Cryptolocker ve Türevi Fidye Yazılımları Hakkında

Cryptolocker ve Türevi Fidye Yazılımları Hakkında
Mayıs 11 11:44 2016 Yazıyı Yazdır

Fidye yazılımları (ransomware) tarihi eskiye dayanmakla beraber son zamanlarda siber suçluların kişi ya da şirketlerden para sızdırmak için kullandığı en popüler yollardan biri haline geldi. ESET ile bu yazılımların en tanınmışı olan Cryptolocker’ı mercek altına aldık.

 

Fidye Yazılımları Nedir?

Fidye yazılımları; mobil telefon, bilgisayar ya da tabletlerdeki dijital dosyaları esas sahibinin kullanamayacağı şekilde şifreleyen ardından da bu dosyalara yeniden erişim sağlamak için para talep eden zararlı yazılımlardır. Genellikle fidye yazılımları, fidyenin ödeneceği son ödeme tarihi de sunuyorlar ve böylece fidyenin ödenmesi konusunda kurbanın elini çabuk tutmasını sağlıyorlar. Ödeme yapılıp teyit alındığında genellikle şifre kaldırılıyor ve program dosyaları yeniden ulaşılabilir hale geliyor. Ancak fidye ödendikten sonra şifrelerin kaldırılmadığı pek çok örnek de mevcut. Ayrıca daha fazla fidye istemek de gündeme gelebiliyor.

Fidye Yazılımları Nasıl Enfekte Oluyor?

En çok kullanılan bulaşma yöntemi (son 5 yılda), zararlı ekler içeren ve oltalama (phishing) taktikleri içeren e-postalardır. Örneğin Türkiye’de hedeflenen kurbanlar için mail içeriği genellikle “telekom” firmalarından gelmiş gibi görünen yüksek rakamlı faturalar ya da “kargo” firmalarından gelen adres değişikliği formları şeklinde görünüyor.

Süreç Nasıl İşliyor?

E-postayı alan kişi, yapılan hileye kanıp e-postanın ekindeki dosyaya – telefon faturası ya da kargo bilgisi – tıkladığı anda truva atı sistemde çalışmaya başlıyor. Arka kapıdan bilgisayara yüklenen Cryptolocker, bu kez şifrelemek için pek çok dosya tipini arıyor, buluyor ve şifreleme işlemi bitince de kullanıcıya “dosyalarına geri kavuşmak için para göndermesi gerektiği” mesajını gönderiyor.

Bulaştıktan Sonra Kurtarmak Mümkün mü?

Şifrelendikten sonra dosyaların kurtarılması neredeyse imkansız, o nedenle bulaşmadan önce koruma sağlamak büyük önem taşıyor.

 

Fidye Yazılımlarından Nasıl Korunabiliriz?

– Verilerinizi yedekleyin

Fidye yazılımlarını etkisiz kılacak tek ve en iyi ölçü, düzenli olarak güncellenmiş yedeklerdir. Ancak burada da dikkat! Cryptolocker, yedekleri de şifreleyebilir. Bu nedenle – eğer farklı bir çözüm sözkonusu değil ise – düzenli yedek alındıktan sonra harici sürücü veya yedekleme servisinin bağlantısının kesilmesine dikkat edilmesi gerekir.

– Gizli dosya uzantılarını görün

Bir Cryptolocker zararlısı sıklıkla “.PDF.EXE” uzantılı bir ekli dosya ile gelir. Bu Windows’un bilinen dosya uzantılarını saklama davranışının aktif olmasına dayanır. Tam dosya uzantılarını görmeyi etkinleştirmek, şüpheli dosyaları kolayca farkdebilmeyi kolaylaştırır.

– E-postalar içindeki EXE’leri filtreleyin

Eğer e-posta tarayıcınız dosya uzantısına göre filtreleme yeteneğine sahipse, “.EXE” dosya uzantısına sahip maillleri veya exe ile biten iki dosya uzantısı olan dosyaları (“*.*.EXE” dosyalar gibi) filteleyin.

– Tanımadığınız kişilerden gelen e-posta ve mesajların eklerini açmayın, içindeki linklere tıklamayın

Cryptolocker’ın en tipik bulaşma şekli, bankalardan, kargo firmaları ya da telekom firmalarından gelmiş gibi görünen e- posta eklerinin çalıştırılması veya içindeki linklere tıklanması ile gerçekleşiyor. Bu nedenle merakınıza hakim olun, şüpheli e-posta eklerini açmayın, buradaki linklere tıklamayın. Bilgileri başka yoldan doğrulatmayı deneyin. Bankanızı veya telekom firmasını arayın. Belki biraz vaktinizi alacaktır ama sizi daha büyük sorunlardan kurtaracaktır.

– Yazılımlarınızın yamalarını ve güncellemelerini yapın

Virüs yazarları sıklıkla, bilinen açıkları bulunan güncel olmayan yazılımlara sahip kullanıcıların sistemlerine sessizce sızarak virüs bulaştırmayı tercih ederler. Eğer yazılımlarınızı sıklıkla güncelliyorsanız, fidye yazılımlarının bulaşmasına karşı daha korumalı olduğunuz söylenebilir.

– Bilinen bir güvenlik yazılımı kullanın

Virüs yazarları, tespitten kaçabilmek için sıklıkla yeni sürümler yayınlarlar. Bu da bir bilgisayar kullanıcısı olarak çok katmanlı güvenliğe sahip olmanın neden önemli olduğunu gösterir. Sistemin içine sızabilseler bile pek çok zararlı yazılım, zararlı etkilerini gösterebilmek için uzak komutlara ihtiyaç duyarlar. Eğer antivirüs yazılımınızın henüz tanımadığı çok yeni bir fidye yazılımı türevi ile karşılaşsanız bile, bu zararlı yazılım, şifrelemeye başlamak için komuta&kontrol (C&C) sunucusuna bağlanırken tespit edilebilir. O nedenle bilinen, proaktif ve güncel bir güvenlik yazılımı kullanmanız, sizi bu saldırıya karşı koruyacaktır.

– Bilinen son iyi duruma dönebilmek için System Restore kullanın

Eğer virüs bulaşmış Windows sistemde “Sistem Geri Yükleme” özelliği aktifse makinenizi temiz duruma döndürme ve şifrelenmiş dosyaların “Shadow” dosyalardan geri getirilme şansı vardır. Shadow dosyaları geri getirmek için “Shadow Explorer” isimli program kullanılabilir. Ancak ne yazık ki zararlı yazılımlar, hızlıca bu imkanları da düşünüp devredışı bırakabiliyor. Shadow kopyaları silip, dosyaların bunlardan geri döndürülmesini engelleyebiliyorlar. Yine de denemekte fayda var.

– Farkında olun, oltaya takılmayın

En çok bilinen virüs bulaştırma yöntemi, kullanıcıları çeşitli yöntemlerle kandırarak güvenlik açısından yapmamaları gereken bir şeyler yaptırmayı sağlayan sosyal mühendislik yöntemidir. O nedenle farkıdalık ve bir miktar dikkat sayesinde, bu saldırılar geniş ölçüde engellenebilir.

daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.