belli b\u00f6lgelerle s\u0131n\u0131rlamak i\u00e7in kullan\u0131lan yayg\u0131n bir y\u00f6ntem.<\/p>\n

Klasik su\u00e7<\/h2>\n

Kullan\u0131c\u0131 a\u00e7\u0131s\u0131ndan bak\u0131ld\u0131\u011f\u0131nda, $3.000 gibi fahi\u015f fiyat talepleriyle bilinen SynAck daha \u00e7ok bir fidye yaz\u0131l\u0131m\u0131. SynAck bir kullan\u0131c\u0131n\u0131n dosyalar\u0131n\u0131 \u015fifrelemeden \u00f6nce, aksi takdirde dosyalar\u0131n kullan\u0131mda ve yasak b\u00f6lgede kalmas\u0131n\u0131 sa\u011flayacak baz\u0131 i\u015flemleri yok ederek b\u00fct\u00fcn \u00f6nemli dosyalara eri\u015fim sa\u011flad\u0131\u011f\u0131ndan emin olur.<\/p>\n

Kurban, oturum a\u00e7ma sayfas\u0131nda ileti\u015fim bilgilerini i\u00e7eren bir fidye notu bulur. Ne yaz\u0131k ki, SynAck olduk\u00e7a g\u00fc\u00e7l\u00fc bir \u015fifreleme algoritmas\u0131 kullan\u0131r ve bu algoritman\u0131n uygulanmas\u0131nda bug\u00fcne kadar hi\u00e7bir hata bulunamam\u0131\u015ft\u0131r, bu nedenle \u015fifrelenmi\u015f dosyalar\u0131n \u015fifresinin \u00e7\u00f6z\u00fclmesinin bir yolu yoktur.<\/p>\n

\"\"<\/p>\n

SynAck\u2019in \u00e7o\u011funlukla Remote Desktop Protocol kaba kuvveti taraf\u0131ndan da\u011f\u0131t\u0131ld\u0131\u011f\u0131n\u0131 g\u00f6rd\u00fck. Bu da demektir ki, sald\u0131r\u0131lar genelde i\u015fletme kullan\u0131c\u0131lar\u0131n\u0131 hedef al\u0131yor. Bug\u00fcne kadar hepsi ABD, Kuveyt ve \u0130ran\u2019da meydana gelen s\u0131n\u0131rl\u0131 say\u0131daki sald\u0131r\u0131lar, bu hipotezi do\u011fruluyor.<\/p>\n

Gelecek nesil fidye yaz\u0131l\u0131m\u0131 i\u00e7in haz\u0131rl\u0131k yapma<\/h2>\n

SynAck sizi etkilemese de; bu yaz\u0131l\u0131m\u0131n varl\u0131\u011f\u0131 fidye yaz\u0131l\u0131m\u0131n\u0131n evrildi\u011fine, s\u00fcrekli geli\u015fti\u011fine ve bu yaz\u0131l\u0131mlardan korunman\u0131n zorla\u015ft\u0131\u011f\u0131na y\u00f6nelik olduk\u00e7a g\u00fc\u00e7l\u00fc bir kan\u0131t olu\u015fturuyor. Sald\u0131rganlar yard\u0131mc\u0131 programlar\u0131n var olmas\u0131na neden olan hatalar\u0131 \u00f6nlemeyi \u00f6\u011frendik\u00e7e, \u015fifre \u00e7\u00f6zme yard\u0131mc\u0131 programlar\u0131 gittik\u00e7e azalmaya ba\u015flayacak. Bayra\u011f\u0131 (tahmin etti\u011fimiz gibi<\/a>) gizli madencilere teslim etse de, fidye yaz\u0131l\u0131m\u0131 h\u00e2l\u00e2 b\u00fcy\u00fck bir k\u00fcresel e\u011filim niteli\u011fi ta\u015f\u0131yor ve her \u0130nternet kullan\u0131c\u0131s\u0131n\u0131n b\u00fct\u00fcn bu tehditlere kar\u015f\u0131 nas\u0131l korunaca\u011f\u0131n\u0131 bilmesi gerekiyor.<\/p>\n

\u0130\u015fte, vir\u00fcslerden korunman\u0131z veya gerekli oldu\u011funda sonu\u00e7lar\u0131 en aza indirmeniz i\u00e7in birka\u00e7 ipucu.<\/p>\n