Bad Rabbit Ransomware Analiz

Virüsün etki alanına bakarsak doğu Avrupa ülkeri, Türkiye ve Rusya başta gelmektedir. Şuan için etkilenmemiş olabilirsiniz fakat dikkat etmezseniz etkilenmeyeceğiniz anlamına gelmez. Virüs aktif konuma geçebilmesi için sahte bir Flash player uyarısı vermektedir bununla birlikte ekrana çıkan indirme linkine tıklayınca birden virüs bulaşmış olacaktır.. Virüs sadece size bulaşmış olmayacaktır. Bir anda ağınızdaki herkese bulaşıp verilerinizi şifreleyecek ve size bir süre verecek bu süre zarfında gerekli ödemeyi Bitcoins olarak yapmazsınız yaklaşık olarak 300 dolar size fiyatı iki misli olarak önünüze çıkarmaktadır.. Diğer ransomware yazılımlarda olduğu gibi hızlı yayılmaktadır..

badmit

Bu tarz yazılımları etkisiz hale getirmesi için sandbox antivirüs geliştirilmiş izlediğim videolarda önlemi yer almaktadır fakat sizlere bu konuda daha faydalı olacak dikkat etmeniz gereken bir kaç şeyden bahsetmek isterim
Tıkladığınız linklere dikkat ederek içeriğini dikkatlice kontrol etmelisiniz. Linkler sizleri alakasız sitelere yönlendiriyor olabilir.. Bizler bu tarz saldırıları kolay kolay yemeyiz ama başkaları dikkat etmezse ya da ailenize anlatmazsanız onlar hata yapabilirler..
Kurumsal siteler adı altında sizlere sahte mesajlar atabilirler ve flash player gibi farklı programlarınızı güncellemenizi isteyerek sizlere zarar verebilirler..

Virüs etki alanı
Virüs yayılırken daha çok sosyal mühendis tekniği gibi hareket eder ve karşısındakini virüsü çalıştırmaya ikna eden bir yöntem belirler çalıştığı andan itibaren virüs c :/ windows dizinine kendisini yükler.. Adını infpub.dat olarak belirler ve çalışmaya başlar..

"C: \ Windows \ system32 \\ rundll32.exe C: \ Windows \\ infpub.dat, # 1 15"

badmit

 

 

 

 

Ağımızda TCP bağlantımızdaki hareketleri bu şekilde seyretmektedir..

badmit

 

 

 

 

 

 

Virüs bazı öğeleri etkisi altına alarak çalışır ve start menüsüne yerleşir.

badmit badmit

 

 

 

 

 

 

Badrabbit dosyaları aynı şekilde şifreler.. CBC modunda Güçlü bir AES algoritması kullanır.. dosya uzantılarını değiştirmez dosya uzantılarının sonuna şifrelendiğini gösteren yazı ekler..

bamit

 

 

 

 

 

Virüs bulaştığı andan itibaren ekrana attığı not örneği readme.txt dosyasına ekler.. görüldüğü gibi ekrandadır..

badmit

 

 

 

 

 

 

 

 

 

Görüldüğü gibi ransomware yazılımların genel özelliklerini yansıtmaktadır.. petya virüsü özellikleri taşımaktadır ve benzerlik göstermektedir..
Amaç bitcoins üzerinden paralar vurmak ama ne manidarki saldırının hedefi Almanya türkiye ukrayna rusyadır..

badmit

Petya virüs algoritmasıyla benzer özellikleri olduğu görünmektedir.. Saldırı başlatma anı ve çalışma şeklinin benzer olduğu tespit edilmiştir. Aynı derleyiciler kullanılmış olduğu görünmektedir. Petya virüsünde olduğu gibi windows un SMB ağını kullanıdığı görülmektedir.. Yerel ağ içerisinde verilen dizinleri taradığı tespit edilmiştir.

admin 
atsvc 
tarayıcı 
eventlog 
lsarpc
Netlogon 
ntsvcs 
spoolss 
samr 
srvsvc scerpc 
svcctl 
wkssvc

Yorum yapın