Matrix Fidye Yazılımı

PC güvenlik araştırmacıları, 3 Nisan 2018'de bir şifreleme fidye yazılımı Truva atı olan Matrix Ransomware'i gözlemlediler. Kurbanlar, Matrix Ransomware'i, indirmek için makro komut dosyalarını kullanan bozuk dosya ekleri içeren spam e-posta iletileri kullanarak makinelerine teslim ettirebilir ve Matrix Ransomware'i kurbanın bilgisayarına yükleyin. Matrix Ransomware'in her ikisi de kurbanın dosyalarını şifrelemek için kullanılan iki sürümü vardır ve daha sonra kurbanlar tarafından bir şifre çözme anahtarı verilmesi için bir fidye ödenmesi gerekir. Bu davranış, çoğu şifreleme fidye yazılımı Truva Atlarında görülür. Matrix Ransomware, şifrelediği dosyaları tanımayı kolaylaştırır çünkü Matrix Ransomware, dosyaların adlarına '.matrix' dosya uzantısını ekler.

Matrix Fidye Yazılımı Saldırısının Sonuçları Nelerdir?

Matrix Ransomware gibi Truva atları, dosyaları erişilemez hale getirmek için güçlü şifreleme algoritmaları kullanır. Matrix Fidye Yazılımı, saldırısında, aşağıdaki uzantılara sahip dosyaları içerebilen, kullanıcı tarafından oluşturulan dosyayı hedefler:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, . dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, . pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Matrix Ransomware dosyaları şifrelemeyi bitirdikten sonra, Windows işletim sistemi bu dosyaları tanımayacak ve PC kullanıcısı bunları açmaya çalıştığında boş simgeler olarak görünecek ve hata mesajları gösterecektir. Matrix Ransomware, şifre çözme anahtarı karşılığında önemli bir fidye ödemek için kurbanın operatörleriyle e-posta yoluyla iletişime geçmesini talep edecektir. Matrix Ransomware'in farklı türevleri farklı iletişim e-postaları kullanır ve aşağıdaki e-posta adresleri Matrix Ransomware ile ilişkilendirilmiştir:

dosyalar4463@tuta.io
files4463@protonmail.ch
dosyalar4463@gmail.com
restorfile@tutannote.com
restorefile@protonmail.com
restorefile@qq.com

Matrix Ransomware, fidye notunu, virüslü bilgisayarda aşağıdaki mesajı görüntüleyen bir HTA dosyası biçiminde iletir:

'DOSYALARINIZA NE OLDU?
Belgeleriniz, veritabanlarınız, yedekleriniz, ağ klasörleriniz ve diğer önemli dosyalarınız RSA-2048 ve AES-128 şifreleriyle şifrelenir. RSA ve AES hakkında daha fazla bilgiyi burada bulabilirsiniz:
h[tt]p://en.wikipedia[.]org/wiki/RSA (kriptosistem)
h[tt]p://en.wikipedia[.]org/wiki/Gelişmiş Şifreleme Standardı
Bu, kişisel şifre çözme anahtarınızla şifreleri çözülene kadar onlara artık erişemeyeceğiniz anlamına gelir! Kişisel anahtarınız ve özel yazılımınız olmadan veri kurtarma imkansızdır! Talimatlarımızı takip ederseniz, tüm dosyalarınızın şifresini hızlı ve güvenli bir şekilde çözebileceğinizi garanti ederiz!
Dosyalarınızı geri yüklemek istiyorsanız, lütfen bize e-posta adresine yazın: [STRING OF EMAILS] Mesajınızın konu satırına kişisel kimliğinizi yazın: [EDITED]
3 E-POSTALARIMIZDAN HER BİRİNE mesajınızı göndermenizi tavsiye ederiz, çünkü mesajınız çeşitli nedenlerle alıcısına ulaşmayabilir! Lütfen bize İngilizce yazın veya profesyonel çevirmen kullanın! Dosyalarınızı geri yüklemek istiyorsanız, Bitcoins'de şifre çözme için ödeme yapmanız gerekir. Fiyat, bize ne kadar hızlı yazdığınıza bağlıdır.
Canlı mesajlaşmayı tercih ederseniz, bir web tarayıcısından h[tt]ps://bitmsg[.]me web sayfası aracılığıyla bize Bitmesajları gönderebilirsiniz.'

Matrix Ransomware ile başa çıkmak

Ne yazık ki, Matrix Ransomware dosyaları şifreledikten sonra artık kurtarılamazlar. Bu nedenle, bilgisayar kullanıcılarının verilerini bu tehditlerden önceden koruduklarından emin olmak için adımlar atmaları gerekir. Matrix Ransomware gibi tehditlere karşı en iyi koruma, kurbanlara dosyalarını kurtarma fırsatı verecek dosya yedeklerine sahip olmaktır.

14 Kasım 2018 Güncellemesi — Matrix-FASTA Fidye Yazılımı

Matrix-FASTA Fidye Yazılımı, Nisan 2018'de ortaya çıkan bir fidye yazılımı tehditleri ailesi olan Matrix ailesinin bir çeşididir ve ilk piyasaya sürüldüklerinden bu yana çeşitli varyantları görülmüştür. Matrix-FASTA Ransomware, diğer Matrix türevleri gibi, kurbanların dosyalarını şifrelemek ve ardından kurbandan fidye ödemesi talep etmek için tasarlanmıştır. Bilgisayar kullanıcılarının bilgisayarlarını Matrix-FASTA Ransomware ve benzeri saldırılardan korumak için adımlar atmaları çok önemlidir.

Matrix-FASTA Ransomware Truva Atı Nasıl Çalışır?

Matrix-FASTA Fidye Yazılımı, genellikle istenmeyen e-posta ekleri kullanılarak kurbanın bilgisayarına teslim edilir. Matrix-FASTA Ransomware kurbanın bilgisayarına yüklendikten sonra, Matrix-FASTA Ransomware kurbanın bilgisayarında bulduğu ve aşağıdaki dosya uzantılarına sahip dosyaları içerebilen, kullanıcı tarafından oluşturulan dosyaları şifreler:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, . prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, . pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, . qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, . cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, , .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, . clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

Matrix-FASTA Ransomware saldırısı, hedeflenen verilere şifre çözme anahtarı olmadan kurtarılamayacak şekilde zarar verir, bu da kalıcı olarak kaybolabileceği anlamına gelir. Suçlular, Matrix-FASTA Ransomware saldırısı tarafından ele geçirilen veriler karşılığında kurbanı fidye ödemeye zorlamaya çalışacak.

Matrix-FASTA Fidye Yazılımı Kurbanlarına Nasıl Teslim Ediliyor?

Matrix-FASTA Fidye Yazılımı varyantı ilk olarak 14 Kasım 2018'de gözlemlendi. Bu fidye yazılımı ailesinde 2018'de piyasaya sürülen çeşitli varyantlar vardı. Diğer Matrix varyantları gibi, Matrix-FASTA Ransomware'in kullanıcılara teslim edilmesinin en yaygın yolu. Matrix-FASTA Fidye Yazılımını kurbanın bilgisayarına indirmek ve yüklemek için gömülü makro komut dosyalarını kullanan spam e-posta ekleri aracılığıyla kurbanların bilgisayarlarını. Kurbandan ödeme talep eden Matrix-FASTA Ransomware fidye notu, mağdurdan etkilenen verileri geri yüklemek için 'fastbk@qq.com' e-posta adresi aracılığıyla suçlularla iletişime geçmesini ister. Matrix-FASTA Ransomware, saldırı tarafından şifrelenen her dosyaya '.FASTA' dosya uzantısını ekleyerek saldırı tarafından şifrelenen dosyaları işaretler. Matrix-FASTA Ransomware ayrıca, dosyaların adlarını Matrix-FASTA Ransomware e-posta iletişim adresi ve bir dizi şifreli karakterle değiştirerek saldırı tarafından şifrelenen dosyaları yeniden adlandırır. Tipik bir Matrix-FASTA Ransomware fidyesi 300 ila 1.000 USD aralığındadır.

Verilerinizi Matrix-FASTA Fidye Yazılımı Gibi Tehditlerden Koruma

Matrix-FASTA Ransomware gibi tehditlere karşı en iyi koruma, dosya yedeklerinin güvenli bir yerde saklanmasıdır. Güvenlik uzmanları, bilgisayar kullanıcılarına, verilerinin yedek kopyalarını bulutta veya harici bir bellek cihazında saklamalarını tavsiye eder. Dosya yedeklemelerinin yanı sıra, bilgisayar kullanıcıları Matrix-FASTA Ransomware bulaşmasını engellemek veya yüklendikten sonra onu kaldırmak için bir güvenlik programı da kullanmalıdır.

22 Ekim 2018 Güncellemesi — Matrix-GMPF Fidye Yazılımı

Matrix-GMPF Fidye Yazılımı, Nisan 2018'de piyasaya sürülen Matrix Ransomware'in biraz değiştirilmiş bir sürümü olarak kategorize edilmiştir. Yeni varyant 22 Ekim 2018'de rapor edildi ve AV veritabanlarına eklendi. Siber tehdit, adını güvenliği ihlal edilmiş kullanıcılara gösterilen dosya işaretçisinden alır - '.GMPF.' Önceki sürümler benzer adlara sahipti ve Matrix-THDA Ransomware ve Matrix-ITLOCK Ransomware'i içeriyordu . Matrix-GMPF Fidye Yazılımı, AES ve RSA şifrelerini kullanmak ve virüslü cihazlardaki verileri okunamaz hale getirmek için hazırlanmıştır. Ardından, kullanıcılara '#GMPF-README#.txt' adlı bir metin dosyası gösterilir ve 'GetMyPass@qq.com' e-posta hesabına bir e-posta göndermeleri istenir. Tehdit, şifre çözme anahtarını TOR Ağı aracılığıyla programcılara gönderecek ve üçüncü tarafların etkilenen verilerin şifresini çözmenin bir yolunu bulmasını önleyecek şekilde programlanmıştır. Şifrelenmiş dosyaları isimlerine bakarak tanıyabilirsiniz. Matrix-GMPF Ransomware Truva Atı, şifrelenmiş nesneleri işaretlemek için [GetMyPass@qq.com]..GMPF modelini kullanır. Örneğin, 'Hanuman.pptx', [GetMyPass@qq.com].Z2VuZXJp-YwdGV89t.GMPF olarak yeniden adlandırılabilir.' Yukarıda bahsedildiği gibi, fidye mesajı '#GMPF-README#.txt' olarak sağlanır ve Microsoft'un Not Defteri'ne yükleyebilir ve aşağıdakileri okuyabilirsiniz:

'DOSYALARINIZA NE OLDU?
Belgeleriniz, veritabanlarınız, yedekleriniz, ağ klasörleriniz ve diğer önemli dosyalarınız RSA-2048 ve AES-128 şifreleriyle şifrelenir. RSA ve AES hakkında daha fazla bilgiyi burada bulabilirsiniz:
h[tt]p://en.wikipedia[.]org/wiki/RSA (kriptosistem)
h[tt]p://en.wikipedia[.]org/wiki/Gelişmiş Şifreleme Standardı
Bu, kişisel şifre çözme anahtarınızla şifreleri çözülene kadar onlara artık erişemeyeceğiniz anlamına gelir! Kişisel anahtarınız ve özel yazılımınız olmadan veri kurtarma imkansızdır! Talimatlarımızı takip ederseniz, tüm dosyalarınızın şifresini hızlı ve güvenli bir şekilde çözebileceğinizi garanti ederiz!
Dosyalarınızı geri yüklemek istiyorsanız, lütfen bize e-posta gönderin: getmypass@qq.com'

Tehdit yazarları, operasyonlarını devam ettirmek ve e-posta servis sağlayıcılarında alarm vermekten kaçınmak için sıklıkla e-posta hesaplarını değiştirir. Potansiyel saldırılardan kurtulmak için veri yedeklemelerini başlatmanız önerilir. Matrix-GMPF Ransomware için algılama adları şunları içerir:

Genel.Ransom.Matrix.B38FC644
Ransom.Agent!8.6B7 (BULUT)
Fidye.Matris.S3765495
Ransom_MATRIX.THAOOBAH
Troj/Matris-K
W32/Ajan!tr
W32/Genel.AC.41B59B!tr
kötü amaçlı yazılım (ai puanı=100)

20 Aralık 2018 Güncellemesi — Matrix-PRCP Fidye Yazılımı

Güvenlik araştırmacıları, Noel 2018'den önceki son birkaç gün içinde Matrix-PRCP Ransomware adlı Matrix Ransomware'in yeni bir çeşidini saptadı. Matrix'in yeni dalı, şifrelenmiş dosyalara .PRCP uzantısını uygular.

Fidye notu "#README_PRCP#.rtf" adlı bir dosyada bulunuyor. Mağdurların kendileriyle iletişim kurmak için kullanabilecekleri yeni varyantın yazarları tarafından kullanılan e-posta radrigoman@protonmail[.]com'dur. Görünüşe göre bu e-posta, fidye yazılımının dosyaları karıştırma biçiminde de kullanılıyor. Matrix-PRCP Ransomware, şifrelediği tüm dosyaları şu kalıbı kullanarak yeniden adlandırır '[radrigoman@protonmail.com].[rastgele karakter dizisi]-[rastgele karakter dizisi].PRCP.

14 Ocak 2019 Güncellemesi — Matrix-GRHAN Fidye Yazılımı

Matrix-GRHAN Fidye Yazılımı, Nisan 2018'de ortaya çıkmaya başlayan Matrix şifreleme Truva Atları serisine yönelik küçük bir güncellemedir. Matrix-GRHAN Ransomware, önceki yinelemelere kıyasla çok az farklılık gösterir ve dikkate değer tek fark, yeni bir yeniden adlandırma modeli kullanmasıdır. Tehdit, görüntüler, ses, video, metin ve veritabanlarına değiştirilmiş bir AES-256 şifresi uygular. Matrix-GRHAN Ransomware tarafından işlenen dosyalar, '[greenelephan@qq.com]..GRHAN' modelini izleyen genel beyaz simgeler ve özellik adlarıyla temsil edilir. Örneğin, 'Jotunheim.docx', '[greenelephan@qq.com].VC6NJ9-XWI88P.GRHAN' olarak yeniden adlandırılabilir ve kullanıcılar, Shadow Volume anlık görüntülerini kullanarak saldırıdan kurtulamazlar. Eldeki tehdidin Gölge Birimi Hizmetini kullandığı ve Sistem Geri Yükleme noktalarını ve ayrıca yakın zamanda oluşturulan Gölge Birimi anlık görüntülerini sildiği bilinmektedir. Matrix-GRHAN Fidye Yazılımının, virüslü sistemlere '!README_GRHAN!.rtf' bıraktığı ve aşağıdaki mesajı sunduğu bildiriliyor:

'DOSYALARINIZA NE OLDU?
Belgeleriniz, veritabanlarınız, yedekleriniz, ağ klasörleriniz ve diğer önemli dosyalarınız RSA-2048 ve AES-128 şifreleriyle şifrelenir. RSA ve AES hakkında daha fazla bilgiyi burada bulabilirsiniz:
h[tt]p://en.wikipedia[.]org/wiki/RSA (kriptosistem)
h[tt]p://en.wikipedia[.]org/wiki/Gelişmiş Şifreleme Standardı
Bu, kişisel şifre çözme anahtarınızla şifreleri çözülene kadar onlara artık erişemeyeceğiniz anlamına gelir! Kişisel anahtarınız ve özel yazılımınız olmadan veri kurtarma imkansızdır! Talimatlarımızı takip ederseniz, tüm dosyalarınızın şifresini hızlı ve güvenli bir şekilde çözebileceğinizi garanti ederiz!
Dosyalarınızı geri yüklemek istiyorsanız, lütfen bize e-posta gönderin: greenelephan@qq.com'

Matrix-GRHAN Ransomware Truva Atı, veritabanı yöneticilerinin ve bazı yedekleme yöneticilerinin çalışmasına müdahale edebilir. Siber tehdit, şirket ağlarına, sunucu çiftliklerine ve küçük işletme ağlarına sızmak ve buralarda çalışmak üzere tasarlanmıştır. Güvenli olmayan bağlantılar üzerinden internete bağlanan açık port ve servislerin olmadığından emin olunması önerilir. Fidye yazılımı operatörleriyle 'greenelephan@qq.com' ve Matrix-GRHAN Ransomware ile ilişkili olabilecek diğer kanallar aracılığıyla iletişime geçmeniz önerilmez. Matrix-GRHAN Ransomware bulaşmışsa, temiz yedeklemeler kullanmalı ve tam sistem taramaları yapmalısınız. Bu tehdidin kaldırılması, sertifikalı uzmanlar ve güvenilir güvenlik ürünleri tarafından kolaylaştırılmalıdır.

SpyHunter Matrix Fidye Yazılımı'u Algılar ve Kaldırır