Virüsün etki alanına bakarsak doğu Avrupa ülkeri, Türkiye ve Rusya başta gelmektedir. Şuan için etkilenmemiş olabilirsiniz fakat dikkat etmezseniz etkilenmeyeceğiniz anlamına gelmez. Virüs aktif konuma geçebilmesi için sahte bir Flash player uyarısı vermektedir bununla birlikte ekrana çıkan indirme linkine tıklayınca birden virüs bulaşmış olacaktır.. Virüs sadece size bulaşmış olmayacaktır. Bir anda ağınızdaki herkese bulaşıp verilerinizi şifreleyecek ve size bir süre verecek bu süre zarfında gerekli ödemeyi Bitcoins olarak yapmazsınız yaklaşık olarak 300 dolar size fiyatı iki misli olarak önünüze çıkarmaktadır.. Diğer ransomware yazılımlarda olduğu gibi hızlı yayılmaktadır..
Bu tarz yazılımları etkisiz hale getirmesi için sandbox antivirüs geliştirilmiş izlediğim videolarda önlemi yer almaktadır fakat sizlere bu konuda daha faydalı olacak dikkat etmeniz gereken bir kaç şeyden bahsetmek isterim
Tıkladığınız linklere dikkat ederek içeriğini dikkatlice kontrol etmelisiniz. Linkler sizleri alakasız sitelere yönlendiriyor olabilir.. Bizler bu tarz saldırıları kolay kolay yemeyiz ama başkaları dikkat etmezse ya da ailenize anlatmazsanız onlar hata yapabilirler..
Kurumsal siteler adı altında sizlere sahte mesajlar atabilirler ve flash player gibi farklı programlarınızı güncellemenizi isteyerek sizlere zarar verebilirler..
Virüs etki alanı
Virüs yayılırken daha çok sosyal mühendis tekniği gibi hareket eder ve karşısındakini virüsü çalıştırmaya ikna eden bir yöntem belirler çalıştığı andan itibaren virüs c :/ windows dizinine kendisini yükler.. Adını infpub.dat olarak belirler ve çalışmaya başlar..
"C: \ Windows \ system32 \\ rundll32.exe C: \ Windows \\ infpub.dat, # 1 15"
Ağımızda TCP bağlantımızdaki hareketleri bu şekilde seyretmektedir..
Virüs bazı öğeleri etkisi altına alarak çalışır ve start menüsüne yerleşir.
Badrabbit dosyaları aynı şekilde şifreler.. CBC modunda Güçlü bir AES algoritması kullanır.. dosya uzantılarını değiştirmez dosya uzantılarının sonuna şifrelendiğini gösteren yazı ekler..
Virüs bulaştığı andan itibaren ekrana attığı not örneği readme.txt dosyasına ekler.. görüldüğü gibi ekrandadır..
Görüldüğü gibi ransomware yazılımların genel özelliklerini yansıtmaktadır.. petya virüsü özellikleri taşımaktadır ve benzerlik göstermektedir..
Amaç bitcoins üzerinden paralar vurmak ama ne manidarki saldırının hedefi Almanya türkiye ukrayna rusyadır..
Petya virüs algoritmasıyla benzer özellikleri olduğu görünmektedir.. Saldırı başlatma anı ve çalışma şeklinin benzer olduğu tespit edilmiştir. Aynı derleyiciler kullanılmış olduğu görünmektedir. Petya virüsünde olduğu gibi windows un SMB ağını kullanıdığı görülmektedir.. Yerel ağ içerisinde verilen dizinleri taradığı tespit edilmiştir.
admin
atsvc
tarayıcı
eventlog
lsarpc
Netlogon
ntsvcs
spoolss
samr
srvsvc scerpc
svcctl
wkssvc