{"id":5757,"date":"2019-03-13T21:16:45","date_gmt":"2019-03-13T18:16:45","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=5757"},"modified":"2019-11-15T14:32:02","modified_gmt":"2019-11-15T11:32:02","slug":"gandcrab-ransomware-is-back","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/gandcrab-ransomware-is-back\/5757\/","title":{"rendered":"Porno \u015fantaj\u0131 uygulamas\u0131 GandCrab geri d\u00f6nd\u00fc"},"content":{"rendered":"

\u201cWeb kameran\u0131 ele ge\u00e7irdik ve seni porno izlerken yakalad\u0131k.\u201d Verilerini \u015fifreledik. \u015eimdi de fidye istiyoruz.\u201d Benzer bir \u015fantaj y\u00f6netminin<\/a> ge\u00e7en y\u0131l ola\u011fan\u00fcst\u00fc bir ba\u015far\u0131 kazand\u0131\u011f\u0131n\u0131 hat\u0131rl\u0131yor olabilirsiniz. Do\u011frusu, bitmekte olan bu \u015fantaj doland\u0131r\u0131c\u0131l\u0131\u011f\u0131n\u0131n arkas\u0131nda fidye yaz\u0131l\u0131m\u0131<\/a> oldu\u011fu s\u00f6ylentileri biraz abart\u0131l\u0131 g\u00f6r\u00fcn\u00fcyor.<\/p>\n

GandCrab fidye yaz\u0131l\u0131m\u0131<\/strong> geri d\u00f6nd\u00fc ve her zamanki gibi aktif. Geli\u015ftiricileri, zor kazand\u0131klar\u0131 ve \u015fu anda ellerinde tuttuklar\u0131<\/a> hisselerini (t\u00fcm fidye yaz\u0131l\u0131m\u0131 piyasas\u0131n\u0131n y\u00fczde 40\u2019\u0131n\u0131) kaybetmemek i\u00e7in s\u00fcrekli yeni versiyonlar\u0131 piyasaya s\u00fcr\u00fcyorlar. GandCrab\u2019\u0131 kiralayan ve yayan sald\u0131rganlar farkl\u0131, yarat\u0131c\u0131 ve hatta bazen romantik taktikler tercih ederek kurbanlara sald\u0131rmaya devam ediyorlar.<\/p>\n

Duygusallar i\u00e7in fidye yaz\u0131l\u0131m\u0131<\/h2>\n

A\u015fk ilanlar\u0131 i\u00e7eren ba\u015fl\u0131klar cazip g\u00f6r\u00fcnebilir ancak \u201cSana a\u015fk mektubum,\u201d \u201cSana a\u015f\u0131k oldum,\u201d ve \u201cSenin hakk\u0131ndaki d\u00fc\u015f\u00fcncelerimi yazd\u0131m,\u201d gibi ifadeler olas\u0131 bir fel\u00e2ketin habercisi olabilir. Sevgililer G\u00fcn\u00fc, Noel, Yeni Y\u0131l veya do\u011fum g\u00fcn\u00fcn\u00fcze yak\u0131n tarihlerde, hatta i\u015f yerinde kasvetli bir Pazartesi g\u00fcn\u00fc bile b\u00f6yle bir mesaj tehlike uyand\u0131rmayabilir bile. Ancak her e-posta kadar bu t\u00fcr e-postalar da dikkatlice incelenmeye de\u011fer.<\/p>\n

Bug\u00fcnlerde ortal\u0131kta dola\u015fan k\u00f6t\u00fc ama\u00e7l\u0131 bir e-postan\u0131n en yayg\u0131n \u00e7e\u015fidi, konu sat\u0131r\u0131nda romantik bir c\u00fcmle, metinde kalp sembol\u00fc ve bir ek i\u00e7erir (genellikle Love_You ad\u0131nda bir ZIP dosyas\u0131 ve ard\u0131ndan gelen birka\u00e7 rakam). \u0130\u00e7indeki JacaScript dosyas\u0131n\u0131 ay\u0131klay\u0131p \u00e7al\u0131\u015ft\u0131r\u0131rsan\u0131z GandCrab fidye yaz\u0131l\u0131m\u0131n\u0131 indirir.<\/p>\n

Ard\u0131ndan, bilgisayar\u0131n\u0131zdaki t\u00fcm verilerin \u015fifrelendi\u011fini ve bu verileri geri almak i\u00e7in fidye (muhtemelen bitcoin cinsinden) \u00f6deyebilece\u011finizi a\u00e7\u0131klayan bir nota y\u00f6nlendirilirsiniz. Kripto para birimlerinin nas\u0131l kullan\u0131ld\u0131\u011f\u0131n\u0131 bilmiyorsan\u0131z sald\u0131r\u0131y\u0131 d\u00fczenleyen \u00e7ete b\u00fcy\u00fck bir nezaket g\u00f6stererek gerekli miktar\u0131 sat\u0131n al\u0131p fidyeyi \u00f6deyece\u011finizi \u00f6\u011fretecek bir canl\u0131 sohbet penceresi sunar.<\/p>\n

\u0130\u015f i\u00e7in fidye yaz\u0131l\u0131m\u0131<\/h2>\n

2017 y\u0131l\u0131nda, BT \u015firketleri i\u00e7in iki y\u00f6netim sistemi aras\u0131ndaki verileri senkronize etmek i\u00e7in kullan\u0131lan bir ara\u00e7taki g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 gideren bir d\u00fczeltme eki yay\u0131mland\u0131. Ancak herkes bu d\u00fczeltme ekini y\u00fcklemedi. 2019\u2019da GandCrab, d\u00fczeltme ekini y\u00fcklemeyen ki\u015fileri hedef al\u0131p<\/a> ula\u015fabildi\u011fi t\u00fcm bilgisayarlar\u0131 \u015fifreliyor.<\/p>\n

G\u00fcvenlik a\u00e7\u0131\u011f\u0131, k\u00f6t\u00fc niyetli ki\u015filerin yeni y\u00f6netici hesaplar\u0131 olu\u015fturmalar\u0131n\u0131 ve buradan fidye yaz\u0131l\u0131m\u0131n\u0131 y\u00f6netilmekte olan u\u00e7 noktalara y\u00fcklemek i\u00e7in komutlar \u00fcretmelerini sa\u011fl\u0131yor. Ba\u015fka bir deyi\u015fle, sald\u0131r\u0131ya u\u011frayan \u015firketin m\u00fc\u015fterilerinin makinelerini \u015fifreliyorlar ve (her zaman kripto para biriminde) geri \u00f6deme talep ediyorlar.<\/p>\n

Pani\u011fe kap\u0131lan sorumlu ki\u015filer (herkes) i\u00e7in fidye yaz\u0131l\u0131mlar\u0131<\/h2>\n

Ka\u00e7\u0131m\u0131z \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131z bina i\u00e7in g\u00fcncellenmi\u015f bir acil \u00e7\u0131k\u0131\u015f haritas\u0131 oldu\u011funu s\u00f6yleyen bir e-posta ekini a\u00e7ard\u0131k? Tamamen bilinmeyen bir adresten gelse bile? B\u00fcy\u00fck ihtimalle, hepimiz. Sonu\u00e7ta, \u00e7ok az ki\u015fi g\u00fcvenlik y\u00f6neticilerinin adlar\u0131n\u0131 hat\u0131rl\u0131yor.<\/p>\n

Sald\u0131rganlar, bir Word dosyas\u0131 eklenmi\u015f olan k\u00f6t\u00fc niyetli e-postalar g\u00f6ndererek bu f\u0131rsat\u0131 k\u00f6t\u00fcye kullanmaya<\/a> ba\u015flad\u0131lar. Belgeyi a\u00e7anlar yaln\u0131zca \u201cAcil \u00e7\u0131k\u0131\u015f haritas\u0131\u201d ba\u015fl\u0131\u011f\u0131n\u0131 ve \u0130\u00e7eri\u011fi Etkinle\u015ftir butonunu g\u00f6r\u00fcyorlar. Butona t\u0131klarsan\u0131z GandCrab fidye yaz\u0131l\u0131m\u0131n\u0131 y\u00fcklemi\u015f olursunuz.<\/p>\n

\u00d6deme yapanlar i\u00e7in fidye yaz\u0131l\u0131m\u0131<\/h2>\n

Ba\u015fka bir taktik, WeTransfer\u2019den indirilebilecek bir faturaya veya \u00f6deme onay\u0131na benzeyen bir e-postay\u0131 kullan\u0131r. Ba\u011flant\u0131, bir \u015fifreyle a\u00e7\u0131lacak bir ZIP veya bazen RAR dosyas\u0131na gider. Ar\u015fivin i\u00e7inde ne oldu\u011funu tahmin edin.<\/p>\n

\u0130talyanlar i\u00e7in fidye yaz\u0131l\u0131m\u0131<\/h2>\n

Ba\u015fka bir \u00e7e\u015fit, Excel dosya eki \u015feklinde bir \u201c\u00f6deme uyar\u0131s\u0131\u201d kullanabilir. Bu eki a\u00e7maya \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131zda bir dosya ileti\u015fim kutusu size \u00e7evrimi\u00e7i olarak \u00f6nizleme yapamayaca\u011f\u0131n\u0131z\u0131 s\u00f6yleyecek ve i\u00e7eri\u011fi g\u00f6rmek i\u00e7in D\u00fczenlemeyi etkinle\u015ftir ve \u0130\u00e7eri\u011fi etkinle\u015ftir\u2019i t\u0131klaman\u0131z\u0131 \u00f6nerecektir.<\/p>\n

\u0130lgin\u00e7 bir \u015fekilde, bu \u00f6zel sald\u0131r\u0131 yaln\u0131zca \u0130talyanlar\u0131 hedef al\u0131yor<\/a> (en az\u0131ndan \u015fimdilik). Gerekli butonlara t\u0131klayarak, i\u015fletim sisteminin y\u00f6netim diline ba\u011fl\u0131 olarak bilgisayar\u0131n\u0131z\u0131n \u0130talya\u2019da olup olmad\u0131\u011f\u0131n\u0131 kontrol eden bir komut dosyas\u0131n\u0131 etkinle\u015ftirirsiniz.<\/p>\n

\u0130talya\u2019da de\u011filse \u00f6zel bir \u015fey olmaz. Ancak \u0130talya\u2019da oldu\u011funuz g\u00f6r\u00fcl\u00fcrse sald\u0131rgan\u0131n mizah anlay\u0131\u015f\u0131n\u0131 bir Mario resmi ile tecr\u00fcbe edersiniz. Super Mario Bros\u2019taki resmi bilirsiniz.<\/p>\n

\"\"

Mario\u2019nun bu resmi, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m indiren k\u00f6t\u00fc ama\u00e7l\u0131 bir kod i\u00e7erir.<\/p><\/div>\n

Dosyan\u0131n i\u00e7eri\u011fini g\u00f6r\u00fcnt\u00fclemek i\u00e7in t\u0131klad\u0131\u011f\u0131n\u0131zda indirilen resim, k\u00f6t\u00fc ama\u00e7l\u0131 PowerShell kodunu i\u00e7erir ve k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 indirmeye ba\u015flar. \u015eu anda, ara\u015ft\u0131rmac\u0131lar bunun tam olarak hangi k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m oldu\u011funa karar veremiyor: Verilerinizi \u015fifreleyen GandCrab<\/a> ya da banka ve \u00e7evrimi\u00e7i hesap bilgilerinizi \u00e7alan<\/a> Ursnif<\/a> olabilir. Do\u011frusunu s\u00f6ylemek gerekirse bu pek bir fark yaratm\u0131yor; buradaki as\u0131l nokta teslimat y\u00f6ntemi ancak bunlar da s\u00fcrekli evriliyor.<\/p>\n

A\u00e7g\u00f6zl\u00fc crabster\u2019a hay\u0131r deyin<\/h2>\n

K\u00f6t\u00fc niyetli ki\u015filer ekibi taraf\u0131ndan geli\u015ftirilen ve m\u00fcmk\u00fcn oldu\u011fu kadar \u00e7ok hedefi \u015fifrelemeye \u00e7al\u0131\u015fan di\u011fer sahtekarlara kiralanan bir hizmet \u015feklindeki fidye yaz\u0131l\u0131m\u0131 olan GandCrab bir\u00e7ok farkl\u0131 ki\u015fi taraf\u0131ndan da\u011f\u0131t\u0131l\u0131r. Ancak teslimat y\u00f6ntemlerindeki farkl\u0131l\u0131klara ra\u011fmen, en iyi uygulamalardan birka\u00e7\u0131 sizi GandCrab\u2019\u0131n a\u00e7g\u00f6zl\u00fc pen\u00e7elerine kar\u015f\u0131 koruyabilir. \u0130\u015fte onlar:<\/p>\n