Fidye (Cryptolocker) Virüsleri Nedir ve Nasıl Çalışır?

  • Fidye yazılımlar nelerdir?
  • Sisteme veya kurumsal ağa nasıl sızarlar?
  • Saldırı ve şifreleme nasıl ortaya çıkar?
  • Sistem yöneticisiyle standart araçlar kullanarak nasıl koruma sağlanır?
  • Saldırı gerçekleştiğinde ve dosyalar şifrelendiğinde ne yapılması gerekir?

Fidye yazılımlar hakkında genel bilgi:

Antivirüs firmaları tarafından zararlı yazılımlar olarak tanımlanan fidye yazılımları, kurban bilgisayar üzerindeki verileri şifreleyerek kullanıcı verilerinin kullanılmaz hale gelmesine sebep olan, hackerlar tarafından yazılmış algoritmalardır. Dosyanın orijinal hali bu şifreleme işleminden sonra bilgisayardan silinmektedir. Hackerlar dosyalar silindikten sonra şifrelerinin kırılabilmesi için para talep etmektedir.

Dosyaların şifrelerinin kırılması için kullanılacak yazılımın (decryptor) ya da şifreli dosyanın kilidini çözen kodun kullanıcıya gönderilmesi ancak hacker tarafından talep edilen ücret temin edildiğinde gerçekleşir. Fidye ödenmesine rağmen hackerlar her zaman bir decryptor göndermemektedir. Bir decryptor’un ortalama ücreti 300$ – 500$ arasındadır ve ödeme bitcoin adındaki anonim para birimi üzerinden alınmaktadır. Hackerlar ödeme için genelde 48 ila 72 saat arası zaman tanımaktadırlar. Bu süre sonrasında ise talep edilen ücret artmaktadır. Belirlenen süre içinde ödeme yapılmadığı taktirde decryptor hackerlar tarafından yok edilmektedir ve bu durumda dosyaların şifrelerinin kırılması imkansız hale gelmektedir.

Gerçek Bedel:

Bir şirket için kaybolmuş verilerin gerçek değeri hackerlar tarafından talep edilen miktarın çok üstünde olmakla birlikte bu verilerin kaybının çok daha büyük bir zarara sebep olacağı, müşteri veritabanı, sipariş veritabanı ya da çok değerli verileri kapsayacağı bilinmelidir.

Saldırıya karşı önlem almak için kesinlikle bir antivirüs yazılımı kurmuş olmanız ve kurumsal ağınızın güvenliğini sağlamanız gerekmektedir.

Fidye yazılımı sisteme nasıl sızar? :

Zararlı bir yazılımın sisteme sızması için iki yol bulunmaktadır : Sosyal mühendislik ve bilinen yazılım açıkları.

Genellikle fidye yazılımlar bir e-postaya eklenmektedir. Bu e-postalar kullanıcıyı korkutmak veya yanlış yönlendirmek için devlet kuruluşları veya güvenlik teşkilatlarından gönderiliyormuş gibi tasarlanırlar. Bu durumda kurban dosyayı açma gereksinimi duymaktadır. Aşağıda belirtilen dosya türleri sıklıkla kullanılır:

  • JS/JSE/WSF
  • Doc/Docx/Docm
  • HAT

Eğer Microsoft Office dosyaları kullanıyorsa kullanıcı ayrıca dosyayla birlikte açılması için bir makroya izin vermelidir. Bu tarz bir senaryoda fidye yazılım, zararlı kodu çalıştırır. Bu e-postalar ayrıca iş ortakları tarafından da geliyormuş gibi gösterilebilir. E-posta içerisinde “müşteri”, “fatura”, “cv” ve buna benzer kelimeler içerir.

Bir diğer senaryo da web kaynağı üzerinden çalışan bir kodun sizi farklı tuzak bir sayfaya yönlendirmesidir. Bu gibi sayfalar kurbanın bilgisayarındaki yazılım açıklarını tarayıp exploitlerle sızma gerçekleştirir. Saldırılarda sıklıkla aşağıdaki öğeler kullanılır:

  • Adobe Flash
  • Internet Explorer
  • Microsoft Silverlight

Bu gibi senaryolarda kullanıcı güvenli olarak bilinen bir tarayıcıyla sadece bir sayfaya erişerek fidye yazılım kurbanı olabilmektedir.

Fidye yazılımların sistemlerdeki tipik davranışları: 

screenshot-34

Hangi dosyalar şifrelenmektedir?: 

screenshot-35

Şifrelenmiş dosyalar neden her zaman kırılamamaktadır?

Günümüz fidye yazılımları çok karışık yapıda bir şifrelemeye ve anahtar oluşturma şemalarına sahiptir. Veriler genelde AES algoritmasına göre şifrelenir ve şifreyi açacak AES anahtarının kendisi de RSA algoritmasına göre ikinci bir kez şifrelenir. Anahtarın kendisi ikinici bir defa şifrelenmemiş olsa bile AES-256 (128) algoritması ile şifrelenmiş bir veriyi kırmak günümüz bilgisayar teknolojisiyle bile imkansızdır. Tüm bunlara ek zorluk olarak bir de şifreleme anahtarının her bir cihaz için yeniden oluşturulmasıdır. Böyle bir durumda bir bilgisayar için bir decryptor’a sahip olduğunuzda bunu diğer etkilenmiş bilgisayarlarınız için kullanamayacağınız anlamına gelmektedir. Şifrelenmiş dosyaları kırmanın mümkün olduğu tek senaryolar, hackerlar tarafından kullanılan algoritmanın kendi algoritmaları olması veya hata barındıran algoritmalar kullanıyor olmalarından geçiyor.

Zararlı yazılımların sıkça depolandığı konumlar:

screenshot-36

IT güvenliği üzerine temel tavsiyeler:

  • Çalışanların bilgi güvenliliği konusunda yeterliliği

Bir şirketin en büyük güvelik zafiyeti çalışanlarıdır. Buna bağlı olarak çalışanlara bilgi güvenliği konusunda düzenli olarak ölçüm yapmak zorundasınız. Çalışanların, Phising e-postalara (balık avlama) karşı, şüpheli linklere tıklamaya ve diğer riskli davranışlara karşı bilinçlendirilmeleri gerekir.

  • Kullanıcıların ağ ve şirket kaynaklarına erişimini kısıtlayan kural ve rollerin kullanımı

Sistem yöneticisi araçlarının her bir cihaza sızma riskini minimize etme ve saldırının tüm ağa bulaşmasını önlemek adına kullanılması:

Kullanıcıların görev ve sorumlulukların performansı adına tamamen bilinçli olmadıkça yerel yönetici hakkına sahip olmamaları gerekir.

Kullanıcıların iç network’te paylaşılmış klasörlerin tümüne yazma haklarının olmaması gerekmektedir. Böyle bir senaryoda zararlı yazılımın bulaştığı bir bilgisayarın tüm ağ kaynaklarına zararlı kodu bulaştırmasının önüne geçilecektir.

Kullanıcıların görev ve sorumluluklarının performansı adına tamamen bilinçli olmamaları halinde şirketin dış ağ kaynaklarına erişimi de kısıtlanmış olması gerekmektedir. Böyle bir senaryoda zararlı bir linke tıklanması engellenir.

  • Verilerin düzenli olarak yedeklenmesi

Şifrelenmiş dosyaları kurtarabilmenin diğer bir yolu ise düzenli olarak yedek almaktır. Eğer yedek kopyaları mevcut ise bir fidye saldırısı durumunda saldırı kolayca bertaraf edilmiş olur.

Bilinmelidir ki yedeklenmiş veriler de fidye yazılımları tarafından etkilenebilir. Günümüz fidye yazılımları, işletim sistemi tarafından alınan yedek kopyalarını da yok etmektedir. Böyle bir durumda işletim sisteminin almış olduğu yedeklerden dönmek imkansız hale gelmektedir.

Böyle bir durumla karşılaşmamak için aşağıda yer alan adımlar uygulanmalıdır;

Verilerinizi çıkarılabilir sürücüler veya bulut tabanlı çözümler gibi bilgisayarların dışında tutmalısınız. Yedek kopyalarınızı şifrelenmiş kasalarda tutmalısınız. Böyle bir durumda fidye yazılım yedeklerin bulunduğu konuma erişememektedir. Ayrıca çok önemli verilerinizin bir fidye yazılım saldırısından etkilenmesi durumunda en güncel haline ulaşmanız açısından yedeğini daha sık aralıklarla almanız önemlidir.

  • İşletim sistemlerinin güncelleştirmeleri ve kurulumlarının düzenli takip edilmesi

Fidye yazılımlar, diğer tehditlerde olduğu gibi saldırı gerçekleştirdiğinde işletim sistemlerinin açıklarını ortaya çıkarmaktadır. İşletim sistemi üreticileri açıkları kapatmak için düzenli olarak güncelleştirmeler yayımlamaktadırlar. İşletim sistemlerinin güncelleştirmelerini düzenli olarak yüklemek potansiyel saldırıların önüne geçecektir.

  • Antivirüs kurulumu ve güncellemelerinin düzenli takibi

Daha önce de belirtildiği gibi, fidye yazılımlar tarafından gerçekleştiren saldırıların başarısı bilgisayarda bulunan bir güvenlik çözümünün olmayışına ya da mevcut Anti-Virüs yazılımının veri tabanının güncel olmamasına bağlıdır. Dünya genelinde her bir dakikada çok büyük sayıda yeni tehditler ortaya çıkmaktadır. Çalıştırdıkları algoritmalar gün geçtikçe daha da kompleks ve akıllı hale gelmektedir. Bir Anti-Virüs yazılımını güncel veritabanlarıyla kullanarak, fidye yazılım tehditlerinden kurum ağı ve cihazlarını önemli ölçüde koruyabilirsiniz. Daha da iyisi mevcut güvenlik yazılımınızı düzgün bir şekilde yapılandırmanız henüz ortaya çıkmamış tehdit türlerine karşısında sizi bir adım önde tutar.

Bir saldırı gerçekleştiğinde yapılması gerekenler işlemler:

Eğer fidye yazılım bir şekilde bir cihaza sızıp dosyaları şifrelediyse alttaki adımları uygulamanız gerekmektedir:

1-  Eğer verileriniz düzenli olarak yedekleniyorsa, verilerinizi yedekten dönebilirsiniz.

2- Eğer şifrelenmiş dosyalarınız için bir yedek almadıysanız, Antivirüs firmaları tarafından geliştirilmiş Decryptor (şifre kırıcı) yazılımlarla dosyalarınızı açmayı deneyebilirsiniz. Sisteminize bulaşmış fidye yazılımının türü daha önceden Antivirüs firmaları tarafından tespit edilmiş, ve şifresinin kırılmış olması ihtimali bulunmaktadır.

3- Araçlar sürekli olarak güncellenmektedir. Yeni tespit edilmiş anahtarlar ve algoritmalar veritabanlara eklenmektedir. Eğer ilk denemenizde şifrelenmiş dosyalarınızı kıramadıysanız, bir sonraki güncellemeleri bekleyip güncel versiyonlarla deneyin. Şifrelenmiş dosyalarınız algoritması bir sonraki güncellemede veritabanlarına eklenmiş olabilir.

4- Eğer araçlar kullanılıp dosyaların şifreleri kırılamıyorsa, 2-3 şifrelenmiş dosya örneği (varsa orijinal halleri), phishing e-posta örneği veya zararlı yazılım barındıran e-posta eki gibi dosyalar ile anti-virüs firmalarının destek birimleri ile iletişime geçebilirsiniz.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.