16.8 C
İstanbul
15/04/2024
Image default
HaberlerZararlı Yazılım Analizleri

DLL Fixer ile Cyrat Ransomware

Zararlımız aşağıdaki görselde de ifade edildiği gibi DLL Fixer 2.5 ismindedir ve çalıştırıldığında DLL kontrolleri gerçekleştirdiğini ifade etmektedir. Bu kontroller sonucunda kendi deyimiyle tespit ettiği bozuk dll dosyaları bulduğunu bize göstermektedir. Bu gösterimin arka planında aslında enkript edilen dosyalar bulunmaktadır.

Cyrat Ransomware, dosyaları şifrelemek için Fernet kullanmaktadır. Bu metot küçük boyutlu dosyaları şifrelemek için kullanılan bir simetrik şifreleme algoritmasıdır. Normalde ransomware davranışlarında dosya boyutu fark etmeksizin kriptolama işlemi gerçekleştirilir. Fakat bu yöntem büyük boyutlu dosyalar için uygun olmamaktadır.

Fernet key veya Fernet anahtarı RSA ile kriptolanır. Bu anahtar, ransomware ile birlikte gelmez; Mediafire üzerinden indirilir. Fernet anahtarı “Desktop\EMAIL_US.txt” dosya yolunda kaydedilir.

Cyrat zararlı yazılımı .cyrat uzantısı ile dosyaları kriptolar. Hedeflenen dosya yolları; desktop, dowloads, musics, videos, documents, pictures şeklindedir. Hedeflenen dosya tipleri de aşağıdaki gibidir:

‘doc’, ‘docx’, ‘xls’, ‘xlsx’, ‘ppt’, ‘pptx’, ‘boop’, ‘pst’, ‘ost’, ‘msg’, ’eml’, ‘vsd’, ‘vsdx’, ‘txt’, ‘csv’, ‘rtf’, ‘123’, ‘wks’,  ‘wk1’, ‘pdf’, ‘dwg’, ‘onetoc2’, ‘snt’, ‘jpeg’, ‘jpg’, ‘docb’, ‘docm’, ‘dot’, ‘dotm’, ‘dotx’, ‘xlsm’, ‘xlsb’, ‘xlw’, ‘xlt’, ‘xlm’, ‘xlc’, ‘xltx’, ‘xltm’, ‘pptm’, ‘pot’, ‘pps’, ‘ppsm’, ‘ppsx’, ‘ppam’, ‘potx’, ‘potm’, ‘edb’, ‘hwp’, ‘602’, ‘sxi’, ‘sti’, ‘sldx’, ‘sldm’, ‘sldm’, ‘vdi’, ‘vmdk’, ‘vmx’, ‘gpg’, ‘aes’, ‘PAQ’, ‘bz2’, ‘tbk’, ‘bak’, ‘tar’, ‘tgz’, ‘gz’, ‘7z’, ‘rar’, ‘zip’, ‘backup’, ‘iso’, ‘vcd’, ‘bmp’, ‘png’, ‘gif’, ‘raw’, ‘tif’, ‘tiff’, ‘nef’, ‘psd’, ‘ai’, ‘svg’, ‘djvu’, ‘m4u’, ‘m3u’, ‘mid’, ‘wma’, ‘flv’, ‘3g2’, ‘asf’, ‘mpeg’, ‘vob’, ‘mpg’, ‘swf’, ‘wav’, ‘mp3’, ‘sh’, ‘class’, ‘jar’, ‘java’, ‘rb’, ‘asp’, ‘php’, ‘jsp’, ‘brd’, ‘dch’, ‘dip’, ‘pl’, ‘vb’, ‘vbs’, ‘ps1’, ‘bat’, ‘cmd’, ‘asm’, ‘h’, ‘pas’, ‘c’, ‘cs’, ‘suo’, ‘sln’, ‘ldf’, ‘mdf’, ‘ibd’, ‘myi’, ‘myd’, ‘frm’, ‘odb’, ‘dbf’, ‘db’, ‘mdb’, ‘accdb’, ‘sql’, ‘sqlitedb’, ‘sqlite3’, ‘lay6’, ‘lay’, ‘mml’, ‘sxm’, ‘otg’, ‘odg’, ‘uop’, ‘std’, ‘sxd’, ‘otp’, ‘odp’, ‘wb2’, ‘slk’, ‘dif’, ‘stc’, ‘sxc’, ‘ots’, ‘ods’, ‘3dm’, ‘max’, ‘3ds’, ‘uot’, ‘stw’, ‘sxw’, ‘ott’, ‘odt’, ‘p12’, ‘csr’, ‘key’, ‘pfx’, ‘der’, ‘deb’, ‘mpeg’, ‘WEBM’, ‘MPG’, ‘MP2’, ‘MPEG’, ‘MPE’, ‘MPV’, ‘OGG’, ‘3gp’, ‘mp3’, ‘json’, ‘css’, ‘html’, ‘py’, ‘exe’, ‘MP2’, ‘MPEG’, ‘MPE’, ‘MPV’, ‘OGG’, ‘3gp’, ‘mp3’

Hedeflenen her klasörde RANSOME_NOTE.txt isimli fidye notu oluşturulur. Buna ek olarak ransomware için gerekli duvar kağıdı mesajı images.idgesg.net üzerinden indirilir ve Documents\background_img.png dosya yoluna kaydedilir. Bu duvar kağıdı farklı olarak sadece kullanıcının dikkatini çekmek amaçlıdır. Görselde ransomware hakkında herhangi bir içerik bulunmamaktadır. Ransomware notu aşağıdaki görseldeki gibidir:

 

Bu işlemlerle birlikte Cyrat, Volume Shadow Copy (VSS) kayıtları siler ve cmd kullanımı disable hale getirir. Başlangıç menüsünden ve görev yöneticisinden RUN prosesine erişim engellenir. Kalıcılık sağlamak için kendini otomatik başlangıç sağlamak adına \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup dosya yoluna kopyalar. Enfekte olan cihazın yeniden başlatılması zararlının aktif olması için yeterlidir. Zararlı büyük ölçüde Windows İşletim Sistemlerini hedef almaktadır. Fakat diğer sistemleri de hedefleyen kod parçaları bulunduğu tespit edilmiştir.

 

Dekript işlemi için saldırganla iletişim kurulduğunda aşağıdaki not kurban ile paylaşılmaktadır:

“We got your message, calm down your files are safe you will only get them back if you obey and follow the instruction. You know about bitcoin now? Did The page we put there to help you get bitcoin help? If no you can use google and find how to get bitcoin in your country and get $1,000 worth of bitcoin sent to this bitcoin address: <redacted> Your two days count start now, we have full access to your computer and we know you are reading this now. $500 will be added each day once the two days elapse and you didn’t make payment for the decryptor. Don’t think we won’t delete those files if we don’t hear from you because we will.”

Fidyenin 1000 dolar olduğu ve ödeme için 2 günün bulunduğu ve 2 günden sonra fidyenin ödenmediği her gün fazladan 500 dolar talep edildiği belirtilmiştir.

Zararlıya ilşkin IOC bilgileri aşağıdaki gibidir:

MD5: 7b88e1eaa07151fc0d7639574fc7f40fa5be8aa3 (VT: 43/68)

SHA-1: 7b88e1eaa07151fc0d7639574fc7f40fa5be8aa3

SHA-256: 4b76ad80e9ce4c503bde0e476a88447426fc38315d440d22926627295e1b0ec6

RSA Public Key Kaynağı: hxxp://download1582.mediafire.com/c91ywpc4l7ag/xj26578psz6n9xo/public_key.pem

Duvar Kağıdı: hxxps://images.idgesg.net/images/article/2020/05/ransomware_attack_worried_businessman_by_andrey_popov_gettyimages-1199291222_cso_2400x1600-100840844-large.jpg

Kaynak

https://www.gdatasoftware.com/blog/cyrat-ransomware 

Related posts

SeedWorm OrtaDoğu Ülkelerini Hedef Alıyor!

Mustafa Okay Maktav

COVID-19 İÇİN MICROSOFT AÇIK KAYNAK TEHDİT İSTİHBARATI

Mustafa Okay Maktav

Sunburst Backdoor!

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası