Bu makalemizde sizlere yeni bir fidye kötü amaçlı yazılımını bildiriyor olacağız. WannaCry Kötü amaçlı fidye yazılımından sonra gerçekleştirilen en tehlikeli ikinci saldırı olarak bildirilen ve dünya genelini bu zaafiyete karşı alarm haline geçiren BadRabbit Ransomware hakkında sizleri bilgi vereceğiz.


BadRabbit kötü amaçlı fidye yazılımı; bilgisayarınıza buluştıktan sonra dosya sisteminiz üzerinde değişiklik yaparak dosyalarınızı cyrpto’luyor ve tekrar erişmek istediğinizde sizden 300$ bedel istiyor.

BadRabbit ilk olarak Rusya ve Ukrayna’da tespit edildi. Fakat şu anda Türkiye’de dahil olmak üzere 17 ülkede binlerce bilgisayara bulaşarak, Bilişim dünyası için büyük tehdit oluşturmakta.

• Peki bu virüs bilgisayarımıza nasıl bulaşıyor;
  

Virüsün yapılan kontrollerde AdobeFlashPlayer güncellemesi gibi görünen sahte bir yazılımla geldiği tespit edilmiştir. Virüsün bulaşması durumunda ekrana kırmızı yazılı ‘Bad Rabbit’ uyarısı çıkıyor ve 48 saate ayarlı saat geri saymaya başlıyor. Bilgisayarın sahibine bir site adresi verilerek buraya 0,05 bitcoin (yaklaşık 300 dolar) ödeme yapılması isteniyor. Ödeme yapıldıktan sonra bilgisayarı çözen şifre veriliyor. Ödemenin 48 saat içerisinde yapılmaması durumunda fiyat iki misline çıkıyor.

• Şifrelediği dosya uzantıları nelerdir ? 
  

BadRabbit iki farklı modülden oluşuyor. İlk modül, klasik fidye yazılımlarında olduğu gibi dosyaların ilk 1 MB’lık bölümünü şifreliyor. Şifrelenen dosya uzantıları şu şekilde:



Dosyaların şifrelenmesi için 128 bit AES algoritmasını kullanan yazılım, daha sonra bu anahtarı da RSAaçık anahtarı ile şifreliyor. İkinci modül ise BadRabbit fidye yazılım ailesinden yadigar. İşletim sisteminin Master Boot Record (MBR) bölümüne yerleşen yazılım, sistemin her boot edilişinde otomatik olarak çalışmasını sağlıyor. Gerekli izinlere de sahip olduktan sonra yazılım, Master File Table’ı tespit ettikten sonra Salsa20 stream ile şifreliyor. Master File Table, NTFS dosya sisteminin veri yapısını tutan bir veri tablosu. Her dosyanın, disk üzerinde nerede bulunduğu bilgisini içeren Master File Table sayesinde BadRabbit, her dosyanın nerede olduğunu takip ediyor.



BadRabbit’den nasıl korunacağız;

• Mutlaka güncel ve aktif bir güvenlik yazılımı kullanın.
  
• Sistem yamalarını güncelleyin.
  
• Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayın. Ayrıca bildiğiniz ve güvendiğiniz birinden gelen e-posta içerisinde beklemediğiniz ve talep etmemiş olduğunuz bir ek varsa açmayın.
  
• İşleri gereği sürekli farklı kişilerden e-posta alan iş arkadaşlarınızı uyarın.
  
• Verilerinizi düzenli olarak yedekleyin. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır.
  

Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırın.
Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alın.

---

---