Bad Rabbit zararlısı ile yaşamak…

Yaklaşık olarak Ekim 2017 ortasında semptomlarını hissettiğimiz, hızlı bir şekilde yayılmaya başlayan ve ülkemizde etkisini gösteren zararlı yazılımın (ransomware) adını her platformda duymuşsunuzdur.

Karakteristik özelliği ise, fark edilmesi çok zor bir virüs olmasının yanında tüm dosyalarınızı şifreliyor ve dosyalarınıza ulaşmak için sizden ücret talep ediyor. Bu ücreti ödemez iseniz dosyalarınızı sileceğini söylüyor.

Bugün ki yazımızın konusu; bu zararlı yazılım ile nasıl mücadele edilebilir? Nasıl farkına varılır ? Korunmak için hangi önlemler alınabilir ?

Bad Rabbit ile ilgili, USOM’un yapmış olduğu kamuoyu duyurusuna buradan ulaşabilirsiniz.

Yine USOM tarafından yayınlanan statik ve dinamik kod analiz raporuna buradan ulaşabilirsiniz.

Virüs yayılmak için yöntem olarak, “Adobe Flash Player” güncellemesiymiş gibi kendisini gösteriyor.

Böyle bir ekranla karşılaşmanız durumunda kesinlikle Install butonuna tıklamadan sayfadan çıkmanız gerekir. (alt+f4 ile browser kapatılır)

Bulaşma Senaryosunu incelediğimizde;

1. “Adobe Flash Player” güncellemesi gibi (gizlenen) bir uygulama indirilir ve arka planda kullanıcının haberi olmaksızın çalıştırılır, çalıştırılan bu uygulama yine arka planda yetkili kullanıcı haklarını sisteminizden talep eder.
2. “C:\Windows\” dizini altında “infpub.dat”, “cscc.dat” ve “dispci.exe” dosyalarının sisteminizde oluşmasını sağlar. Bu oluşan dosyalar aracılığı ile sisteminiz üzerindeki tüm dosyalar şifrelenir.
3. Random Access Memory (RAM-Geçici Bellek) üzerindeki bilgilerden Username ve Password bilgileriniz elde edilir.
4. Server Message Block (SMB) servisi üzerinden yayılmak isteyen zararlı yazılım, RAM üzerinden elde ettiği Username ve Password ikilisini kullanarak diğer bilgisayarlara kendini kopyalamaya başlar. Her başarılı işlem sonunda tekrar tekrar çalışarak kendini loop’ta tutar.
5. Sistem üzerinde boot ayarlarını değiştirir ve kullanıcıya uyarı çıkacak şekilde dizayn eder. “C:\” dizininde “Readme.txt” isimli bir not içerisinde kullanıcıdan fidye ister.

Alınması Gereken Önlemler ise kısaca sıralarsak;

1. Güvenli olmayan kaynaklardan “.exe” başta olmak üzere hiçbir dosya türünü indirmeyin ve çalıştırmayın.
2. İndirdiğiniz exe dosyalarının Dijital İmzasını kontrol edin. Güncel Dijital İmza olmasına özen gösterin.
3. Basit parola ve kullanıcı isimlerinden uzak durun.
4. İşletim sisteminiz ve Antivirüs programınız her zaman aktif ve güncel olsun.
5. WMIC (Windows Management Instrumentation Command-line) kullanımından uzak durun.