- 19 Tem 2022
- 352
- 172
Herkese iyi akşamlar. Bugün sizlere C++ ile kodlamış olduğum ransomware türündeki zararlı yazılımını tanıtacağım.
Ransomware nedir?
Ransomware kelimesi "ransom" ve "malware" kelimelerinden gelmektedir.
Bu tür virüsler, bilgisayarınızdaki dosyaları şifreler ve şifrelemeyi çözmek için sizden fidye talep ederler.
En çok bilinen fidye virüslerinden bir tanesi WannaCry'dır
Şifreleme
Bu virüs şifreleme olarak CipherShift şifreleme yöntemini kullanıyor. Peki nedir bu CipherShift?
CipherShift şifrelemesi, bir karakterin ASCII tablosu üzerindeki karşılığı ile oynama yapar.
Örneğin elimizde 'a' karakteri var. Bu karakterin ASCII tablosundaki değeri 97'dir. CipherShift ile bunu 5 kez öteleyelim. 97 + 5 = 102
102. değere denk gelen karakterimiz ise 'f' harfi oluyor. Bu şekilde karakterlerin ötelenmesi ile basit şifrelemeler yapılabilir.
Apolyze.Ransom
"Bu yazılım, tamamen test amaçlı yapıldığı için herhangi bir fidye istememektedir."
Öncelikle, programın çalışma mantığını açıklayalım. Bu program, kendi içerisinde bir anahtar (key) ile çalışmaktadır.
Bu anahtar, yazılım içerisinde byte veri türünde tutulmaktadır. Bu sayede anahtarı elde etmek isteyen birisi, statik analiz ile bu anahtarı elde edemeyecektir.
Daha sonra program, byte türünde olan bu anahtarı kendi içerisinde çözümleyerek bir 'string' veri elde eder.
Bu string veri ise bir algoritma ile üzerinde oynamalar yapılarak bir "integer" değere döndürülür. Bu "integer" değer, CipherShift şifrelemesinde kullanacağımız öteleme miktarını belirtecektir.
Bu sayede, anahtar güncel olarak kişiye göre değiştirilip, farklı öteleme miktarları elde edilebilir.
İsterseniz programın testine geçelim. Hedef makinemiz Windows 8.1 x64.
Bu şekilde bir test klasörü hazırladım. Programımızı kullanarak içerisindeki dosyaları şifreleyip kullanılamaz hale getireceğiz.
Virüsümüz sağdaki yürütülebilir dosya. 3.98 MB boyuta sahip.
Çalıştırıyorum ve milisaniyeler içerisinde bulunduğu dizin, masaüstü, belgeler, indirlenler ve resimler klasörlerindeki dosyaları şifreleyip ".apocalyptic" uzantısına dönüştürüyor.
Gördüğünüz gibi bütün dosyalar .apocalyptic uzantısına sahip. Ve hiçbiri açılmıyor. Hepsinin içeriği şifrelenmiş durumda.
Elbette ki bu virüsün bir de decryptor'u var. Yani şifrelenmiş dosyaların şifresini çözmeye sağlayan yazılım diyebiliriz. Onu da gösterelim:
Sol tarafta bulunan yürütülebilir dosyamız virüsümüzün decryptor'udur.
Decryptor için fazla vakit harcamadım. O yüzden bir arayüze sahip değil ve antivirüsler tarafından algılanıyor. 929 KB boyuta sahip.
Şifrelemede kullandığımız anahtar'ı giriyoruz. Daha sonra program ".apocalyptic" uzantılı dosyaları bulup şifrelerini çözecektir.
Gördüğünüz gibi şifrenin girilmesinin ardından tüm dosyaların şifresi çözüldü. Ve kullanılabilir haldeler.
$ FUD KANIT $
Apolyze Ransomware
Programın kaynak kodunu, VT linkini ve release versiyonunu (yürütülebilir halini) paylaşmayacağım. Konu tanıtım için açılmıştır
Ransomware nedir?
Ransomware kelimesi "ransom" ve "malware" kelimelerinden gelmektedir.
Bu tür virüsler, bilgisayarınızdaki dosyaları şifreler ve şifrelemeyi çözmek için sizden fidye talep ederler.
En çok bilinen fidye virüslerinden bir tanesi WannaCry'dır
Şifreleme
Bu virüs şifreleme olarak CipherShift şifreleme yöntemini kullanıyor. Peki nedir bu CipherShift?
CipherShift şifrelemesi, bir karakterin ASCII tablosu üzerindeki karşılığı ile oynama yapar.
Örneğin elimizde 'a' karakteri var. Bu karakterin ASCII tablosundaki değeri 97'dir. CipherShift ile bunu 5 kez öteleyelim. 97 + 5 = 102
102. değere denk gelen karakterimiz ise 'f' harfi oluyor. Bu şekilde karakterlerin ötelenmesi ile basit şifrelemeler yapılabilir.
Apolyze.Ransom
"Bu yazılım, tamamen test amaçlı yapıldığı için herhangi bir fidye istememektedir."
Öncelikle, programın çalışma mantığını açıklayalım. Bu program, kendi içerisinde bir anahtar (key) ile çalışmaktadır.
Bu anahtar, yazılım içerisinde byte veri türünde tutulmaktadır. Bu sayede anahtarı elde etmek isteyen birisi, statik analiz ile bu anahtarı elde edemeyecektir.
Daha sonra program, byte türünde olan bu anahtarı kendi içerisinde çözümleyerek bir 'string' veri elde eder.
Bu string veri ise bir algoritma ile üzerinde oynamalar yapılarak bir "integer" değere döndürülür. Bu "integer" değer, CipherShift şifrelemesinde kullanacağımız öteleme miktarını belirtecektir.
Bu sayede, anahtar güncel olarak kişiye göre değiştirilip, farklı öteleme miktarları elde edilebilir.
İsterseniz programın testine geçelim. Hedef makinemiz Windows 8.1 x64.
Bu şekilde bir test klasörü hazırladım. Programımızı kullanarak içerisindeki dosyaları şifreleyip kullanılamaz hale getireceğiz.
Virüsümüz sağdaki yürütülebilir dosya. 3.98 MB boyuta sahip.
Çalıştırıyorum ve milisaniyeler içerisinde bulunduğu dizin, masaüstü, belgeler, indirlenler ve resimler klasörlerindeki dosyaları şifreleyip ".apocalyptic" uzantısına dönüştürüyor.
Gördüğünüz gibi bütün dosyalar .apocalyptic uzantısına sahip. Ve hiçbiri açılmıyor. Hepsinin içeriği şifrelenmiş durumda.
Elbette ki bu virüsün bir de decryptor'u var. Yani şifrelenmiş dosyaların şifresini çözmeye sağlayan yazılım diyebiliriz. Onu da gösterelim:
Sol tarafta bulunan yürütülebilir dosyamız virüsümüzün decryptor'udur.
Decryptor için fazla vakit harcamadım. O yüzden bir arayüze sahip değil ve antivirüsler tarafından algılanıyor. 929 KB boyuta sahip.
Şifrelemede kullandığımız anahtar'ı giriyoruz. Daha sonra program ".apocalyptic" uzantılı dosyaları bulup şifrelerini çözecektir.
Gördüğünüz gibi şifrenin girilmesinin ardından tüm dosyaların şifresi çözüldü. Ve kullanılabilir haldeler.
$ FUD KANIT $
Apolyze Ransomware
Programın kaynak kodunu, VT linkini ve release versiyonunu (yürütülebilir halini) paylaşmayacağım. Konu tanıtım için açılmıştır