REvil Fidye Yazılımı

Siber güvenlik uzmanları, son zamanlarda Web'de dolaşan yeni bir fidye yazılımı tehdidi tespit etti. Bu veri şifreleyen Truva Atı, REvil Ransomware olarak adlandırılır ve aynı zamanda Sodinokibi Ransomware olarak da bilinir.

Sızma ve Şifreleme

Kötü amaçlı yazılım uzmanları, REvil Ransomware'in yayılmasında hangi yöntemin kullanıldığı konusunda bir fikir birliğine varamadı. REvil Ransomware'in yazarlarının, bu dosya kilitleme Truva Atı'nı yaymak için en yaygın tekniklerden bazılarını kullanıyor olabileceğine inanılıyor - sahte uygulama güncellemeleri, resmi olmayan kaynaklardan indirilen virüslü korsan yazılımlar ve bozuk ekler içeren spam e-postalar. REvil Ransomware bir sisteme girmeyi başarırsa, bilgisayarda bulunan dosyaları hızlı bir şekilde tarayarak saldırıya başlar. Amaç, REvil Ransomware'in peşinden gitmek üzere programlandığı dosyaları bulmak ve bulmaktır. Ardından, şifreleme işlemi tetiklenecek ve hedeflenen tüm dosyalar bir şifreleme algoritması kullanılarak kilitlenecektir. Bir dosyayı kilitledikten sonra, REvil Ransomware dosya adına, her kurban için benzersiz bir şekilde oluşturulmuş rastgele dizeden oluşan bir uzantı ekler, örneğin '.294l0jaf59.' Bu, orijinal olarak 'kitty-litter.jpg' olarak adlandırılan bir dosyanın REvil Ransomware'in şifreleme sürecinden geçtiğinde, adının 'kitty-litter.jpg.294l0jaf59' olarak değiştirileceği anlamına gelir.

Kötü Amaçlı Yazılım Ep7'de Bu Hafta: Revil Fidye Yazılımı Yüksek Profilli Müşteri Hukuk Bürosuna Saldırıyor

Fidye Notu

Bir sonraki aşama fidye notunun düşürülmesidir. REvil Ransomware'in notu '294l0jaf59-HOW-TO-DECRYPT.txt' olarak adlandırılacak, eğer daha önce benzersiz olarak oluşturulmuş uzantı örneği ile devam edersek. Fidye mesajı şöyle:

'--=== Hoşgeldiniz. Tekrar. ===---

[+] Neler Oluyor? [+]

Dosyalarınız şifreli ve şu anda kullanılamıyor. Kontrol edebilirsiniz: bilgisayarınızdaki tüm dosyaların 686l0tek69 genişletmesi vardır.
Bu arada, her şeyi kurtarmak (geri yüklemek) mümkündür, ancak talimatlarımızı izlemeniz gerekir. Aksi takdirde verilerinizi iade edemezsiniz (HİÇBİR ZAMAN).

[+] Neyi garanti ediyor? [+]

Bu sadece bir iş. Avantaj elde etmek dışında kesinlikle sizi ve anlaşmalarınızı umursamıyoruz. İşimizi ve sorumluluklarımızı yapmazsak - kimse bizimle işbirliği yapmaz. Bizim çıkarımıza değil.
Dosyaları geri döndürme yeteneğini kontrol etmek için web sitemize gitmelisiniz. Orada bir dosyanın şifresini ücretsiz olarak çözebilirsiniz. Bu bizim garantimizdir.
Hizmetimizle işbirliği yapmayacaksanız - bizim için önemli değil. Ancak zamanınızı ve verilerinizi kaybedersiniz, çünkü sadece özel anahtarımız var. Uygulamada - zaman paradan çok daha değerlidir.

[+] Web sitesine nasıl erişilir? [+]

İki yolunuz var:

1) [Önerilen] Bir TOR tarayıcısı kullanmak!
a) Bu siteden TOR tarayıcısını indirin ve kurun: hxxps://torproject.org/
b) Web sitemizi açın: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) Ülkenizde TOR engellendiyse, VPN kullanmayı deneyin! Ancak ikincil web sitemizi kullanabilirsiniz. Bunun için:
a) Herhangi bir tarayıcınızı açın (Chrome, Firefox, Opera, IE, Edge)
b) İkincil web sitemizi açın: http://decryptor.top/913AED0B5FE1497D

Uyarı: ikincil web sitesi engellenebilir, bu nedenle ilk varyant çok daha iyi ve daha fazla kullanılabilir.

Web sitemizi açtığınızda, aşağıdaki verileri giriş formuna girin:
Anahtar:

-

Uzantı adı:

294l0jaf59
-------------------------------------------------- ------------------------------------------

!!! TEHLİKE !!!
Dosyaları kendi başınıza değiştirmeye ÇALIŞMAYIN, verilerinizi veya antivirüs çözümlerinizi geri yüklemek için herhangi bir üçüncü taraf yazılımı KULLANMAYIN - bu, özel anahtarın zarar görmesine ve sonuç olarak tüm verilerin Kaybına neden olabilir.
!!! !!! !!!
BİR KEZ DAHA: Dosyalarınızı geri almak sizin yararınıza. Bizim tarafımızdan, biz (en iyi uzmanlar) geri yükleme için her şeyi yaparız, ancak lütfen müdahale etmeyin.
!!! !!! !!!'

Saldırganlar fidye ücreti olarak 2500 dolarlık Bitcoin talep ediyor. Ancak, toplam 72 saat içinde ödenmezse, 5000$'a iki katına çıkar.

REvil Ransomware'in yazarları tarafından talep edilen miktar oldukça yüksek ve bu veri kilitleme Truva Atı'ndan sorumlu olanlar gibi siber suçlular tarafından yapılan herhangi bir talebi ödememenizi ve bunlara boyun eğmemenizi şiddetle tavsiye ederiz. Daha akıllıca bir seçenek, sisteminizi REvil Ransomware gibi tehditlerden koruyacak saygın bir virüsten koruma yazılım paketi indirip yüklediğinizden emin olmak olacaktır.

Grubman Shire Meiselas & Sacks Hack Ve 42 Milyon Dolarlık Fidye Talebi

Mayıs 2020'nin başında, REvil bilgisayar korsanlığı grubu, New York merkezli hukuk firması Grubman Shire Meiselas & Sacks'in (GSMS) sistemlerini ihlal ederek, 756 GB'lık büyük bir hassas veriyi şifreleyip çaldı.

Çalınan dosyalar arasında Elton John, Madonna, Bruce Springsteen, Nicky Minaj, Mariah Carey, Lady Gaga ve U2 dahil olmak üzere çok sayıda A listesindeki ünlünün kişisel yazışmaları, müzik hakları, ifşa etmeme anlaşmaları, telefon numaraları ve e-posta adresleri yer aldı.

Sadece bu değil, bilgisayar korsanları ABD Başkanı Donald Trump hakkında hassas verileri ele geçirdiklerini iddia ettiler. Bu iddia, REvil grubunun yaptığı etkileyici fidye talebinin nedeni oldu. Başlangıçta saldırganlar 21 milyon dolar talep etti, ancak GSMS sadece 365.000 dolarlık bir teklifle karşılık verdi.

Bu, siber dolandırıcıların fidye talebinin iki katına çıkarılmasının yanı sıra, Lady Gaga'nın konserler, TV görünümleri ve ticari sözleşmeler dahil yasal belgelerini içeren 2,4 GB'lık bir arşivin yayınlanmasıyla sonuçlandı.

Lady Gaga sızıntısının içeriği. Kaynak: zdnet.com

Sızıntı, Başkan Trump'ın "kirli çamaşırları" nın serbest bırakılmasıyla ilgili bir tehdit de içeriyordu:

"Bir sonraki yayınlayacağımız kişi Donald Trump. Devam eden bir seçim yarışı var ve zamanında bir ton kirli çamaşır bulduk. Bay Trump, başkan olarak kalmak istiyorsanız adamlara sert bir sopa sokun, yoksa bu hırsı sonsuza kadar unutabilirsiniz. Ve siz seçmenlere, böyle bir yayından sonra onu kesinlikle başkan olarak görmek istemediğinizi size bildirebiliriz. Neyse, detayları bir kenara bırakalım. Süre bir haftadır. Grubman, parayı görmezsek şirketini yerle bir ederiz. Travelex'in hikayesini okuyun, çok öğretici. Senaryolarını bire bir tekrar ediyorsun."

GSMS, Trump'ın hiçbir zaman şirketin müşterisi olmadığını söyleyerek tehdide yanıt verdi. Bilgisayar korsanları, Trump hakkında "en zararsız bilgileri" içerdiği iddia edilen 160 e-postadan oluşan bir arşiv yayınladı. Yine de, ABD Başkanından sadece geçerken bahsettiler ve onun hakkında gerçek bir pislik içermediler. Görünen o ki, tehdit aktörleri herhangi bir "koz" kelimesini aradılar ve sızdırılan e-postaların çoğu onu sadece bir fiil olarak içeriyordu.

Bu arada GSMS, FBI'ın ihlali bir terör eylemi olarak sınıflandırdığını öne sürerek yanıt verdi:

"Uzmanlar ve FBI tarafından teröristlerle pazarlık yapmanın veya onlara fidye ödemenin federal ceza kanununun ihlali olduğu konusunda bilgilendirildik."

Bu, sahip oldukları değerli bilgileri açık artırmaya çıkaracaklarını söyleyen REvil çetesinin tutumunu etkilemiş gibi görünmüyor.