MalwareHunterTeam bilgisayardaki dosyaları şifreleyen, isimlerini karıştıran ve BlackRuby uzantısı ekleyen Black Ruby adlı yeni bir fidye yazılımı keşfetti. Black Ruby, yalnızca bir fidye yazılımı olmakla kalmıyor aynı zamanda bilgisayardaki CPU kaynaklarının çoğunu kullanan bir Monero cryptominer da yüklüyor. Bu yazı yazılırken Black Ruby’nin şifresi henüz çözülebilmiş değildi.
Bunun dışında, bir raporda Black Ruby fidye yazılımının yalnızca kurbanın sistemi İran’dan değilse bilgisayarının şifrelendiği bildiriliyor. Fidye yazılımı http://freegoip.net/json/ adresini sorgulayarak cevabın içeriğinde “country_code”: “IR” olup olmadığını kontrol edecektir. Web sitesi kullanıcının İran’dan geldiğini gösteriyorsa süreç sona erer ve herhangi bir kötü niyetli etkinlik gerçekleştirmez.
Zararlı yazılımın yıkıcılığına ek olarak, Black Ruby verileri şifrelemeden önce bilgisayara bir Monero madencisi kuruyor. Kurbanlar fidyeyi ödemese bile, saldırganlar enfekte olmuş sistemlerden dijital para birimi üretebilirler.
Trend Micro Tehdit Müdahale Mühendisi Noel Anthony Llimos, bu zararlı yazılımın (Trend Micro tarafından RANSOM_BLACKRUBY.THBGBI olarak tanımlanan) fidye yazılımı ve kripto paraların yeteneklerini bir araya getiren ilk yazılım olduğunu belirtiyor. Bu ikisinin kombinasyonu oldukça sıra dışı bir durum çünkü, fidye yazılımlarının tek amacı, mağdurları ödeme yapmaya zorlamak için dosyaları şifrelemektir.
Dahası, Black Ruby’nin tahrip edici doğası, CPU’nun Monero şifreleme için çok fazla bellek harcaması nedeniyle kurbanının bilgisayarını yavaşlatan ve aşırı ısınan madencilik işlemlerini yapmasından kaynaklanıyor.
Llimos, Black Ruby’nin RSA + AES Hybrid Encryption’ı kullandığını ve bunun da, şifreli dosyaları kaba kuvvetle çözmeyi neredeyse imkansız kıldığını belirtiyor. Ayrıca yazılım kendisini Windows Defender uygulaması olarak gösteren bir kayıt defteri oluşturur. Sistem kurtarma işlemini değiştirir, yedek kopyalarını kaldırmak için gölge kopyayı siler, Windows Hata Kurtarma ve Windows Günlük İletilerini devre dışı bırakır.
Kötü amaçlı yazılım, bir sisteme diğer kötü amaçlı yazılımlar tarafından indirilmiş bir dosya olarak geldiğinde veya kötü niyetli siteleri ziyaret ederken kullanıcılar tarafından bilmeden indirilirse, kullanıcılar fidye yazılımı ile uğraşırken karşılaşılan riskleri en aza indirmek için aşağıdaki tavsiyeleri takip edebilirler.
Düzenli olarak dosya yedekleme
Ransomware, kullanıcıların bilgisayarlarının kilitlenmesi korkusuyla hareket ederek kritik verilere erişememesine ve iş operasyonlarında aksamalara neden olur. Dosyalarınızı düzenli olarak yedeklemek, siber suçlunun kozunu elinden alır. Biri farklı mekanda depolanan iki farklı biçimde üç yedek oluşturarak 3-2-1 kuralını izleyin.
Programları ve işletim sistemlerini güncelleme
Bir çok dosya şifreleyen kötü amaçlı yazılım, sisteme girmek için güvenlik açıklarından yararlanır. İşletim sistemini, yazılımlarını veya programlarını güncelleyip, güncel tutmak güvenlik kusurlarından kaynaklanan saldırıları önler.
Güvenlik farkındalığı kültürü oluşturmak
Sosyal mühendislik pek çok fidye aracı için temel bir taktiktir bu nedenle kuruluşların güvenlik bilincine sahip bir işgücünü teşvik etmesi önemlidir. Bunu yapmak için, otoritenin uygunluğunun ötesine geçtiğinizden, proaktif durum tepkisini ve iyileştirme stratejilerini geliştirdiğinizden ve sürekli olarak ince ayar yaptığınızdan emin olun.
Trend Micro Fidye Yazılımı Çözümleri
Şirketler, bu tehditlerin getirdiği riskleri en az düzeye indirmek için çok katmanlı, adım adım yaklaşımı kullanabilir. Trend Micro™️ Deep Discovery™️ E-mail Inspector ve InterScan™️ Web Security gibi e-posta ve web ağ geçidi çözümleri, fidye yazılımının son kullanıcılara ulaşmasını engeller. Son nokta düzeyinde, Trend Micro Smart Protection Suites, yüksek hassasiyetli makine öğrenmesi, davranış izleme, uygulama denetimi ve bu tehdidin etkisini en aza indirgeyebilecek güvenlik açığı koruması gibi çeşitli yetenekler sunar. Bu arada, Trend Micro Deep Discovery Inspector ağlardaki fidye yazılımlarını algılar ve engeller.
Bu çözümler, veri merkezleri, bulut ortamları, ağlar ve uç noktalar için kapsamlı tehdit savunma yöntemlerinin nesiller arası karışımını sağlayan Trend Micro XGen™️ güvenliği ile güçlendirilmiştir. Akıllı, optimize edilmiş ve ağ bağlantılı XGen™️, Trend Micro’nun güvenlik çözümleri grubunu güçlendirir: Hibrid Bulut Güvenliği, Kullanıcı Koruma ve Ağ Savunması.