Mystic Nedir?
Mystic, ilk olarak 2020 yılında tespit edilen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, kripto cüzdanları ve oturum çerezleri olan bu zararlı yazılım, Windows sistemleri hedef almaktadır.
Mystic, Bilgi Hırsızı (Infostealer) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kişisel verileri toplayan bir bilgi hırsızı (infostealer) olarak sınıflandırılmıştır. Tarayıcı kayı
Programlama dili: Go | C2 iletişim protokolü: HTTP
Atıf: NULL
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte faturalar, kargo bildirimleri veya iş teklifleri içeren ekler
- Kötü Amaçlı İndirmeler: Crack yazılımlar, keygen dosyaları, sahte güncellemeler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik indirme
- USB/Harici Disk: Enfekte çıkarılabilir medya yoluyla
- Sosyal Mühendislik: Discord, Telegram veya WhatsApp üzerinden paylaşılan dosyalar
Enfeksiyon Belirtileri
- Sistem performansında ani düşüş, yüksek CPU/RAM kullanımı
- Antivirüs programının devre dışı bırakılması veya hata vermesi
- Bilinmeyen ağ bağlantıları veya yüksek internet trafiği
- Görev yöneticisinde tanımadığınız süreçler
- Tarayıcı ayarlarının değişmesi, yeni eklentiler
- Kayıtlı şifrelerinizin çalınması, hesap ele geçirme uyarıları
Adım Adım Temizleme
Aşağıdaki adımları sırasıyla uygulayın:
Adım 1: İnterneti Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını hemen kesin. Ethernet kablosunu çekin veya Wi-Fi'yi devre dışı bırakın. Bu adım veri sızdırılmasını önler.
Adım 2: Güvenli Moda Geçin
Windows'u Güvenli Mod'da (Ağ desteği ile) başlatın:
- Win + R tuşlarına basın,
msconfigyazın - Önyükleme sekmesinde "Güvenli önyükleme" → "Ağ" seçin
- Veya başlatma sırasında F8 tuşuna basın
Adım 3: Şüpheli Süreçleri Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen, yüksek CPU kullanan süreçleri sonlandırın. Mystic genellikle kendini meşru bir Windows süreci olarak gizler.
Adım 4: Antivirüs Taraması Yapın
Aşağıdaki araçları kullanarak tam sistem taraması yapın:
- Malwarebytes — birincil önerilen araç
- AdwCleaner — ikinci görüş için
- Windows Defender Çevrimdışı Tarama — derin önyükleme seviyesi tarama
Adım 5: Kayıt Defteri Temizliği
Win + R tuşlarına basıp regedit yazın. Aşağıdaki konumları kontrol edin ve Mystic ile ilgili girdileri silin:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Dikkat: Registry'den yanlış kayıt silmek sisteme zarar verebilir. Emin değilseniz bu adımı profesyonele bırakın.
Adım 6: Geçici Dosyaları Temizleyin
%TEMP%, %APPDATA% ve %LOCALAPPDATA% klasörlerindeki şüpheli dosyaları silin. Disk Temizleme aracını çalıştırın.
Adım 7: Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın, eklentileri ve kaydedilmiş şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Sıfırla
Çalınan Verilerin Korunması
Mystic cihazınıza bulaştıysa aşağıdaki işlemleri hemen yapın:
- Tüm tarayıcılardaki kayıtlı şifreleri değiştirin
- Google, Facebook, Microsoft hesaplarında oturumları sonlandırın
- Kripto cüzdanlarınızı yeni bir cihazdan yeni adrese taşıyın
- Bankanızı ve e-posta sağlayıcınızı bilgilendirin
- İki faktörlü doğrulamayı (2FA) tüm önemli hesaplarda etkinleştirin
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve yazılımları güncel tutun
- Güvenilmeyen kaynaklardan dosya indirmeyin
- E-posta eklerine ve bağlantılarına dikkat edin
- Güçlü ve benzersiz şifreler kullanın, 2FA etkinleştirin
- Düzenli yedekleme yapın (3-2-1 yedekleme kuralı)
- Kurumsal ağlarda ağ segmentasyonu ve EDR çözümleri kullanın
- Windows SmartScreen ve UAC'yi etkin tutun
Profesyonel Yardım
Enfeksiyon temizleme konusunda emin değilseniz veya kurumsal bir ortamda iseniz KEYDAL güvenlik uzmanlarından destek alabilirsiniz. Olay müdahalesi, adli analiz ve güvenlik sertleştirme hizmetleri için www.keydal.tr adresini ziyaret edin.