Adı üstünde “Locky” Zararlısı

Ülkemizde henüz etkisini göstermese de “Lockyzararlısı 100’den fazla ülkede etkisini hissettirmiş durumda. Tüm dünyada 8 Nisan 2016 tarihi itibariyle günde 100.000’den fazla bilgisayara bulaştığı istatistiklere yansımış durumda.

Şanslı ve kilit kelimelerinin birleşiminden meydana getirilmiş Locky’ye henüz yakalanmadıysanız gerçekten şanslı durumdasınız. Zira diskinize bulaştığında tüm verilerinizi .locky uzantısıyla şifreliyor, erişimi engelliyor, 1 Bitcoin karşılığında da verilerinizi geri verdiğini söylüyor. Tabi ne kadar doğru bakmak lazım.

 Locky ileri seviyede geliştirilmiş Nuclear ve Neutrina isimli exploit kitler vasıtasıyla oluşturulmuştur.

Nasıl Bulaşıyor?

İlk etapta içerisinde ek bir MS Word dosyası bulunan e-posta geliyor. Eki indirip açtığınızda aşağıdaki resimde olduğu gibi anlamsız karakterlerin olduğu, üzerinde eğer Word ayarlarınızda makrolar açık değilse içerisinde makroları aktif getirin şeklinde yazı olan bir uyarı ile karşılaşıyorsunuz.

locky-macros-640

Bu aşamada makroları etkinleştirdiğinizde anlamsız karakterler anlamlı hale dönüşmüyor, bu sadece bir kandırmaca metodu. Makrolar aktif hale gelir gelmez Malware dünyasında Downloader olarak tabir edilen dosya olduğu için verilerinizi şifreleyen gerçek zararlıyı indirme işlemi yapıyor. Yani ilk dosya bir Trojan Downloader ikinci dosya ise Trojan Ransomware olarak geçiyor.

Hangi Veriler Etkileniyor?

Bilgisayarınızda bulunan videolar, resimler, kaynak kodları ve ofis belgeleriniz .locky uzantısı ve RSA-2048+AES-128 algoritmasıyla şifreleniyor. Yani çözülmesi imkansız denebilecek bir hale geliyor. Aynı zamanda bilgisayarınızda bir Bitcoin cüzdanınız varsa buradaki wallet.dat dosyasını da bir güzel şifreliyor. Locky öyle akıllı ki bilinen Cryptolocker varyantlarından farklı olarak sisteminizde bir Shadow Copy dosyası (Volume Snapshot Service (VSS)) varsa ki (şifrelenmiş veriyi geri getirebilmenin tek yolu diyebiliriz) malesef bunları da bir güzel siliyor. Ve son olarak da masaüstü duvar kağıdı dolandırıcılığın gerçekleşebilmesi için aşağıdaki şekilde değiştiriliyor.

locky-wallpaper-640

Üzülerek söyleyebiliriz ki verileri geri getirmenin ödeme yapma şanssızlığından başka bir yolu yok ki eğer daha önce yedekleri alınmadıysa!  Locky’nin diğer şifreleme zararlılarına oranla bu kadar akıllı olmasının daha bir çok sebebi var.

  1. İşletim sisteminden bağımsız çalışıyor. Bu ne demek? Windows, Mac ya da Linux dosyalarını şifreleyebiliyor.
  2. Sadece C: sürücüsüne yönelik şifreleme yapmıyor aynı zamanda diğer sürücüler ve bilgisayarınıza bağlı USB içerisindeki verileri de şifreliyor.
  3. Eğer bir network dahilinde iseniz ve diğer bilgisayarlar ya da sunuculara bir şekilde erişim yetkiniz varsa oradaki verileri de ince ince şifreliyor. Bu özellik tamamen kurumsal firmalar için düşünülmüş. Eğer bir şirkette domain admin bu zararlıyı kendisine bulaştırırsa şirket için buyrun cenaze namazına denebilir. 🙂

Neler Yapılabilir?

  1. Antivirüs şart! – Bir çok Antivirüs bu zararlıyı tespit edip engelleyebildiğine göre öncelikle sürekli güncel olan bir Antivirüsün sistemde kurulu bulunması şart.
  2. Makro tamamen out! – Ofis dosyalarının makro özelliklerini varsayılan olarak devre dışı bırakmak gerekiyor.
  3. Ofis görüntüleyicileri kullanın! – Ofis dosyalarını “Office” uygulamasıyla açmak yerine çeşitli görüntüleyiciler kullanın, bu sayede güvende olursunuz.
  4. Eklere dikkat! – E-postalardan gelen eklerin tekrar tekrar üzerinde düşünülüp açılması gerek.
  5. Yetki azaltması yapın! – Kullandığınız bilgisayarda yetkileri kontrol edin, basit dosyaların yönetici haklarıya açılmasını engelleyin.
  6. Orijinal ve güncel olun! – Kullandığınız işletim sistemi orjinal olsun ve kritik güvenlik güncelleştirmelerini mutlaka alın.
  7. Firewall’u etkin kullanın! – Güvenlik duvarınızı yakından takip edip, gereksiz trafikleri engelleyin.

Yetmez Diyenlere!

ThreatSTOP araştırma ekibi, Locky’nin analizlerinde legal gibi görülen domain adlarının sonuna qq veya ff gibi kelimeler ekleyerek otomatik olarak domain üretildiğini tespit etmiş.
Bunlar;
  • hellomydearqq[.]com
  • blablaworldqq[.]com
  • hellomisterbiznesqq[.]com
  • greetingsjamajcaff[.[com
Bu domain adlarının IP çözümlemelerine bakıldığında greetingsjamajcaff[.]com adresinin
(104.168.62[.]235, 74.117.183[.]252, 158.69.167[.]234) üç adet IP adresine karşılık geldiği,
blablaworldqq[.]com domain adının 54.222.176[.]70 IP adresine çözümlendiği,
Ve yukarıda yazılan diğerlerinin aşağıda yazan 11 ayrı IP adresine karşılık geldiği bildirilmiş.
  • 202.120.42[.]190
  • 51.255.10[.]133
  • 146.148.55[.]44
  • 185.118.142[.]154
  • 51.254.226[.]223
  • 78.135.108[.]94
  • 173.82.74[.]197
  • 104.239.213[.]7
  • 198.105.244[.]11
  • 198.105.254[.]11
Yapılan analizlerde bahse konu IP adreslerinden aynı zamanda TeslaCrypt ve diğer ransomware varyantlarının yayıldığı belirtilmiştir.
Bunun için Locky için güvenlik yetmez diyenlere ilgili tüm IP adreslerinin güvenlik duvarında engellenmesi tadından yenmez bir güven ortamı sağlayacaktır. Tabi sadece bu Locky varyantı için. Diğerlerinde görüşmek üzere…

 

Pin It

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.