Fena amaçlı yazılımlar, virüs korumaları tarafınca fark edilmemek için yeni işlevler ve teknikler ilave ederek yaptıkları hilelerle evrim geçirir. Kimi zaman bu evrim oldukça süratli bir halde gerçekleşir. Mesela; Eylül 2017’den beri (o zamanlar averaj bir yazılımdı, bu kadar usta değildi) malum SynAck fidye yazılımı yakın zamanlarda yenilenerek tehdidin algılanmasına yönelik daha ilkin görülmemiş bir tesir sunan gelişmiş bir çekince haline gelmiştir ve Process Doppelgänging isminde yeni bir teknik kullanmaktadır.

Kurnaz hücum

Fena amaçlı yazılım oluşturucuları yaygın olarak kod karartma yönetimini kullanarak kodların okunmamasını, böylelikle virüs korumalarının fena amaçlı yazılımı fark etmemelerini sağlıyor ve bu amaçla çoğu zaman hususi paket yazılımları kullanıyor. Fakat virüs koruması geliştiricileri bunu fark etti ve artık virüs koruması yazılımları bu tür paketleri hiçbir çaba göstermeden açabiliyor. SynAck’in arkasındaki geliştiriciler de iki taraftan da daha çok çaba gerektiren değişik bir yol seçti: paket oluşturulmadan ilkin kodun tamamen karartılması, güvenlik çözümleri için tespit sürecinin mühim seviyede zorlaştırılması.

SynAck’in yeni sürümünün kullandığı tek kaçaklık yolu bu değil. Process Doppelgänging isminde daha karmaşık bir teknik de kullanıyor ve SynAck, bu tekniği kullanan ilk fidye yazılımı. Process Doppelgänging ilk olarak Black Hat 2017‘de güvenlik araştırmacıları tarafınca ortaya koyuldu, bu etkinlikten sonrasında suçluların eline geçti ve çeşitli fena amaçlı yazılım türlerinde kullanıldı.

NTFS (yeni nesil) dosya sistemine ve tüm Windows sürümlerinin Windows XP’den bu yana haiz olduğu bir Windows işlem yükleyicisi mirasına dayanan Process Doppelgänging, geliştiricilerin kötücül eylemleri zararsız ve yasalmış benzer biçimde gösteren ve dosya içermeyen fena amaçlı yazılımlar geliştirmelerine müsaade ediyor. Teknik birazcık karmaşık, bu mevzuda daha çok data almak için mevzu üstünde Securelist’in yayınladığı daha detaylı bir gönderiyi inceleyebilirsiniz.

SynAck’in iki mühim özelliği daha var. Ilk olarak, doğru adrese indirilip indirilmediğini denetim ediyor. Doğru adrese indirilmemişse çalışmıyor, böylelikle çeşitli güvenlik çözümlerinin kullandığı otomatik korumalı alanların yazılımı tespit etmesini önlüyor. Buna ek olarak, belli bir betiğe ayarlanmış bir klavyesi (bu durumda, Kiril) olan bir bilgisayara indirildiğinde de hiçbir şekilde çalışmıyor. Bu, fena amaçlı yazılımı belli bölgelerle sınırlamak için kullanılan yaygın bir yöntem.

Klasik kabahat

Kullanıcı açısından bakıldığında, $3.000 benzer biçimde fahiş fiyat talepleriyle malum SynAck daha oldukça bir fidye yazılımı. SynAck bir kullanıcının dosyalarını şifrelemeden ilkin, aksi takdirde dosyaların kullanımda ve yasak bölgede kalmasını sağlayacak bazı işlemleri yok ederek tüm mühim dosyalara erişim sağladığından güvenli olur.

Kurban, oturum açma sayfasında kontakt bilgilerini içeren bir fidye notu bulur. Ne yazık ki, SynAck oldukça kuvvetli bir şifreleme algoritması kullanır ve bu algoritmanın uygulanmasında bugüne dek hiçbir hata bulunamamıştır, bu yüzden şifrelenmiş dosyaların şifresinin çözülmesinin bir yolu yoktur.

SynAck’in çoğunlukla Remote Desktop Protocol kaba kuvveti tarafınca dağıtıldığını gördük. Bu da anlamına gelir ki, saldırılar genel anlamda işletme kullanıcılarını hedef alıyor. Bugüne dek hepsi ABD, Kuveyt ve İran’da meydana gelen sınırı olan sayıdaki saldırılar, bu hipotezi doğruluyor.

Gelecek nesil fidye yazılımı için hazırlık yapma

SynAck sizi etkilemese de; bu yazılımın varlığı fidye yazılımının evrildiğine, devamlı geliştiğine ve bu yazılımlardan korunmanın zorlaştığına yönelik oldukça kuvvetli bir kanıt oluşturuyor. Saldırganlar destek programların var olmasına yol açan hataları önlemeyi öğrendikçe, gizyazı çözme destek programları gittikçe azalmaya başlamış olacak. Bayrağı (tahmin ettiğimiz benzer biçimde) gizli saklı madencilere teslim etse de, fidye yazılımı hâlâ büyük bir küresel eğilim niteliği taşıyor ve her İnternet kullanıcısının tüm bu tehditlere karşı iyi mi korunacağını bilmesi gerekiyor.

İşte, virüslerden korunmanız yada lüzumlu olduğunda neticeleri en aza indirmeniz için birkaç ipucu.

  • Verilerinizi tertipli olarak yedekleyin. Ağınıza yada İnternet’e bağlı bulunmadığınız bir zamanda yedeklemelerinizi depolayın.
  • İş süreçlerinizde Windows Uzak Masaüstü kullanmıyorsanız bu özelliği dönem dışı bırakın.
  1. Ufak işletmeler için Kaspersky Small Office Security yada daha büyük firmalar için Kaspersky Endpoint Security benzer biçimde yapısal güvenlik duvarı bulunduran ve hususi fidye yazılımı koruması elde eden iyi bir güvenlik çözümü kullanın. Kaspersky Lab ürünleri tüm kaçma stratejilerine karşın SynaAck’i tespit eder.

Daha ilkin indirdiğiniz bir güvenlik çözümü olsa bile tamamen parasız olan ve öteki satıcıların güvenlik paketlerine uyum elde eden Kaspersky Anti-Ransomware Tool‘u indirebilirsiniz.

OKUDUYSANIZ yada IZLEDIYSENIZ PAYLAŞIN LÜTFEN HERKES OKUSUN ve IZLESIN.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

CLOSE
CLOSE