PyLocky Fidye Yazılımının Şifre Çözümlemesini Yapan Software


PyLocky Ransomware sıkça kullanılan kötü amaçlı bir yazılım. Fidye tarzı diye adlandırdığımız sistem şu şekilde işliyor. Bir cihaza bağlanıldığı zaman içerideki tüm dosyaları şifreleyerek kullanıcının bu dosyalara girişini engelliyor ve Hacker, dosyaları açmak için bir ücret talep ediyor.

Cisco Talos Siber Zeka ünitesinde güvenlik araştırmacısı Mike Bautista, PyLocky tarafından şifrelenmiş dosyaların şifrelerini çözen ücretsiz bir yazılım yayınladı.

Çözümleme aracını herkes çalıştırabiliyor fakat dosyalarınızı alabilmeniz garanti değil. Aracın düzgün bir şekilde çalışıp dosyalarınızı kurtarabilmesi için PyLocky Ransomware’i ile komuta-kontrol (C2) sunucusu arasındaki ilk ağ trafiğini (PCAP dosyasını) yakalamanız gerekiyor, ki bunu neredeyse kimse isteyerek yapmıyor.

Mike Bautista’nın geliştirdiği PyLocky Ransomware Decryption Tool adlı yazılım bu sayede sunucudan gelen şifreleme anahtarıyla ilgili gerekli bilgiyi elde edebiliyor ve bu bilgiler başlatma vektörü ve bir şifre içeriyor. Fidye yazılımı ise bu şifreler ile rastgele bir şekilde dosyaları şifreliyor.

Mike Bautista’nın yaptığı açıklamaya göre;

“Eğer C2 trafiği yakalanamazsa, yaptığımız araç, fidye yazılımının bulaşmış olduğu cihazın dosyalarını kurtarmakta başarısız olacaktır. Çünkü sunucunun belirttiği ilk şifreleme kodu aynı sunucuya geri gönderilmek zorunda.”

İlk defa geçen yıl Temmuz ayında Trend Micro araştırmacıları tarafından fark edilen PyLocky, birçok kötü yazılım gibi spam e-mailler ile kurbanları kandırma üzerinden yazılımı açmalarını sağlayarak bulaşıyor.

Güvenlik uygulamalarını atlatabilmek için PyLocky, bulaştığı cihazlarda 999.999 saniye uykuda bekliyor. Bu da ortalama 11,5 gün ediyor. Ve eğer bulaşılan cihazın RAM boyutu 4GB’den az ise kendini hiç çalıştıramıyor.

Python dilinde yazılmış ve PyInstaller ile paketlenmiş PyLocky fidye yazılımı, ilk olarak her dosyayı base64 formatına çeviriyor ve rastgele başlatma vektörü ile şifre oluşturuyor ve bulaşılan bilgisayardaki tüm dosyaları buna göre şifreliyor.

Şifreleme işlemi bittikten sonra, PyLocky, kullanıcıya bir fidye notu göstererek dosyalarını tamir ettirmek istiyorsa belirli bir ücret ödemesi gerektiğini söylüyor. Ayrıca notta fidye fiyatının her 96 saatte iki katına çıkacağını söyleyerek insanları direkt ödeme yapmaya zorluyor.

 

Kaynak : PyLocky Fidye Yazılımının Şifre Çözümlemesini Yapan Software