DAMA RANSOMWARE

DAMA RANSOMWARE

Bu makalemizde DAMA ransomware grubunun yeni varyantı olan turkcrypt uzantılı fidye virüsünü inceleyeceğiz. Ransomware grupları her geçen gün kendini güncellemeye devam ediyor. Bu gruplardan biri olan DAMA Ransomware grubu, ".turkcrypt" uzantılı varyantı ile saldırılarını arttırmaya başladı. Genel olarak diğer DAMA Ransomware yazılımları ile aynı karakteristik yapıya sahip olan turkcrypt uzantılı fidye virüsü, operatörleri tarafından özelleştirilerek kullanılıyor. Bu güne kadar tarafımıza ulaşmış olan vaka incelemelerinde 3 çeşit DAMA Ransomware varyantı tespit edilmiştir. "dama, damali ve turkcrypt" olmak üzere 3 farklı uzantıda karşımıza çıkan bu yeni fidye yazılımı, ismini algoritmasından almıştır. Yapılan teknik incelemelerde diğer fide virüsü gruplarından farklı olarak veriyi şifrelerken parçalara ayırarak şifrelediği gözlemlenmiştir. Bu yöntem, hem verinin tamamını kapsayacak şekilde bir şifreleme gerçekleştirilmesine olanak sağlarken, bir yanda şifreleme süresini minimuma indiriyor. Diğer fidye virüsü türlerinde şifreleme süresi saatler sürerken, DAMA Ransomware tarafından şifrelenen dosyalar dakikalar içerisinde şifrelenebiliyor. Kendi virüs notlarında ve yapılan teknik analizlerde X25519 ve ChaCha20 şifreleme algoritması kullanarak dosyaları şifreleyip kullanılamaz duruma getirdiği gözlemlenmiştir. Bulaştığı sistemlerde müdahalelere karşı kendini korumak ve bulaştığı sistemi tamamen şifrelemek için sistem başlangıcında çalışmak üzere kurgulanmıştır.

turkcrypt.png

Türü: RANSOMWARE

İsim : DAMA

Tehdit Türü : Fidye Yazılımı, Kripto Virüsü, Backdoor

Şifreleme Algoritması: X25519 ve ChaCha20

Şifreli Dosyalar Uzantısı : .turkcrypt, hicrypt, dama, damali

Fidye Notu : DECRYPT.txt,

Fidye Tutarı : €3000- €50000 (Bitcoin)

İletişim Adresi : trcryptowall@gmail.com, datashophere@mail.ru, datastore2021@gmail.com

AV Algılaması : Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.GenericKD.33855769), ESET-NOD32 (MSIL/GenKryptik.EKSC'nin Bir Varyantı), Kaspersky (HEUR:Trojan-PSW.MSIL.Agensla.gen), Algılamaların Tam Listesi ( VirusTotal )

Virüs Notu : "Tum dosyalar guclu algoritmalar X25519 ve ChaCha20 ile sifrelenir. Bizimle trcryptowall@gmail.com e-posta yoluyla iletisime gecin. Kimliginiz: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx*turkcrypt

Bitcoin'le sifre cozme icin odeme yapmanız gerekir. Fiyat, bizimle ne kadar hızlı iletisim kurdugunuza baglıdır.

odeme isleminden sonra size sifre cozme aracını gonderecegiz.

sifre cozme garantimiz nedir?

odemeden once bize ucretsiz sifre cozme icin 3 adede kadar test dosyası gonderebilirsiniz. Dosyaların toplam boyutu 2Mb'den az (arsivlenmemis) olmalı ve dosyalar degerli bilgiler (veritabanları, yedekler, buyuk excel sayfaları vb.) icermemelidir

Dikkat!

sifreyi cozmeden once herhangi bir para odemeyin. dosyaları test edin.

Hicbir aracıya GuVENMEYİN. size yardım etmeyecekler ve dolandırıcılık kurbanı olabilirsiniz. bize e-posta gondermeniz yeterlidir, size her adımda yardımcı oluruz.

Diger e-postaları yanıtlamayın. YALNIZCA bu e-posta size yardımcı olabilir.

sifrelenmis dosyaları yeniden adlandırmayın.

ucuncu taraf yazılımları kullanarak verilerinizin şifresini çözmeye çalışmayın, bu kalıcı veri kaybına neden olabilir.

Dosyalarınızın üçüncü kişilerin yardımıyla şifresinin çözülmesi taraflar fiyatın artmasına neden olabilir (ücretlerini bize eklerler) veya bir dolandırıcılığın kurbanı olabilirsiniz."

turkcrypt uzantılı fidye virüsü, "DAMA" ransomware ailesine ait bir fidye yazılım çeşididir. Bir sisteme bulaştıktan sonra dosyaları şifreler, yeniden adlandırır ve iletişim kurabilmek için genellikle her klasörün içerisine bir txt doyası oluşturur. Bulaştığı her cihaz için bir ID oluşturur ve iletişim kurmak, ücret talep etmek vb işlemleri gerçekleştirmek için bu ID numarasını baz alır. Oluşturulan her ID'nin sonuna iletişim için trcryptowall@gmail.com e-posta adresini ekler. Dosyaları şifreledikten sonra dosya adlarına ".turkcrypt" uzantısını ekleyerek dosyaları yeniden adlandırır. Örneğin, "local.txt" dosyasını "local.txt.turkcrypt olarak yeniden adlandırır.

turkcrypt2.png

Tüm dosyaları şifreleyip uzantılarını değiştirdikten sonra her klasör içerisine "DECRYPT.txt" ismi ile bir bilgilendirme dosyası oluşturur. Bu dosya içerisinde saldırgan ile nasıl iletişime geçeceğiniz, ödemeyi hangi şekilde yapacağınız, şifrelenen dosyalara müdahale etmemeniz gerektiği vb notlar bırakılır. Bırakılan not içerisinde saldırgan ile belirtilen mail adresleri üzerinden iletişime geçilmesi gerektiği, maksimum 3 adede kadar içerisinde önemli bilgi barındırmayan örnek dosyalar gönderilmesi gerektiği gibi bazı direktifler belirtilir. Unutulmamalıdır ki sistemlerinize fidye virüsü bulaştırıp sizden ücret talep eden siber korsanlar, ödemeyi aldıktan sonra sizinle iletişimi kesebilirler. Fidye yazılımı geliştiricilerinin ödemeden sonra bile şifre çözme araçları / anahtarları göndermediği durumlar olduğunu unutmayın. Daha önce yaşanmış bir çok vakada olduğu gibi, siber korsanlara güvenen kişiler sık sık dolandırılıyor.

Yapılan teknik analizlerde fidye virüsüne ismini veren şeyin dosyaları şifreleme yöntemi olduğundan bahsetmiştik. Aşağıdaki görsellerde göreceğiniz üzere diğer ransomware türlerinde karşılaşılmamış olan yöntemlerle tasarlandığı daha net bir biçimde anlaşılacaktır. İncelememizi 64.225.280 bayt'lık (61.2 MB) bir dosya üzerinde gerçekleştiriyoruz.

turkcrypt_header_encrypt_0x641870.png

Diğer virüs türlerinden farkını ilk olarak dosyanın header kısmına göz atarak anlayabiliyoruz. Hemen hemen tüm fidye virüsü türleri şifrelemeyi hızlı yapabilmek ve dosyayı kullanılamaz hale getirmek için datanın header ve footer kısmından 1024 veya 2048 KB boyutunda şifreleme yaparken DAMA Ransomware, 6.559.856 (0x641870) bayt şifreleme yaparak ilk farkını ortaya koyuyor. Bu kısma kadar diğer virüs türlerinden farklı olarak şifrelemenin boyutu göze çarparken, birazdan göreceğimiz gibi asıl önemli farkın bu olmadığı, daha spesifik özellikler barındırdığı belirginleşecektir. Virüse ismini veren ve neden DAMA isminin seçildiğini gösteren kısım şuan inceleyeceğimiz datanın body diye tabir ettiğimiz gövde kısmı. Header'dan sonra karşılaştığımız ilk şifrelemenin başladığı kısım 21.771.488 (0x14C34E0) bayt'a denk gelmektedir.

turkcrypt_body_begin_encrypt_0x14C34E0.png

Bununla karşılaştıktan sonra sıradan bir virüs ile karşı karşıya olmadığımızı, bir şeylerin alışmış olduğumuz durumdan farklı olduğunu hissediyoruz. Acaba datayı header ile aynı boyutta mı şifreledi diye düşünerek bulunduğumuz bayt'tan itibaren 6.2MB ilerletiyoruz fakat durumun düşündüğümüz gibi olmadığını anlıyoruz. Ardından bulunduğumuz pozisyondan itibaren 1024 KB datayı ilerleterek body kısmında başlayan şifrelemenin nerde bittiğini bulmaya çalışıyoruz. Bir kaç denemeden sonra body kısmında başlayan şifrelemenin 27.269.2320 (x1A01880) bayt'ında sonlandığını tespit ediyoruz.

turkcrypt_body_end_encrypt_0x1A01870.png

Boyut olarak body kısmında gerçekleştirilen şifrelemeyi hesaplamak için; 27269248 - 21771488= 5.497.776 bayt'a denk geldiğini hesaplıyoruz. Bu aşamaya kadar dosya üzerinde gerçekleştirilen incelemede iki farklı alanda şifreleme tespit ediyoruz ve devamında başka bir şifreleme olup olmadığını tespit etmek için devam ediyoruz. Sırayla 1024KB ilerleterek bir sonraki şifrelemeyi bulmaya çalışıyoruz. Bir kaç denemeden sonra bir sonraki şifrelemenin başladığı noktayı tespit ediyoruz. Bir sonraki şifreleme dosyanın 42.609.136 bayt'ında olduğunu gözlemliyoruz.

turkcrypt_body_2_begin_encrypt_0x28A29F0.png

Bir önceki tespit etmiş olduğumuz şifreleme boyutu ile aynı olduğunu varsayarak bulunduğumuz konumdan 5.497.744 bayt ilerletiyoruz fakat böyle olmadığını gözlemliyoruz. Bu sefer header kısmındaki şifreleme boyutu ile aynı olabileceğini düşünerek 6.559.856 bayt ilerletiyoruz fakat bu sefer de aynı olmadığını gözlemleyip manuel olarak 1024KB'lık adımlarla boyutu tespit etmeye çalışıyoruz. 1024KB ilerleterek bitiş noktasının tespiti uzun süreceği görülerek bunu 2048KB'lık adımlarla hızlandırıyoruz ve bir kaç denemeden sonra bitiş noktası olarak 48.200.080 bayt (0x2DF7990) olarak tespit ediyoruz.

turkcrypt_body_2_end_encrypt_0x2DF7980.png

Ardından body kısmındaki ikinci şifrelemenin boyutunu hesaplamak için; 48.200.080 - 42.609.136= 5.590.944 bayt olduğunu gözlemliyoruz.
Boyut olarak dosyanın sonlarına doğru geldiğimizi gördüğümüzden dolayı doğrudan dosyanın footer kısmına bakıyoruz. Diğer virüs türlerinde aşina olduğumuz üzere bu kısımda da bir şifreleme olduğu gözlemlenmiştir. Şifrelemenin boyutu bu aşamada genelde standart olduğu için doğrudan 1.048.576 bayt (0x3C40000) geriye giderek kontrol ediyoruz. Aşina olduğumuz gibi buradaki şifreleme boyutunun diğer fidye virüsü türleri gibi 1024KB olduğunu gözlemliyoruz.

turkcrypt_footer_encrypt_0x3C40000.png

Bu aşamaya kadar dosya üzerinde 4 farklı noktada şifreleme gerçekleştirildiği ve toplam şifreleme boyutunun analiz edilen dosya bazında; 18.697.125 bayt (18.25 MB) olduğu gözlemlenmiştir. Toplam dosya boyutunu ele aldığımızda mevcut datanın %30'una yakın bir şifreleme gerçekleştirildiği ve veriyi bir daha kullanılamaz hale getirdiği tespit edilmiştir. Bu yazımızda, son zamanlar sıklıkla karşımıza çıkan dama fidye virüsü hakkında yaptığımız incelemeyi sizlerle paylaşmak istedik. Bu fidye yazılımının bulaşma yöntemleri ve sistem üzerinde bıraktığı izleri tespit etmek için çalışmalarımız devam etmektedir.

Önemli Not

Fidye virüsüne maruz kalmadan önce mutlaka çalışan bir yedeğiniz olduğundan emin olun. Fidye virüsü saldırılarından minimum düzeyde etkilenmenin yolu her zaman çalışan ve güncel bir yedeğinizin olmasıdır. Yanlış bilinen ve sıkça karşılaşılan sorunlardan biri de sistemin şifrelendiği sırada sunucuların enerji bağlantısı kesilerek müdahale edilmesidir. Böyle bir durumda o an şifrelenen bir dosyanın, şifreleme tamamlanmadığından dolayı ani elektrik kesintisi nedeniyle hasar göreceği öngörülmemektedir ve kalıcı hasarlara sebebiyet vermektedir. Şifreleme işlemi tamamlanmayan bir dosya, şifre çözücü bir anahtar hacker'dan satın alınsa dahi o an hasar gören dosya çözülemeyecektir. Konuyla ilgili bir uzmana danışmadan önce sisteme hiç bir müdahalede bulunulmamalıdır. Çözümlenen vakaların %80'inin yetkisiz müdahalede bulunulmamış ve bir uzman kontrolünde gerçekleşen operasyonlar olduğu bilinmelidir.

Destek

Herhangi bir veri kaybı yaşadığınızda, bulunduğunuz konuma en yakın DrDisk Lab çözüm ortağı ile iletişime geçebilirsiniz...

Yukarı