Yeni Fidye Virüsü Kupidon’a Dikkat!
Kurumsal ağları ve tüm PC kullanıcılarını tehdit eden yeni bir ransomware (fidye amaçlı yazılım) ortaya çıktı. Kupidon adlı bu yazılım, ID-Ransomware’e yüklendikten sonra 9 Mayıs tarihinde MalwareHunterTeam tarafından tespit edildi.
Şimdilik Kupidon’un bir örneğine sahip olmasak da bazı kurbanların saldırganlarla yaptığı yazışmalar doğrultusunda birtakım genel bilgiler elde edildi. Bilindiği kadarıyla saldırının hedefi korunmasız remote desktop serverlar (RDS). Bu sunuculara erişim sağlayan hackerlar, kurban kişinin bilgisayarındaki dosyaları şifreliyor ve dosya adı .kupidon olarak değiştiriliyor.
Ayrıca şifrelenmiş her dosyanın içinde bir de !KUPIDON_DECRYPT.TXT. adlı bir fidye notu bulunuyor. Kurbanın kurumsal bir şirket mi yoksa sıradan bir kullanıcı mı olduğuna göre fidye notları ve isteklerde çeşitli değişiklikler oluyor. Örneğin aşağıda bir kurumsal şirkete gönderilen mesaj bulunuyor. Bu mesajda 1.200 dolar değerinde bitcoin talep ediliyor ve kurbana commercial person şeklinde hitap ediliyor.
Sıradan bir PC kullanıcısından ise 300 dolar fidye talep ediliyor ve private person şeklinde hitap ediliyor. Tabii ki bu fidye miktarları diğer ransomware saldırılarındaki kadar yüksek olmasa da kişiden kişiye değişen gelir miktarına göre zorlayıcı olabiliyor. Bu fidye notlarının ikisi de kurban kişiyi bir TOR sitesine yönlendirip durumu açıklıyor ve iletişim için bir e-posta adresi veriyor. Şimdilik bu TOR sayfasında kullanılan e-posta adresi [email protected]. olarak kayıtlı.
Eğer söylenilen süre zarfında ödeme gerçekleşirse kurbana bir AES anahtarı ve Kupidon Virus Decryptor yollanıyor. Bu sayede kilitli dosyaların açılması sağlanıyor denilse de şimdilik elimizde bir kanıt yok. Eğer Kupidon virüsüne ait bir örnek ele geçirilirse incelenecek ve karşı önlemler alınabilecek.
Fidye notunun tamamı ise aşağıdaki şekilde:
All your files have been encrypted with Kupidon Virus.
Your unique id: xxxx
As a private person you can buy decryption for 300$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Download and install Tor Browser ( https://www.torproject.org/download/ )
2) Open the http://oc3g3q5tznpubyasjgliqyykhxdfaqge4vciegjaapjchwtgz4apt6qd.onion/ web page in the Tor Browser and follow the instructions.
incelemek isterseniz benim elimde kupidonla şifrelenmiş dosya mevcut synology nas cihazıma sızmış malesef bende çözüm arıyorum yada bekliyorum
bendede aynı sorun var dosyalarım .kupidon oldu bu işi çözen birini bulduk istanbuldan baya bi ücret istedi. telefonu yüzüne kapattım. Ona dedimki senin bu sahtekardan ne farkın kaldı. Doğrudur bi emek harcanıyor ama astronomik ücretlerde istenmez yani. Sizde yazmışsınız henüz elimize ulaşmadı diye bende var maile dönüş yaparsanız size örnek dosya yollarım. Saygılar.
Öncelikle bunların çözümü genelde yoktur çünkü insanlar bunu para kazanmak için yapar, sizde ücret isteyen astronomik istemiyor aslında onu da bu işi yapanlara veriyor. Örnek birisi sizi şifreledi ve 10btc istedi, tabi herkes bir bilgisayarcı veya tanıdığına soruyor, tanıdık hallederiz abi diyor, alıyor mail adresini bu kişiye mail atıyor, pazarlık yapıyor 6btc ye bitiriyor 7btc sizden istiyor veya bu işi dark webde yapanlar var ona örnek dosya gönderiyor oradaki kişi belki yine bu adamları tanıyor onlar ile bu tür bir pazarlık yapıyor veya bir şekilde çözüyor ve onlar bu parayı veriyor. Basit mantık ile şifrelenmiş dosyaları getir ben çözerim modunda birileri yok yani. Şifreleme oldu ve yedek yok ise çok net 2 çözüm var. 1 Parayı verirsiniz 2 Üstüne soğuk su içersiniz belki de 3 yöntem acil değil ise misal bu konu belki 6 ay sonra çözümü piyasada olacak zaman kısıtınız yok ise muhtemel bir süre sonra bu yöntemler çözülüyor. Ama şifreleme anahtarı birisi tarafından elle oluşturulmuş bir yöntem ise onu beklemeye gerek yok çünkü anahtarı bulma şansınız yok.