AvosLocker Ransomware

Infosec araştırmacıları, AvosLocker adını verdikleri yeni bir fidye yazılımı operasyonunu ortaya çıkardı. Hacker grubu Haziran 2021 civarında aktif hale geldi ve sadece birkaç ay içinde birkaç kurbanı toplamayı başardı. Siber suçlular, Tor ağında barındırılan özel bir sızıntı sitesinde kurbanlarının adlarını yayınlar. Site, 'Kamu Hizmeti Duyuruları' ve 'Sızıntılar' olmak üzere iki bölümden oluşmaktadır. İhlal edilen tüm kuruluşlar, onlardan toplanan verilerin kanıtı ile birlikte 'Kamu Hizmeti Duyurusu' sayfasında görüntülenir. AvosLocker grubu, fidye yazılımı tehdidinin teslimi için ilk enfeksiyon vektörleri olarak yem e-postaları yayan spam e-posta kampanyaları ve bozuk reklamlar kullanıyor.

AvosLocker Ransomware'in Ayrıntıları

Dağıtılan fidye yazılımı tehdidi, C++ ile yazılmıştır ve ihlal edilen sistemlerde depolanan dosyaları kilitlemek için AES-256 şifreleme algoritmasının özelleştirilmiş bir sürümünü kullanır. Kötü amaçlı yazılım, Windows makinelerine bulaşmak üzere tasarlanmıştır ve diğer platformlarda yürütülmez. AvosLocker Ransomware, tehdit edici yeteneklerinin bir parçası olarak, etkilenen dosyaların Gölge Birim Kopyalarını silebilir ve şifreleme sürecine müdahale edebilecek belirli uygulamaları sonlandırabilir. Bir dosyayı şifreledikten sonra, AvosLocker bu dosyanın orijinal adına yeni bir uzantı olarak '.avos' ekler. Bu türdeki çoğu tehdit gibi, AvosLocker Ransomware de kurbanları için talimatlar içeren bir fidye notu gönderir. İleti, 'GET_YOUR_FILES_BACK.txt' adlı bir metin dosyası olarak bırakılır.

AvosLocker'ın Talepleri

Görünüşe göre, fidye notunun kendisi çok az yararlı bilgi içeriyor. Çoğunlukla, tüm ek talimatları almak için tehdidin kurbanlarını bir TOR web sitesini ziyaret etmeye teşvik eder. Sağlanan bağlantının ardından ve belirli mağdur kimliğinin girilmesi, bir 'ödeme' sayfasına yol açar. Burada kurbanlar, bilgisayar korsanlarının talep ettiği toplamın iki katına çıkmasından önce kalan süreyi ölçen bir geri sayım sayacı görebilir. Fidyenin Monero kripto para birimi kullanılarak aktarılması gerekiyor.

Ancak, ödeme yapmadan önce kurbanlar, bilgisayar korsanının kilitli verilerin şifresini çözme yeteneğini test etmek için siteye örnek bir dosya yükleyebilir. Web sayfası ayrıca, etkilenen kullanıcıların AvosLocker bilgisayar korsanlarıyla iletişim kurabilecekleri bir destek sohbeti içerir.

Fidye yazılımı operatörlerine herhangi bir miktarda para ödemek kesinlikle önerilmez. Kullanıcılar, süreçteki siber suçluların bir sonraki tehdit edici operasyonunu finanse ederken kendilerini ek güvenlik risklerine maruz bırakabilir.