BadRabbit Ransomware WannaCry Kötü amaçlı fidye yazılımından sonra gerçekleştirilen en tehlikeli ikinci saldırı olarak bildirilen ve dünya genelini bu zaafiyete karşı alarm haline geçiren BadRabbit Ransomware hakkında sizlere bilgi vereceğiz.
BadRabbit kötü amaçlı fidye yazılımı; bilgisayarınıza bulaştıktan sonra dosya sisteminiz üzerinde değişiklik yaparak dosyalarınızı cyrpto ediyor ve tekrar erişmek istediğinizde sizden 300$ bedel istiyor.
BadRabbit ilk olarak Rusya ve Ukrayna’da tespit edildi. Fakat şu anda Türkiye’de dahil olmak üzere 17 ülkede binlerce bilgisayara bulaşarak, Bilişim dünyası için büyük tehdit oluşturmakta.
Bu virüs bilgisayarımıza nasıl bulaşıyor;
Virüsün yapılan kontrollerde Adobe Flash Player güncellemesi gibi görünen sahte bir yazılımla geldiği tespit edilmiştir. Virüsün bulaşması durumunda ekrana kırmızı yazılı ‘Bad Rabbit’ uyarısı çıkıyor ve 48 saate ayarlı saat geri saymaya başlıyor. Bilgisayarın sahibine bir site adresi verilerek buraya 0,05 bitcoin (yaklaşık 300 dolar) ödeme yapılması isteniyor. Ödeme yapıldıktan sonra bilgisayarı çözen şifre veriliyor. Ödemenin 48 saat içerisinde yapılmaması durumunda fiyat iki misline çıkıyor.
Şifrelediği dosya uzantıları
BadRabbit iki farklı modülden oluşuyor. İlk modül, klasik fidye yazılımlarında olduğu gibi dosyaların ilk 1 MB’lık bölümünü şifreliyor. Şifrelenen dosya uzantıları şu şekilde:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Dosyaların şifrelenmesi için 128 bit AES algoritmasını kullanan yazılım, daha sonra bu anahtarı da RSAaçık anahtarı ile şifreliyor. İkinci modül ise BadRabbit fidye yazılım ailesinden yadigar. İşletim sisteminin Master Boot Record (MBR) bölümüne yerleşen yazılım, sistemin her boot edilişinde otomatik olarak çalışmasını sağlıyor. Gerekli izinlere de sahip olduktan sonra yazılım, Master File Table‘ı tespit ettikten sonra Salsa20 stream ile şifreliyor. Master File Table, NTFS dosya sisteminin veri yapısını tutan bir veri tablosu. Her dosyanın, disk üzerinde nerede bulunduğu bilgisini içeren Master File Table sayesinde BadRabbit, her dosyanın nerede olduğunu takip ediyor.
BadRabbit’den nasıl korunacağız.
– Mutlaka güncel ve aktif bir güvenlik yazılımı kullanın.
– Sistem yamalarını güncelleyin.
– İşleri gereği sürekli farklı kişilerden e-posta alan iş arkadaşlarınızı uyarın.
– Verilerinizi düzenli olarak yedekleyin. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır.
– Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırın.
– Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alın.
– C:\windows\infpub.dat ve C:\windows\cscc.dat dosyalarını oluşturun ve tüm izinlerini (okuma,yazma) iptal ediniz.
Virüsün bulaştığı siteler;
-
hxxp://argumentiru[.]com
-
hxxp://www.fontanka[.]ru
-
hxxp://grupovo[.]bg
-
hxxp://www.sinematurk[.]com
-
hxxp://www.aica.co[.]jp
-
hxxp://spbvoditel[.]ru
-
hxxp://argumenti[.]ru
-
hxxp://www.mediaport[.]ua
-
hxxp://blog.fontanka[.]ru
-
hxxp://an-crimea[.]ru
-
hxxp://www.t.ks[.]ua
-
hxxp://most-dnepr[.]info
-
hxxp://osvitaportal.com[.]ua
-
hxxp://www.otbrana[.]com
-
hxxp://calendar.fontanka[.]ru
-
hxxp://www.grupovo[.]bg
-
hxxp://www.pensionhotel[.]cz
-
hxxp://www.online812[.]ru
-
hxxp://www.imer[.]ro
-
hxxp://novayagazeta.spb[.]ru
-
hxxp://i24.com[.]ua
-
hxxp://bg.pensionhotel[.]com
-
hxxp://ankerch-crimea[.]ru
