🔥 Ransomware 2025 - Saldırı Senaryoları

Senaryo 1 (PowerShell AES CBC Şifreleme)

Saldırgan, PowerShell script’i aracılığı ile kullanıcının profil dizinindeki .txt ve .png uzantılı dosyaları AES CBC algoritmasıyla şifrelemekte ve dosya isimlerini .dust uzantısı ekleyerek değiştirmektedir. Fidye notu masaüstüne bırakılmış ve kullanıcıya ödeme talebinde bulunulmuştur.

• AES anahtar uzunluğu: 256 bit (32 byte)
• IV sabit 16 byte null dizisi (statik IV, zayıflık oluşturabilir)
• Hedef: $env:USERPROFILE altındaki tüm alt dizinler
• Şifreleme sonrası fidye notu: READ_ME.txt

Senaryo 2 (PowerShell + UI Manipülasyonu)

Saldırgan, PowerShell aracılığıyla kullanıcı masaüstündeki .txt, .docx ve .pdf dosyalarını Notepad uygulaması üzerinden açmakta, içeriğini WScript Shell ile silmekte ve belgeyi boş şekilde kaydetmekte, ardından masaüstünü siyah bir pencere ile kapatarak kullanıcıya ekran manipülasyonu uygulamaktadır.

• Kullanılan teknik: GUI automation → SendKeys metodu
• Amacı: Dosya içeriğini kalıcı şekilde yok etmek (destructive behavior)
• Kullanıcıya psikolojik etki: Ekranın siyah pencereyle kapatılması (scareware effect)

Senaryo 3 (Batch + PowerShell XOR Şifreleme)

Saldırgan, Windows Batch script’i aracılığıyla masaüstündeki .txt ve .pdf dosyalarını listelemekte ve her dosyayı PowerShell üzerinden 0xAA sabit XOR anahtarı kullanarak şifrelemekte ve bu işlemi komut satırında otomatik şekilde yürütmektedir.

• XOR sabit key: 0xAA
• Çok basit şifreleme → düşük AV tespitine açık
• Dosya uzantısı değişmiyor, içerik xor’lanıyor
• Fidye notu yok, yalnızca “BTC gönder” çıktısı bırakılmış

Senaryo 4 (C - Kernel Troll + Ransomware)

Saldırgan, C dilinde geliştirdiği yük aracılığıyla ilk aşamada kernel API çağrılarını kullanarak sistem saatini manipüle etmekte, Event Tracing for Windows (ETW) logging mekanizmasını bypass etmek için EtwEventWrite fonksiyonunu patch’lemekte, ardından RAM ve disk dolumu gerçekleştirerek sistemi yavaşlatmakta ve son aşamada masaüstündeki .txt dosyalarını XOR algoritmasıyla şifrelemekte ve fidye notu bırakmaktadır.

• Kernel-level manipulation:
  • ZwSetSystemInformation → sistem zamanı sahteciliği
  • EtwEventWrite → patch → tek byte 0xC3 (ret) yazılarak ETW devre dışı bırakılıyor
• RAM doldurma → 1GB’a kadar malloc
• Disk doldurma → C:\temp\bigfile.bin (1GB)
• CPU flooding → sürekli çalışan thread’ler
• Şifreleme: XOR key = 0xAA, Dosya uzantısı .locked olarak değiştiriliyor
• Fidye notu: README_LOCKED.txt

Bu saldırı çok kapsamlı ve hem davranışsal hem de performans bazlı tespitleri atlatmaya yönelik ciddi bir “trolling” içeriyor.

Senaryo 5 (PowerShell + C# AES + DNS Tünelleme)

Saldırgan, PowerShell aracılığıyla disk üzerindeki dosya yollarını toplamakta ve .NET Assembly (C#) compile ederek AES CBC algoritmasıyla .txt ve .png dosyalarını şifrelemekte, aynı zamanda UDP 53 portunu kullanarak DNS query’leri üzerinden C2 iletişimi kurmakta ve şifreleme tetik komutlarını bu tünel üzerinden almaktadır. Ayrıca EDR altyapılarına karşı hosts dosyasında domain engelleme girişimi yapılmaktadır.

• AES Key → 32 byte sabit key
• C2 Komutları → DNS query verisinin Base64 + AES şifreli gönderimi
• Şifreleme sonrası dosya uzantısı: .dust
• Fidye notu: !!_DUSTWARE_README.txt
• EDR bypass → hosts dosyasına tele.edr.cloud eklenmiş (domain sinkhole)

Bu senaryo fileless (PowerShell + C# assembly) ve network tünelleme içerdiği için ileri seviye AV tespitlerini zorlayabilir.

Senaryo 6 (C - Windows API XOR Şifreleme + MessageBox)

Saldırgan, C dilinde geliştirdiği yük aracılığıyla Windows API fonksiyonlarını kullanarak masaüstündeki .txt ve .pdf dosyalarını XOR algoritmasıyla şifrelemekte, dosya boyutlarını ve erişimlerini doğrudan WinAPI çağrılarıyla kontrol etmekte ve sonunda kullanıcıya MessageBox aracılığıyla fidye talebinde bulunmaktadır.

• XOR key = 0xAA
• Kullanılan WinAPI: CreateFileA, ReadFile, WriteFile, FindFirstFileA, FindNextFileA, MessageBoxA
• Fidye notu → MessageBox popup
• Şifreleme sonrası dosya isminde uzantı değişikliği yok; içerik XOR’lanıyor