CryptoLocker, fidyeci (Ransomware) truva atıdır. Şifreleme fidye virüsü, 2048-bit RSA anahtar çifti üreten ve bunu bir komut-ve-kontrol sunucusuna gönderen ve dosyaları belirli dosya uzantılarından oluşan bir beyaz liste kullanarak şifreleyen ve “CryptoLocker” olarak bilinen bir Truva atı ile Eylül 2013’te tekrar ortaya çıkmıştır. Microsoft Windows işletim sistemlerini hedef alır.
CryptoLocker, virüslü e-posta eklerinden bilgisayara bulaşarak, bilgisayara bağlı depolama birimlerindeki ve bilgisayara bağlı ağlarda bulunan belirli türlerdeki dosyaları şifreler. Daha sonra kullanıcıya, şifreli dosyaların çözülmesi için yüksek miktarda ödeme yapılmasını teklif eden bir mesaj görüntüler. Ödeme yöntemi olarak Bitcoin istemektedir ve belirlenen süre içerisinde ödenmediği takdirde şifreli dosyaların geri getirilemeyeceğini tehtidinde bulunur.
Kötü amaçlı yazılım, eğer ödeme 3 gün içerisinde yapılmazsa gizli anahtarı silmek ile tehdit etmektedir. Büyük uzunluktaki anahtar değerleri kullandığı için, analizciler ve Truva atından etkilenenler CryptoLocker’dan kurtulmanın aşırı derecede zor olduğunu düşünmektedir. Belirlenen süre geçtikten sonra da, gizli anahtar hala bir online araç kullanılarak, ilave bir 10 BTC ile elde edilebilmektedir.
CryptoLocker, 2 Haziran 2014’te ABD Adalet Bakanlığı tarafından resmen ilan edildiği üzere, Operation Tovar’ın bir parçası olarak Gameover ZeuS’un hacizi ile izole edilmiştir. Adalet Bakanlığı, Rus hacker Evgeniy Bogachev hakkında botnet üzerindeki dahili için iddianame düzenlenmiştir. Kötü amaçlı yazılım ortadan kaldırılmadan önce, en azından 3 milyon dolar kar getirdiği tahmin edilmektedir.
Genellikle Windows XP kullanıcılarını hedef alıyor ve masaüstüne erişimi engelleyerek tam ekran bir not ile “polis tarafından pornografik içeriğe eriştiğiniz tespit edildi. Hızlı bir şekilde xxx TL ücreti xxx hesaba gönderin” minvalinde fidye talep etmekteydi.
Ancak ABD ve AB ülkelerinde aynı dönemde yaygın olarak kullanılan CryptoLocker benzeri virüsler Microsoft tarafından Windows XP’ye olan desteğin durdurulduğuna dair açıklamanın ardından işletim sistemlerini yükselten bu ülkelerde başarısızlığa uğramaya başladı. Bunun üzerine hacker’lar, korsan yazılımların yaygın olduğu Romanya, Türkiye, Hindistan gibi ülkelere yöneldiler. Zira bu ülkelerde hala Windows XP kullanımı hatırı sayılır derecede yaygındı.
Türkiye’de son dönemlerde genellikle e-fatura içeren sahte mailler yoluyla yayılmaktadır. (Ancak saldırganların virüsü yayacak yeni yöntemler geliştirebilecekleri unutulmamalıdır. Örneğin seçim dönemleri yaklaştığında, Yüksek Seçim Kurulundan gelmiş görüntüsü verdikleri bir sahte e-postada, hangi sandıkta oy kullanılacağına dair bağlantı sunan, aslında bağlantıya tıklandığında virüsün bulaşacağı bir yöntem gibi).
Virüsü yayan siber saldırgan genellikle sahte bir e-fatura dosyası oluşturmakta, fatura tutarını oldukça yüksek göstererek kullanıcının dikkatini çekmekte ve kullanıcıyı gönderdiği maildeki linke (örneğin “http://efatura.ttnet-fatura.com/” benzeri) tıklamaya yönlendirmekte, linkten e-faturanın “zip” uzantılı bir dosya halinde indirilmesini sağlamaktadır. Kullanıcı, “*.zip” uzantılı dosyayı açıp içindeki e-fatura dosyasına (*.exe
uzantılı) tıkladığında virüs çalışmakta ve kullanıcı bilgisayarındaki tüm dokümanlar (Office dosyaları, resim/video dosyaları, pdf dosyaları vb.) virüs tarafından güçlü şifreleme algoritmaları (AES-256 vb.) ile şifrelenmektedir. Dosyaların uzantıları sonuna “.encrypted”, “.sifreli” vb. kelimeler eklenmektedir. (Örneğin; deneme.doc.encrypted)
Virüs, şifrelediği her bir klasöre ve kullanıcı masaüstüne “SIFRE_COZME_TALIMATI.html” benzeri bir dosya eklemekte ve içeriğinde, “Uyarı: Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir. Bilgisayarınızda ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde tüm dosyalarınızı kaybedebilirsiniz.” benzeri bir açıklama ile şifrenin çözülmesi için kullanıcılardan para talep etmektedir. Virüsün bazı türevlerinde ise, aşağıdaki gibi bir uyarı ekranı görünmektedir.
Saldırganlar şifrenin çözülebilmesi için kullanıcıları genellikle Bitcoin gibi takibi zor dijital para birimiyle ödeme yapmaya (genellikle 100-300 ABD doları arasında) yönlendirmektedir. Virüs, genel çalışma mantığında, zarar vereceği dosyanın şifreli yeni bir kopyasını oluşturmakta, sonrasında orijinal dosyayı silmektedir. Bu silme hızlı silme olabildiği gibi, virüsün bazı türevlerinde güvenli silme şeklinde (en az 3 kez üzerine yazma gibi) de olabilmektedir. Virüsün dosyaları şifrelemesi, dosya sayısına göre saniyeler, dakikalar hatta saatler sürebilen bir işlemdir. Kullanıcı, bilgisayarındaki işlemlerine devam ederken, virüs arka tarafta kullanıcının haberi olmadan dosyaları şifrelemektedir. Virüs şifreleme işlemlerini tamamladıktan sonra kendini kullanıcıya göstermektedir.
Kurumlarda, özellikle dosya ve veri tabanı sunucuları ile bilgisayarlarda virüsün şifrelemesi nedeniyle çok ciddi zararlar oluşacağı açıktır. Bunun yanında virüsün şahsi bilgisayarlarda da ciddi kayıplara yol açabileceği göz ardı edilmemelidir. Virüsün dosyalarını şifrelemesi nedeniyle, şahsi bilgisayarlarında uzun süredir yazmakta olduğu kitap çevirilerini, akademik makalelerini, yüksek lisans ve doktora tezleri ile yıllardır biriktirdiği şahsi resim ve video arşivlerini artık açamayan kullanıcılara ait internette birçok haber bulunmaktadır.
Virüsün birçok çeşidi, şu anda çoğu güncel antivirüs yazılımı tarafından tespit edilip temizlenebilmektedir. Dolayısı ile öncelikle virüsün bulaştığı bilgisayar, virüs tespit edilip temizlenene kadar, farklı antivirüsler ile taratılmalıdır. Ancak, virüsün birçok türevi olduğu ve sürekli olarak şekil değiştirdiği göz önüne alındığında, tespit edilememe ihtimali de oldukça yüksektir. Dolayısı ile tam olarak temizlik için, bulaştığı bilgisayara format atılarak, tekrar işletim sistemi kurulması gerekmektedir.
Virüsün dosyaları şifrelemesi durumunda, yapılabilecek çok fazla seçenek bulunmadığından önemli olan husus virüsün bulaşmasını engellemektir. Bu doğrultuda web siteleri veya e-posta üzerinden gelen aldatıcı dosya ve bağlantılara kesinlikle tıklanmamalıdır. Zararlı e-posta eklentisindeki dosya genellikle “E-Fatura.pdf.exe” veya “E-Fatura.pdf.scr” örneklerinde olduğu gibi “.exe”,“.scr” gibi çalıştırılabilir (executable) bir uzantıya sahiptir. Oysa, dokümanlar genellikle MS Office (*.doc, *.xls, *.ppt vb.), Adobe PDF (*.pdf) ve metin dosyaları (*.txt) uzantıları ile bitmektedir. İndirilen eklentideki dosyanın uzantısına dikkat edildiğinde kolaylıkla durum fark edilebilir. (Ancak, Windows’ta dosya uzantıları normalde gizli durumdadır ve görünür hale getirilmesi gerekmektedir). Hiçbir kurum, e-faturayı “.zip” dosyası içinde ve “*.exe” uzantılı dosya olarak göndermez. O nedenle bu tarz e-postalara şüphe ile yaklaşılmalı ve genel bir prensip olarak, e-posta ile gelen hiçbir “*.exe” vb. uzantılı çalıştırılabilir dosyaya tıklanmamalıdır.
Virüsün, ödeme için yönlendirdiği adreslerle irtibata geçilmemeli ve para gönderilmemelidir. Parayı almalarına rağmen şifreyi göndermeyen birçok durum olduğu bilinmektedir. Virüs tarafından şifrelenen dosyaları editör yazılımları ile açıp içeriğini değiştirmek vb. işlemler, dosyaların kalıcı olarak bozulmasına sebep olmakta olup, daha sonra bir şekilde şifresi elde edilse bile dosyayı orijinal haline getirmek yani açabilmek mümkün olamayacağından, kesinlikle yapılmamalıdır. Virüsün tüm dosyaları şifrelemesi zaman alacağından, bilgisayarda “*.sifreli” veya “*.encrypted” uzantılı dosyalar görülmesi gibi işaretlerden virüsün çalıştığı ve şifrelemeye başladığı farkedilirse, en akılcı yöntem acilen bilgisayarın kapatılması ve takılı USB vb. tüm belleklerin çıkarılmasıdır. Kapatma işlemini standart usulle yani Windows’ta “Bilgisayarı Kapat”a basarak yapmak yerine, direkt olarak bilgisayarın güç düğmesine birkaç saniye basılı tutarak yapmak tercih edilmelidir. Unutulmamalıdır ki, her geçen saniyede onlarca dosya şifrelenmektedir. Bilgisayar kapatıldıktan sonra, henüz şifrelenmemiş dosyalar başka bir ortama (USB bellek vb.) alınana kadar, bilgisayar tekrar normal şekilde açılmamalıdır. Dosyaların güvenli ortama taşınması için bilgisayar konusunda detaylı bilgi sahibi kişilerden teknik yardım alınmalıdır (Bu işlem için genellikle bilgisayarı, harici bir medyada (CD, USB bellek) yer alan işletim sistemi ile başlatmak ve sonrasında hard disk’te yer alan dosyaları harici bir belleğe kopyalamak yöntemi izlenir). Virüsten kurtulma işlemi iki adımdan oluşmaktadır: Virüsün bulaştığı sistemin temizlenmesi ve virüsün şifrelediği dosyaların şifresiz hale geri getirilmesidir.
Kaynak:
- http://www.udhb.gov.tr/images/duyurular/74bc0128f065b41.pdf
- https://www.wikipedia.org/
