Bad Rabbit ile yaşamak !

By | 1 Kasım 2017

Yaklaşık olarak 2 hafta kadar önce yayılmaya başlayan ve ülkemizde etkisini gösteren zararlı yazılımın adını her platformda duymuşsunuzdur.

Karakteristik özelliği ise, fark edilmesi çok zor bir virüs olmasının yanında tüm dosyalarınızı şifreliyor ve dosyalarınıza ulaşmak için sizden ücret talep ediyor. Bu ücreti ödemez iseniz dosyalarınızı sileceğini söylüyor.

Bugün ki yazımızın konusu; bu zararlı yazılım ile nasıl mücadele edilebilir? Nasıl farkına varılır ? Korunmak için hangi önlemler alınabilir ?

BTK’ya bağlı USOM’un yapmış olduğu duyuruya buradan ulaşabilirsiniz.

Yine USOM tarafından yayınlanan statik ve dinamik kod analiz raporuna buradan ulaşabilirsiniz.

Virüs yayılmak için yöntem olarak, “Adobe Flash Player” güncellemesiymiş gibi kendisini gösteriyor.

Böyle bir ekranla karşılaşmanız durumunda kesinlikle Install butonuna tıklamadan sayfadan çıkmanız gerekir.

 

Bulaşma Senaryosu şu şekilde;

  1. “Adobe Flash Player” güncellemesi gibi görünen bir uygulama indirilir ve çalıştırılır, çalıştırılan uygulama yetkili kullanıcı hakları talep eder. (Bu hakları verdiğiniz an)
  2. “C:\Windows\” dizini altında “infpub.dat”, “cscc.dat” ve “dispci.exe” dosyaları oluşturulur. Bu dosyalar aracılığı ile hedef sistem üzerindeki tüm dosyalar şifrelenir.
  3. Bellek üzerindeki kullanıcı adı ve parola bilgileri elde edilir.
  4. SMB servisi üzerinden yayılmak istenen zararlı yazılım, bellek üzerinden elde ettiği kullanıcı ve parola ikilisi kullanılarak diğer bilgisayarlara aktarılmaya çalışılır. Başarılı olunca süreç tekrarlanır.
  5. Hedef sistem üzerinde boot ayarları değiştirilip uyarı ekranı çıkacak ve “C:\” dizininde “Readme.txt” isimli bir not içerisinde kullanıcıdan fidye istenir.

 

Alınması Gereken Önlemler;

  1. Güvenli olmayan kaynaklardan “.exe” başta olmak üzere hiçbir dosya türünü indirmeyin ve çalıştırmayın.
  2. Son kullanıcılarda “local admin” yetkisine sahip kullanıcılar kullanmayın.
  3. Basit parola ve kullanıcı isimlerinden uzak durun.
  4. İşletim sisteminiz ve antivirüs programınız daima aktif ve güncel olsun.
  5. WMIC(Windows Management Instrumentation Command-line) kullanımından uzak durun(Bazı sistemler WMI’yı farklı amaçlarda kullanabilir, kapatılması sorunlara yol açabilir)