Bir fidye yazılımı operasyonu, oyunun truva atlı versiyonlarını yaymak için sahte bir web sitesi kullanarak, kayıtlı çok oyunculu birinci şahıs nişancıdan Rus oyuncuları hedefliyor.
Kayıtlı, 2021'de Gaijin Entertainment tarafından yayınlanan ve 500.000 arasında ve bir milyon aktif aylık oyuncuya sahip meşru bir oyun.
Oyun ücretsizdir, bu nedenle tehdit aktörleri yükleyiciyi yayıncıdan kolayca indirebilir ve şüpheli olmayan kullanıcılara kötü amaçlı yükler dağıtmak için değiştirebilir.
Oyun yükleyicisi ile birlikte fidye yazılımı, şifreli dosyalarda '.wncry' dosya uzantısını kullanıyor bile, kötü şöhretli WannaCry'nin üçüncü ana sürümü gibi davranıyor.
Cyble'ın gerginliği analiz eden araştırmacılarına göre, bu yeni "WannaCry" varyantı, elbette eğitim amaçlı yapılan açık kaynaklı 'Crypter' Python Locker'a dayanıyor.
Bunun ilk kez WannaCry'yi taklit etmeye çalışmadığı, muhtemelen kurbanları korkutmak ve hızlı bir fidye ödemesi yapmadığı belirtilmelidir.
Sahte web sitesinden indirilen yükleyici, başlatılırsa kullanıcının diskine iki yürütülebilir dosyayı bırakan "askereed_beta-v1.0.3.115.exe" dır. fidye yazılımı başlatıcısı).
Fidye yazılımı, enfekte olmuş bilgisayardaki birden fazla çalışma örneğini önlemek için başlatma üzerine bir muteks oluşturur.
Daha sonra, hangi dosya türlerinin hedeflendiğini, hangi dizinlerin atlanması gerektiğini, hangi fidye oluşturulacağını, hangi cüzdan adresini fidye alacağı ve diğer saldırı parametrelerini belirleyen JSON yapılandırma dosyasını ayrıştırır.
Ardından, Crypter fidye yazılımı, şifreleme adımında kullanılacak bir "Key.txt" dosyası için çalışma dizinini tarar ve eğer yoksa üretir.
Şifreleme AES-256 algoritmasını kullanır ve tüm kilitli dosyalar ".wncry" dosya adı uzantısını alır.
İlginç bir şekilde, fidye yazılımı, modern dolaplarda standart uygulama olan süreçleri sonlandırmaya veya durdurma hizmetlerini durdurmaya çalışmaz.
Bununla birlikte, kolay veri restorasyonunu önlemek için gölge kopyalarını pencerelerden silme stratejisini takip eder.
Şifreleme işlemi tamamlandıktan sonra, fidye yazılımı fidye notunu özel bir GUI uygulamasında görüntüler ve kurbana taleplere yanıt vermesi için üç gün verir.
Tehdit aktörleri, kurbanın antivirüsü GUI tabanlı fidye notunun lansmanını engellese bile, mesajlarının geçmesini sağlamak için kurbanın arka plan görüntüsünü değiştirir.
Saldırganlar bir TOR sitesi kullanmaz veya kurbanlara güvenli bir sohbet bağlantısı sağlamaz, bunun yerine iletişim için bir telgraf botu kullanırlar.
Rusya'daki popüler FPS başlıkları üzerindeki ulusal yasaklar, yerel oyuncuları eğlence için başka bir yere aramaya zorladı ve kayıtlı alternatiflerden biri.
Tehdit aktörlerinin bu fırsata atladığı anlaşılıyor ve Rus yerelleştirmesiyle benzer oyunlar için başka sahte siteler yaratmaları pek olası değil.
WannaCry'nin başarısı ile taklitler hızla geliştirilmiştir
BTC-E sahibi, çalıntı Bitcoin, Fidye Yazılımı Ödemeleri Aklaması için Tutuklandı
Fidye Yazılımında Hafta - 16 Haziran 2023 - Gasp Dalgası
Milyonlarca Oregon, Louisiana State IDS Moveit İhlali'nde Çalındı
Rhysida Fidye Yazılımı Sızıntıları Şili ordusundan çalınan belgeler
Kaynak: Bleeping Computer