Yeni Fidye Virüsü Kupidon’a Dikkat!

Kurumsal ağları ve tüm PC kullanıcılarını tehdit eden yeni bir ransomware (fidye amaçlı yazılım) ortaya çıktı. Kupidon adlı bu yazılım, ID-Ransomware’e yüklendikten sonra 9 Mayıs tarihinde MalwareHunterTeam tarafından tespit edildi.

Şimdilik Kupidon’un bir örneğine sahip olmasak da bazı kurbanların saldırganlarla yaptığı yazışmalar doğrultusunda birtakım genel bilgiler elde edildi. Bilindiği kadarıyla saldırının hedefi korunmasız remote desktop serverlar (RDS). Bu sunuculara erişim sağlayan hackerlar, kurban kişinin bilgisayarındaki dosyaları şifreliyor ve dosya adı .kupidon olarak değiştiriliyor.

Ayrıca şifrelenmiş her dosyanın içinde bir de !KUPIDON_DECRYPT.TXTadlı bir fidye notu bulunuyor. Kurbanın kurumsal bir şirket mi yoksa sıradan bir kullanıcı mı olduğuna göre fidye notları ve isteklerde çeşitli değişiklikler oluyor. Örneğin aşağıda bir kurumsal şirkete gönderilen mesaj bulunuyor. Bu mesajda 1.200 dolar değerinde bitcoin talep ediliyor ve kurbana commercial person şeklinde hitap ediliyor.

Kurumsal şirketlere gönderilen not

Sıradan bir PC kullanıcısından ise 300 dolar fidye talep ediliyor ve private person şeklinde hitap ediliyor. Tabii ki bu fidye miktarları diğer ransomware saldırılarındaki kadar yüksek olmasa da kişiden kişiye değişen gelir miktarına göre zorlayıcı olabiliyor. Bu fidye notlarının ikisi de kurban kişiyi bir TOR sitesine yönlendirip durumu açıklıyor ve iletişim için bir e-posta adresi veriyor. Şimdilik bu TOR sayfasında kullanılan e-posta adresi ann4.orlova.892@yandex.ru. olarak kayıtlı.

Sıradan PC kullanıcısına gönderilen not

Eğer söylenilen süre zarfında ödeme gerçekleşirse kurbana bir AES anahtarı ve Kupidon Virus Decryptor yollanıyor. Bu sayede kilitli dosyaların açılması sağlanıyor denilse de şimdilik elimizde bir kanıt yok. Eğer Kupidon virüsüne ait bir örnek ele geçirilirse incelenecek ve karşı önlemler alınabilecek.

Fidye notunun tamamı ise aşağıdaki şekilde:

All your files have been encrypted with Kupidon Virus.

Your unique id: xxxx

As a private person you can buy decryption for 300$ in Bitcoins.

But before you pay, you can make sure that we can really decrypt any of your files.

The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.

To do this:

1) Download and install Tor Browser ( https://www.torproject.org/download/ )

2) Open the http://oc3g3q5tznpubyasjgliqyykhxdfaqge4vciegjaapjchwtgz4apt6qd.onion/ web page in the Tor Browser and follow the instructions.

Kaynak

Exit mobile version