İki Fidye Yazılım Ailesi için Yayınlanan Ücretsiz Şifre Çözücüler

Güvenlik araştırmacıları, iki farklı fidye yazılımı ailesinin kurbanlarının dosyalarını ücretsiz olarak kurtarmak için kullanabilecekleri şifre çözme araçlarını piyasaya sürdü.

25 Eylül’de Kaspersky Lab, hem Yatron hem de FortuneCrypt kripto-fidye yazılım aileleri için şifre çözücüler tanıttı.

İlk tehdit analizinde, Rus güvenlik firması Yatron’un kodunun büyük bölümünü Hidden Tear adlı bir kripto-malware türünden aldığını tespit etti . Bir güvenlik araştırmacısı, birkaç yıl önce Hidden Tear’ın “eğitim amaçlı” kodunu yayınladı. Araştırmacının iyi niyetlerine rağmen, kötü aktörler kendi yarattıklarını geliştirmek için Hidden Tear’ı kötüye kullandılar. Gerçekten de Kaspersky, yalnızca bir önceki yıla göre 600’ün üzerinde Hidden Tear değişikliğinden kaynaklanan enfeksiyonları belgelemiştir.

Yatron enfeksiyonu ekran görüntüsü. (Kaynak: Kaspersky Lab)

Yatron veya Trojan-Ransom.MSIL.Tear’ın arkasındaki kişiler, Hidden Tear’ı etkileyerek dosyalara .Yatron uzantısını ekleyecek şekilde değiştirdi. Fakat yaratılış kodunu diğer hatalar için gözden geçirmediler. Bu, Kaspersky’nin bir kusurdan yararlanmasını ve böylece ücretsiz bir şifre çözme yardımcı programı geliştirmesini sağladı.

Aynı gün, araştırmacılar FortuneCrypt için bir şifre çözücü yayınladılar. Bu kötü amaçlı yazılım Kaspersky’de, yeni başlayan programcılara hitap etmek için tasarlanmış bir programlama dili olan Blitz BASIC’de yazılan ilk fidye yazılımı türü olduğu izlenimini verdi. Bununla birlikte, tehdidin, kullanıcıların verilerini karıştırmak için zayıf bir şifreleme rutini kullanması ve böylece Kaspersky’nin kurtarma aracı yapmasına izin vermesi şaşırtıcı değildir.

FortuneCrypt’ın fidye notu. (Kaynak: Kaspersky Lab)

Kaspersky Lab araştırmasında, bu iki kötü amaçlı yazılım ailesinin, dijital suçluların, yeni tehditler ve saldırı yöntemleri ile kullanıcılara avlanma taahhüdünü gösterdiğini belirtti.

Günümüzde, siber suçluların fidye yazılımı yaratmanın ve yaymanın bin bir yolu var. Bu tür kötü amaçlı yazılımların yaratılmasının ardında iki genel senaryo vardır: birinde suçlular mevcut kötü amaçlı kaynak kodunu yeniden yapılandırmayı tercih eder; diğerinde, bazen çok özel diller kullanarak  kendi fidye yazılımlarını yazmayı seçiyorlar.

Kuruluşlar, Kaspersky’nin bulgularına göre hareket etmeli ve yatron ve FortuneCrypt’den daha zor olan kripto-kötü amaçlı yazılım ailelerine karşı kendilerini korumalıdır.

Burada bahsi geçen şifre çözücüler, aşağıdaki kaynaklardan indirilebilen Kaspersky’nşn RakhniDecryptor aracına eklenmiştir:

https://support.kaspersky.com/viruses/disinfection/10556

https://www.nomoreransom.org/en/decryption-tools.html

About The Author

Reply