Ülkemizde
de organize veya bireysel saldırılarda sıkça kullanılan Ransomware türü
zararlı yazılımlardan TeslaCrypt ikinci versiyonuyla yenileniyor.
TeslaCrypt’ın yeni versiyonunda artık oyun dosyaları da şifreleniyor.
Fakat asıl yenilik şifrelemede yapılan değişiklikler. Eskiye göre çok
daha güçlü bir şifreleme bizi bekliyor. Bu versiyonda artık şifrelenen
dosyaları açmak imkansız hale geliyor. TeslaCrypt artık kullanıcıya
bildirimde bulunmak için bir arabirim yerine kopyaladığı HTML sayfasını
kullanıyor.
Bulaşılan her PC için yeni bir anahtar üretiliyor. Yani eskisi gibi
bir “master key” yardımıyla tüm şifrelenen verileri açmak mümkün değil.
Elbette eski versiyonda bulunan ve güvenlik uzmanlarının verileri
şifrelemesine yarayan açıklıkta giderilerek dosyalar kurtarılamayacak
hale getirilmiş.
TeslaCrypt 2.0’ın diğer özelliklerine bakacak olursak;
- Zararlı yazılım bulaştığı sistemden ödeme isterken her sistem için
ayrı bir Bitcoin adresi oluşturuyor. Aynı şekilde her sistem için ayrı
bir özel anahtar oluşturularak birbiriyle ilişkilendiriliyor
- AES-256-CBC algoritmasıyla şifreleme gerçekleştiriliyor
- 268 MB üzerindeki dosyalar şifrelenmiyor
- C&C sunucuları Tor ağı üzerinde bulunuyor. Zararlı yazılım
C&C sunucularıyla tor2web servisi aracılığı ile iletişim kuruyor
- Şifrelenen dosyalar bilgisayar oyunları gibi çok sayıda şablona ve uzantıya göre seçiliyor
- Diskteki Shadow kopyalar siliniyor
- Kullanıcıya gösterilen pencerede yazılı RSA-2048 şifreleme algoritması aslında hiçbir yerde kullanılmıyor
- TeslaCrypt 2.0’ın tamamı C++ ile yazılmış ve kripto fonksiyonları için ise OpenSSL kütüphanesi kullanılmış
kaynak : terramedusa