Hela(Ragnarok) Fidye Virüsü Nedir?

Hela Ransomware, her dosyayı rastgele bir RSA-4096 ve AES-256 anahtarıyla şifreleyip, şifrelenmiş RSA-4096 ve AES-256 anahtarını da, dosyanın içindeki belirli bir ofsete ekler. Böylece hedef sistem içindeki her dosya farklı bir anahtarla şifrelenmiş olur. Şifrelenmiş verilerin çözülmesi içinde RSA özel anahtarı gerekmektedir. (hela fidye virüsü, yayılım esnasında shadow copy leri de siliyor.) Ragnarok fidye yazılım ailesiyle ”.ragnarok_cry”, ”.ragnarok”, ”.rgnk”, ”.odin” varyantlarıyla daha önce karşılaşmıştık. Ragnarok ransomware ailesinin yeni jenerasyonu ”.hela” ile tekrar karşımıza çıkıyor. Hela fidye virüsü sisteme bulaştıktan sonra bütün dosyaları şifreleyerek ulaşılmaz bir hale getirir. Hela fidye virüsü verileri RSA4096 ve AES-256 şifreleme algoritmaları kullanılarak şifreler. Şifreleme işlemi sırasında, etkilenen dosyalara ” .[random_numara].hela ” uzantısı eklenir . Örnek verecek olursak, orijinal olarak ” 1.jpg ” adlı bir fotoğraf dosyası, şifrelemenin ardından ” 1.jpg.08469.hela ” şeklinde bilgisayarınızdaki hiç bir programla açılamayacak bir dosya olarak görünür. Şifreleme işlemi tamamlandıktan sonra, Masaüstüne “!!Read_Me.[random_numara].html” (örn. “!!Read_me.08469.html”) – başlıklı bir fidye notu düşer. Fidye notunun içinde genellikle şifre çözme aracının satın alınmasıyla ilgili bir talimat bulunur. Bu şifre çözme aracı, fidye yazılımı geliştiricileri tarafından oluşturulmuştur. Fidye notu (“!!Beni Oku.[random_numara].html”), kurbanların verilerinin RSA4096 ve AES şifreleme algoritmaları kullanılarak şifrelendiğini bildirir. Ek olarak, fidye notu, özel ve şirketle ilgili içeriğin güvenliği ihlal edilmiş sistemden sızdırıldığını belirtir.

Fidye notu mağdurlara, şifre çözme için ödeme yapmaları gerektiği bildirilir. Siber suçlular, mağdurlara, değerli bilgiler içermeyen şifreli bir dosya göndererek veri kurtarmayı test edebileceklerini söylerler. Fidye notu, bir hafta içinde fidye talepleri yerine getirilmezse, çalınan veriler çevrimiçi olarak yayınlanacağını bildiren talimatlarla sona erer.
Adı : Hela Virüsü
Fidye Yazılım Ailesi : Ragnarok
Uzantısı : .[random_number].hela
Fidye Notu : !!Read_Me.[random_numara].html
Talep Edilen Fidye Tutarı : 40.000$ – 1200.000$ (1 BTC – 30 BTC)
İletişim : CHRISTIAN1986@TUTANOTA.COM ve melling@confidential.tips
AV Algısı : Win32:RansomX-gen [Ransom], Gen:Heur.Ransom.RentS.Gen.1, Win32/Kryptik.HGSY , HEUR:Trojan.Win32.DelShad , Ransom:Win32/Ragnarok.PC!MTB
Örnek bir “!!Read_Me.[random_numara].html” dosyası:

Dear Sir
Your files are encrypted with RSA4096 and AES encryption algorithm.
But don't worry, you can return all your files!! follow the instructions to recover your files 
Cooperate with us and get the decrypter program as soon as possible will be your best solution.
Only our software can decrypt all your encrypted files.
What guarantees you have?
We take our reputation seriously. We reject any form of deception
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain any valuable information.
When hiring third-party negotiators or recovery companies. listen to what they tell you. try to think.
Are they really interested in solving your problems or are they just thinking about their profit and ambitions?
By the way. We have stolen lots of your company and your private data which includes doc,xls,pdf,jpg,mdf,sql,pst...
Here we upload sample files of your company and your private data on our blog :
hxxp://sushlnty2j7qdzy64qnvyb6ajkwg7resd3p6agc2widnawodtcedgjid.onion/
We promise that if you don't pay within a week, we will package and publish all of your company and your data on our website.
We also promise we can decrypt all of your data and delete all your files on internet after your payment.
Such leaks of information lead to losses for the company. fines and lawsuits. And don't forget that information can fall into the hands of competitors!
For us this is just business and to prove to you our seriousness.
Our e-mail:
CHRISTIAN1986@TUTANOTA.COM
Reserve e-mail:
melling@confidential.tips

Hela Ransomware Enjeksiyonu Nasıl Olur?
Hela uzantılı fidye virüsü, Phishing E-postaları ve Trojan olarak iki yol ile bulaştığı gözlemlenmiştir. E-postanızda, farklı faturalar ödemeniz veya paketinizi yerel FedEx departmanından almanız gerektiğini belirten birçok mesaj görebilirsiniz. Ancak tüm bu mesajlar, bu şirketlerin tanıdık resmi e-postalarından değil, bilinmeyen e-posta adreslerinden gönderilir. Tüm bu postalar, fidye yazılımı taşıyıcısı olarak kullanılan ekli dosyayı içerir. Bu dosyayı açtığınız anda sisteminize Hela fidye virüsü bulaşacaktır.
Bazen Trojan virüsleri, kendilerini yasal programlar olarak gösterecek yöntemler kullanabilir ve fidye yazılımlarını önemli bir güncelleme veya programın düzgün çalışması için gerekli olan büyük bir uzantı paketi olarak indirilmek üzere aldatıcı yöntemler uygulayabilir. İndirdiğiniz dosya ile gelen Hela fidye virüsü dosyayı açtığınız anda sisteminize bulaşabilir.
Fidyeyi ödemeli miyim?
Fidye ödemelerini kesinlikle tavsiye etmiyoruz! Hela Ransomware en tehlikeli fidye virüslerinden biridir. Yalnızca verilerinizi şifrelemekle kalmaz, aynı zamanda bilgisayarınızı boş bir kutu haline getirir ve sizin için birkaç kritik soruna da neden olur. Bir an önce bu sorundan kurtulmak için para ödemeyi düşünüyorsanız, büyük bir hata yapmak üzeresiniz demektir. Fidye talebini yerine getirmek yapılacak en kötü şeydir. Bilgisayarınız zaten tehlikede, verileriniz yüksek risk altında ve suçluların talimatlarını körü körüne takip etmek onların ekmeğine yağ sürmek gibidir. Birçok kurban, işlem tamamlanır tamamlanmaz siber saldırganların kendilerine decryption key bile göndermeden tüm iletişim araçlarını sonlandırırlar.
Fidye ödemeleri, bilgisayar korsanlarının daha fazla suç işlemesine neden olmaktadır. Bilgisayar korsanları verilerinizin şifresini çözse bile, verilerinizin bir kısmı şifreleme esnasında çalıştığı için dosyalarınız bozulmuş olabilir. Bilgisayar korsanları fidye virüsünün güncellenmiş bir sürümünü yayınlar yayınlamaz sisteminize tekrar virüs bulaştırmak için backdoor kodlarını sisteminizin derinliklerinde bırakmış olabilirler. Ayrıca, tarayıcınızda ve diğer zararlı tehditler için arka kapı olarak çalışacak önemli sistem ayarlarında birkaç değişiklik yapar. Ödeme yaptığınızda bile dosyalarınızı geri alacağınızın veya bilgisayar korsanlarının sizi tehdit etmeyi bırakacağının garantisi yoktur.
Hela Fidye Virüsü Bulaştıktan Sonra Ne Yapmalıyım?
Sisteminizi ve önemli verilerinizi korumanın tek yolu .hela fidye virüsünden kurtulmaktır. Bu tehlikeli Ransomware sisteminizde kaldığı sürece verileriniz asla güvende değildir. Bu nedenle, bu tehdidi tüm gizli kodlarıyla birlikte sisteminizden en kısa sürede tamamen kaldırmayı denemelisiniz. Tüm şifrelenmiş dosyaların güvende olduğundan emin olun, çünkü verilerin şifresini çözmek için şifrelenmiş dosyalara ihtiyacınız olacaktır. Hela fidye virüsünün sisteminizden tamamen silindiğinden emin olduktan sonra, sisteminizi geri yükleyerek tüm önemli dosyaları yükleyebilirsiniz. Kullanılabilir bir yedekleme dosyası yoksa, dosyalarınızı güvenli bir şekilde geri yüklemek için bu konuda uzman kişilerle iletişime geçmeden hiç bir işlem yapmamaya dikkat etmeniz gerekmektedir.