Image URL (USE THIS TAG IN Ad Manager ONLY): https://ad.doubleclick.net/ddm/ad/N410401.3555688BATUHANDEMIRDAL.C/B10464038.246329956;sz=150x150 Click-Through URL (USE THIS TAG IN Ad Manager ONLY): https://ad.doubleclick.net/ddm/jump/N410401.3555688BATUHANDEMIRDAL.C/B10464038.246329956;sz=150x150

Merhaba değerli arkadaşlar ,24.10.2017 tarihi itibariyle bazı Rusya media-market satış mağazaları server sistemlerine saldırı aldıklarını, yeni ve farklı tipte bir crypto-ransomeware zararlısının aktif olmaya başladığı bilgisini yayımladı ve zararlının ilk görüldüğü yerlerin Rusya ve Ukrayna havalimanı bölgesi olduğu bildirildi. Zararlı ile ilgili ilk bilgi ve görüntüler Rus güvenlik firması tarafından dünyaya servis edildi.

Aşağıda 13.10.2017 tarihinde yayımlanmış Ukrayna Siber Güvenlik ekibinin uyarısını görebilirsiniz.

 

https://112.international/ukraine-top-news/security-service-of-ukraine-warns-about-possible-cyber-attacks-21648.html

 

 

Saldırıya ilişkin olarak ise Symantec firmasından yayımlanan ilk bulgular ve öneriler aşağıdaki gibidir ;

 

Zararlı bir JavaScript kullanarak website/watering hole attack metodu ile saldıyı gerçekleştiriyor. JavaScript, kötü amaçlı bir Flash Player güncellemesi yüklemek için bir pop-up oluşturuyor ve saldırıya maruz kalan kullanıcı “Yükle” düğmesini tıklattığı zaman, zararlı hxxp: // 1dnscontrol [.] com adresinden install_flash_player.exe adında indiriyor.

İndirilen bu dosya ana tehdit unsuru olmakla birlikte ortamdaki açık paylaşımları taramaktadır. Zaralı Rundll.exe üzerinden infpub.dat HackTool dosyasını çalıştırarak kimlik ve erişim bilgilerini topluyor.

Bu işlemin ardından diskleri şifrelemek için DiskCryptor aracını, kilit ekranını oluşturmak içinde dispci.exe’yi kullanmaktadır.

 

Symantec firmasının aldığı ve önerdiği önlem metodları ;

 

install_flash_player.exe – Ransom.BadRabbit – Dropper component

MD5: fbbdc39af1139aebba4da004475e8839

SHA2: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

Total Cloud Protection(SEP14): Trojan Horse – Available now

Detected as: Ransom.BadRabbit  RR Seq: 188194 – Ext: 20171024.016

 

infpub.dat – Ransom.BadRabbit – Main Threat/Encryptor component

MD5: 1d724f95c61f1055f0d02c2154bbccd3

SHA2: 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

Total Cloud Protection(SEP14): Trojan Horse – Available now

Detected as: Ransom.BadRabbit  – RR Seq: 188198 – Ext: 20171024.020

 

dispci.exe – Ransom.BadRabbit – ScreenLocker component

MD5: b14d8faf7f0cbcfad051cefe5f39645f

SHA2: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Total Cloud Protection(SEP14): Trojan Horse – Available now

Detected as: Ransom.BadRabbit  – RR Seq: 188198 – Ext: 20171024.020

 

TMP file – Ransom.BadRabbit – Hacktool component

MD5: 347ac3b6b791054de3e5720a7144a977

SHA2: 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c

Detected as: Ransom.BadRabbit – RR Seq 188200 – Ext 20171024.022

 

TMP file – Ransom.BadRabbit – Hacktool component

MD5: 37945C44A897AA42A66ADCAB68F560E0

SHA2: 2F8C54F9FA8E47596A3BEFF0031F85360E56840C77F71C6A573ACE6F46412035

Detected as: Ransom.BadRabbit – RR Seq 188200 – Ext 20171024.022

 

page-main.js – From compromised website – Under research

Detected as: ??? pending

 

DiskCryptor  – Legitimate disk encryption software (not detected)

MD5: edb72f4a46c39452d1a5414f7d26454a

SHA2: 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

 

Alınacak aksiyonlar ;

 

hxxp://1dnscontrol[.]com adresinin gateway katmanında bloklanması

Yukarıda görülen hash değerlerinin blacklist özelliği olan uygulamalarda bloklanması