Bu MS Word Dosyası Tüm Sistemi Şifreliyor

Bu MS Word Dosyası Tüm Sistemi Şifreliyor
Şubat 19 16:08 2016 Yazıyı Yazdır

Locky Ransomware (Fidye Virüsü)

Son birkaç yıldır yoğunca karşılaşılan ve milyonlarca bilgisayarı hedef alan ransomware benzeri kötü amaçlı yazılımlar her geçen gün gelişmeye devam ediyor. Geçtiğimiz günlerde web sunucuları hedef alan yeni bir türevden söz etmiştik. Şimdiyse yine özellikle son kullanıcıları hedef alan bir başka ransomware ile karşı karşıyayız.

Microsoft Word dosyası olarak kurbana gönderilen dosya yine hizmet alınan bir firmanın gönderdiği fatura şeklinde sunuluyor. Locky olarak adlandırılan bu zararlı yazılımın harekete geçmesiyle birlikte oluşturulan dosyalarda .locky uzantısına sahip. Eğer siz de bilgisayarınızda ya da ağınıza bağla bir başka cihazda bu uzantıda dosyalar gördüyseniz geçmiş olsun…

0

Locky’den kurtulmanın iki yolu bulunuyor. Bunlardan biri bilgisayarı formatlayıp işletim sistemi ve diğer uygulamaları yeniden kurmak ya da şifrenin ortadan kaldırılması için fidyeyi ödemek. Tabi zararlı yazılımın enfekte olduğu bilgisayarda şifrelenen dosyaları alternatif yöntemlerle (Shadow Copy (Shadow Explorer), Recovery gibi) kurtarmayı da es geçmemek lazım.

Saatte 4000 farklı bilgisayara yayılabilen dosya günde yaklaşık 100.000 bilgisayara sızabiliyor. Oldukça hızlı yayılan Locky’nin en önemli özelliklerinden biri de kendisini MS Word belgesinin “Macro” özelliği üzerinden enfekte ediyor olması. Bu da macro ve macro güvenliğini yeniden gündeme getirmiş durumda.

1

Microsoft Office 365 ya da Outlook üzerinden yayılan Locky, tıpkı 1990’lı yıllardaki macro virüsleri gibi davranıyor. Kurban zararlı Word belgesini çalıştırdıktan sonra macro’yu çalıştırması için çıkan popup’a olumlu yanıt veriyor. Bu da macronun çalışmasına ve dolayısıyla da sistemin enfekte olmasına sebep oluyor. Bundan sonra şifreleme işlemi başlıyor ve şifrelenen dosyalar artık .locky uzantısına sahip oluyor.

Sisteme enfekte olmasının ardından yeni bir mesaj daha çıkıyor. Bu mesajda ise TOR’un indirilmesi ve bu sistem üzerinden saldırganın web sitesini ziyaret etmesi isteniyor. Sitede ise ödemenin nasıl yapılacağı dolayısıyla da sistemin virüsten nasıl temizleneceği gibi bilgiler yer alıyor.

2

Locky bulaşmış bilgisayarları kurtarmak için cihaz başına 208$ – 800$ ödenmesi gerekiyor. Sitenin ve mesajların pek çok farklı dile çevrilmiş olması da bir başka şaşırtıcı olay. Bu zamana kadar en çok etkilenen ülkeler arasında Almanya, Hollanda, ABD, Mali, Suudi Arabistan, Hırvatistan, Polonya, Arjantin, Meksika ve Sırbistan yer alıyor.

daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

1983 yılında İstanbul’da doğmuştur. İstanbul Teknik Üniversitesi mezunudur. PC World Türkiye dergisinde Yazılım Editörü olarak görev yapmış, daha sonra sırasıyla BYTE Türkiye dergisinde Yazı İşleri Müdürü, T3 Türkiye dergisinde Yayın Yönetmeni görevlerinde bulunmuştur. Türkiye Bilişim Güvenliği Derneği’nde Yönetici Üye olarak, siber güvenlikle ilgili farkındalık çalışmalarına katılmıştır. Türkiye Bilişim Derneği İstanbul Şubesi’nde Açık Kaynak Çalışma Grubu Başkanlığı göreviyle, Linux ve LibreOffice gibi açık kaynak yazılımlar hakkında Türkiye’de önemli katkılarda bulunmuştur. Farklı kurumlarda Sistem Yöneticisi ve Yazılım Geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarı olan Keleştemur, Siber Güvenlik ile ilgili çalışmalarını sürdürmektedir.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.