"Kullanıcı gizliliğini önemsediğini" iddia eden kötü amaçlı yazılım Robin Hood nedir?
Son zamanlarda, internette yeni bir tür kötü amaçlı yazılım ortaya çıktı ve tüm dünyaya yayıldı. Yazılım, eriştikleri bilgisayarları otomatik olarak şifreler ve ardından kullanıcılardan fidye olarak belirli bir miktar Bitcoin ister.
Belki yeni ortaya çıktığı için, bu tür fidye yazılımları hakkında çok az şey biliyoruz ve hatta örneklerimiz bile yok Sadece bu yazılımın RobbinHood olarak adlandırıldığını biliyoruz, bu da Robbin Hood anlamına geliyor. Bununla birlikte, kurbanlar tarafından kanıt olarak alınan birçok fidye notu ve şifrelenmiş dosya vardır, bu da güvenlik araştırmacılarının bu fidye yazılımının nasıl çalıştığını kabaca çözmelerine olanak tanır.
Bu yazılımla ilgili özel olan şey, kullanıcı gizliliğinin onlar için ne kadar önemli olduğunu sürekli olarak vurgulaması ve ücretli kullanıcı bilgilerini sızdırmayacağıdır.
kullanıcı :? ? ?
Yazılım özellikleri
Bazı kurban kullanıcıların verdiği fidye metnine göre RobbinHood'un arkasındaki saldırganın amacının hala hedefin bulunduğu ağa erişmek olduğunu bilebiliriz.İzin alındıktan sonra, ağın bulunduğu bilgisayarı şifrelemeye çalışacaklar.
Kullandığı şifreleme yöntemi hakkında hiçbir şey bilmesek de, dosyalar şifrelendiğinde bu dosyaların "Encrypted_b0a6c73e3e434b63.enc_robbinhood" gibi bir adla yeniden adlandırılacağını biliyoruz.
Elbette, birden çok kullanıcının fidye notlarıyla ilgili dosyaları da farklı zamanlarda silecektir. Bu dosyaların adları _Decryption_ReadMe.html, _Decrypt_Files.html, _Help_Help_Help.html ve _Help_Important.html'dir.
Bu fidye not dosyaları, fidye tutarı ve kullandıkları Tor web sitesi bağlantı bilgileri dahil olmak üzere kurbanın bilgisayarında meydana gelen tüm olayları kaydedecektir. Kullanıcılar bu sitelerde saldırgana mesaj bırakabilir veya 10MB'yi geçmeyen 3 dosyanın kilidini açabilir.
Fidye notunda kullanılan adres:
https://xbt4titax4pzza6w.onion.pet/ https://xbt4titax4pzza6w.onion.to/Farklı faturalar, kullanıcının tek bir dosyanın, bilgisayarın tamamının veya tüm ağın kilidini açmak isteyip istemediğine bağlı olarak farklı miktarlara karşılık gelir.
Örneğin, gördüğümüz fidye notunda gösterilen fiyat 3 bitcoin ve 7 bitcoin idi. Ve ek bir notla, fidye şifrelendikten dört gün sonra ödenmezse, fidye 10.000 dolar olacak.
Robin Hood gizliliğiniz konusunda endişeli mi?
Fidye yazılımının ödeme sayfasında, RobbinHood geliştiricileri, kullanıcı gizliliği konusunda endişelendiklerini ve kullanıcı ödeme yaptıktan sonra ilgili şifreleme anahtarını ve kullanıcı IP adresini sileceklerini belirtti.
"Bilmenizi istediğim bir şey, gizliliğinizin bizim için çok önemli olduğudur. Tüm kayıtlarınız (IP adresi ve şifreleme anahtarı dahil) fidyeyi ödedikten sonra silinecektir. Ayrıca Bitcoin ödeme adresiniz de tahsis edilmiştir. Evet, kimse bilmeyecek, lütfen emin olun. "
Ancak daha da ilginç olanı, mağdurlara, gizli ve güvenli bir durumda oldukları için onları rapor etmek için çok çalışmak zorunda olmadıklarını bildirmeleridir.
"Varlığımızı kimseye söylememize gerek yok. Sunucumuzda ağ verileri ve bilgileriyle ilgili herhangi bir olay yok."
Kısacası rapor etmenin faydası yok.
Güvenlik uzmanları, fidye yazılımının kullanıcılara tavsiyelerde bulunduğunu ilk kez gördüğümü ve ayrıca yazılımın bulaştığı kurbanların verilerini koruyacaklarını belirttiler. Ayrıca, enfekte olmuş şirketlerin fidyeyi ödeyebileceklerini ve gaspları hakkında olumsuz haberleri yayınlamayacaklarını ima ettiler.
Çok büyülü bir operasyon.
Robin Hood'un Kupası
Şu anda, RobbinHood'un saldırısının kapsamı, Greenville, Kuzey Carolina, ABD'deki tüm ağı kapsıyor.
North Carolina News'e göre, şehir birkaç gün önce RobbinHood adlı kötü amaçlı yazılım tarafından saldırıya uğradı ve kayıp tespit edildikten sonra tüm şehrin ağının kapatılması gerekiyordu. Ardından kolluk kuvvetleriyle temasa geçildi ve şu anda birden fazla kurum saldırıyı ortaklaşa araştırıyor.
"FBI ajanları şimdi bu saldırının nasıl çözüleceğine karar veriyor. Ulusal Bilgi Teknolojisi, Ulusal Acil Durum Yönetimi Ajansı ve diğer departmanlar bu vakayı ele alıyor."
Ne yazık ki, saldırı altındaki tek şehir Greenville değil. BleepingComputer ve MalwareHunterTeam, dün birlikte fidye yazılımları hakkında bir tweet yayınladı ve bu olayın kurbanlarına dikkat ettiklerini belirtti. Ayrıca MalwareHunter, bu kurbanların hiçbirinin fidyeyi ödemediğini belirtti.
IOC'ler
İlişkili dosya adı:
_Decryption_ReadMe.html _Decrypt_Files.html _Help_Help_Help.html _Help_Important.htmlFidye notu metni:
Dosyana ne oldu?
Tüm dosyalarınız RSA-4096 kullanılarak şifrelenmiştir, lütfen şu adresi ziyaret edin: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA, modern bilgisayarların verileri şifrelemek ve şifresini çözmek için kullandığı bir algoritmadır ve asimetrik bir şifreleme algoritmasıdır.
Asimetri, iki farklı bağ olduğu anlamına gelir. Bu nedenle, aynı zamanda açık anahtar şifrelemesi olarak da adlandırılır, çünkü anahtarlardan herhangi biri başkalarına verilebilir:
1-Dosyalarınızı şifrelemek için "genel anahtar" kullanıyoruz;
2-Bu dosyaların şifresini çözmek için belirli bir "özel anahtar" kullanabilirsiniz ve özel anahtarınız bizim elimizde. (Özel anahtarınız yoksa dosyalarınızı kurtaramazsınız)
Verileriniz hala mevcut mu?
Cevap Evet. Tüm özel anahtarları içeren bir şifre çözme aracımız var. Sadece söylediklerimizi takip edin, verilerinizi alabilirsiniz:
plan 1
Adım 1: Şifrelenmiş her sistem için 3 bitcoin ödemelisiniz;
Adım 2: Kilidini açmak istediğiniz sistemin ana bilgisayar adını yanıtlayın ve ardından onay için bekleyin ve şifre çözme aracınızı alın.
Senaryo 2
Adım 1: Tüm şifreli sistemlerin kilidini açmak için bize 7 bitcoin ödemelisiniz;
Adım 2: Bir mesaj bırakarak bize bildirin ve şifre çözme aracının alınmasını bekleyin.
Bitcoin ödeme adresi: xxxxxxxxxxx
Mesaj adresi:
Alternatif adres: https://xbt4titax4pzza6w.onion.pet/xxxx/
https://xbt4titax4pzza6w.onion.to/xxxx/
URL'ye erişmek için lütfen Onion Browser'ı kullanın.
Bağlantıya erişemiyorsanız, lütfen aşağıdaki adımları izleyin:
Adım 1: Soğan Tarayıcısını İndirin: https://www.torproject.org/download/download.html.en;
Adım 2: Tarayıcıyı çalıştırın ve bağlantıyı bekleyin;
3. Adım: Web sitemizi ziyaret edin ve bir mesaj bırakın.
Tarayıcıyı kullanma sürecinde sorunlarla karşılaşırsanız, lütfen Baidu "Onion Browser nasıl kullanılır" ı kullanın.
Gerçekten bir şifre çözme aracımız olup olmadığını onaylamak istiyorsanız, web sitesine 10MB'den fazla olmayan 3 dosya yükleyebilirsiniz ve biz her şeyi kanıtlayacağız.
Bitcoin nereden alınır?
En kolay yol LocalBitcoins üzerinden satın almaktır, ancak daha fazla kanal elde etmek için doğrudan "Çevrimiçi Bitcoins Satın Al" araması da yapabilirsiniz.
Dosyalarınıza ne oldu? Tüm dosyalarınız RSA-4096 ile şifrelenmiştir, https://en.wikipedia.org/wiki/RSA_(cryptosystem) adresinde daha fazlasını okuyun RSA, verileri şifrelemek ve şifresini çözmek için modern bilgisayarlar tarafından kullanılan bir algoritmadır. RSA, asimetrik bir kriptografik algoritmadır. Asimetrik, iki farklı anahtar olduğu anlamına gelir. Buna aynı zamanda açık anahtarlı kriptografi de denir, çünkü anahtarlardan biri herkese verilebilir: 1-Dosyalarınızı "Genel anahtarımız" ile şifreledik 2-Şifrelenmiş dosyaların şifresini belirli "Özel anahtar" ile çözebilirsiniz ve özel anahtarınız bizim elimizde (Özel anahtarımız olmadan dosyalarınızı kurtarmak mümkün değildir) Verilerinizi geri almak mümkün mü? Evet, tüm özel anahtarlarınızı içeren bir şifre çözücümüz var.Tüm verilerinizi geri almak için iki seçeneğimiz var. Tüm verilerinizi geri almak için talimatları izleyin: SEÇENEK 1 Adım 1: Etkilenen her sistem için bize 3 Bitcoin göndermelisiniz Adım 2: İstediğiniz sistemin ana bilgisayar adlarını panelde bize bildirin, onay için bekleyin ve şifre çözücünüzü alın SEÇENEK 2 Adım 1: Etkilenen tüm sistemler için bize 7 Bitcoin göndermelisiniz Adım 2: Panelde bizi bilgilendirin, onay için bekleyin ve tüm şifre çözücülerinizi alın Bitcoin adresimiz: xxxxxxxxxxx DİKKATLİ OLUN, ÖDEMENİZİN MALİYETİ DÖRDÜNCÜ GÜNDEN SONRA HER GÜN 10.000 $ ARTIYOR Panele erişim (Bize ulaşın) Panel adresi: Alternatif adresler https://xbt4titax4pzza6w.onion.pet/xxxx/ https://xbt4titax4pzza6w.onion.to/xxxx/ Tor Tarayıcı kullanarak panele erişim Bağlantılarımızdan hiçbirine erişilemiyorsa, bizimle iletişime geçmek için tarayıcıyı deneyebilirsiniz: Adım 1: Tor Tarayıcı'yı buradan indirin: https://www.torproject.org/download/download.html.en Adım 2: Tor Tarayıcıyı çalıştırın ve bağlanmayı bekleyin Adım 3: Web sitemizi ziyaret edin: panel adresi Tor Tarayıcı kullanmakla ilgili bir sorun yaşıyorsanız, Google'a Sorun: Tor tarayıcı nasıl kullanılır Şifre çözücünüzün elimizde olduğundan emin olmak ister misiniz? Şifre çözücünüzün elimizde olduğundan emin olmak için en fazla 3 dosya yükleyebilir (maksimum boyut ödeneği toplamda 10 MB'dir) ve verilerinizi demo olarak geri alabilirsiniz. Bitcoin nereden alınır? En kolay yol LocalBitcoins'dir, ancak Google Arama'yı kullanarak bitcoin satın almak için daha fazla web sitesi bulabilirsiniz: çevrimiçi bitcoin satın alın.* Referans kaynağı: Karunesh91 tarafından derlenen bleepingcomputer, FreeBuf.COM'dan yeniden basılmıştır.
