Bu yazımızda bilinen ransomwarelerin (fidye yazılımları) artık sıradanlaşmış hareketlerini sistemimizde görebilecek miyiz ona bakacağız.
Ilk örneğimiz Crysis.Ransomware in hareketlerinden olan “Network Configuration Discovery” hareketini arayalım
type_id:8001 and operation:1 and process.cmd_line:"mode con"
![Gamma, Bkp, & Monro Dharma Ransomware Variants Released in One Week](https://www.bleepstatic.com/images/news/ransomware/d/dharma/ransom-note.jpg)
![](https://mehmetcantas.com/wp-content/uploads/2021/09/image-1024x390.png)
![](https://mehmetcantas.com/wp-content/uploads/2021/09/image-1-1024x446.png)
DarkSideRansomware için aramalarımızı bıraktıkları Readme dosyaları ve arkaplan resimleri ile yapalım.
![DarkSide: All you need to know about the cyber gang that has US in a 'state of emergency' | News9 Live](https://dl99wm7nnls30.cloudfront.net/wp-content/uploads/2021/05/DarkSide-ransomware-696x476-1.jpg)
Bırakılan readme dosyası neredeymiş
![Bokbulaşır Erdal GIF - Bokbulaşır Erdal Kurtlarvadisi GIFs](https://c.tenor.com/vkyRwG_frnIAAAAM/bokbula%C5%9F%C4%B1r-erdal.gif)
![Cute Baby GIF - Cute Baby Reading GIFs](https://c.tenor.com/sPxBHc3552MAAAAC/cute-baby.gif)
type_id:8003 and operation:1 and file.normalized_path:*\readme.ef33442f.txt
Registry Background image taraması:
type_id:8006 and reg_value.path:"Control Panel\Desktop" and reg_value.name:WallPaper and reg_value_result.data:ef33442f.BMP
Şimdi de damadın amcası Lokibot‘dan add-auto-run taraması yapalım
![Memati Bulut GIF - Memati Bulut Elma GIFs](https://c.tenor.com/3ECeN4HQkxIAAAAC/memati-bulut.gif)
type_id:8006 and operation:2 and reg_value.path:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run and reg_value.name:"DSL Host" and reg_value_result.data:PROGRAMFILES
Peki ya gençliğinde çok canlar yakan Ryuk ailesinden autorun modificationlara bakmayalım mı?
![Tofas Drift GIF - Tofas Drift Speedy GIFs](https://c.tenor.com/KxIRUNhUPZ4AAAAd/tofas-drift.gif)
type_id:8001 and operation:1 and process.cmd_line:"bcdedit /set {default}"
veya shadowcopy silmeleri hafife mi alalım?
type_id:8001 and operation:1 and process.cmd_line:"wmic.exe shadowcopy"