Başlarda Rusya’da popüler olsa da, fidye virüsü dolandırıcılığı uluslararası düzeyde yaygınlaşmıştır. Haziran 2013’te, güvenlik yazılımı dağıtıcılarından McAfee, 2013 yılının ilk çeyreğinde, 2012 yılının ilk çeyreğindeki rakamın yarısından daha fazla olan, 250000’den fazla eşsiz fidye virüsü çeşidinin tespit edildiğini gösteren veriler yayınlamıştır. Otoriteler tarafından alt edilene kadar 3 milyon dolardan fazla toplayan CryptoLocker ve Federal Araştırma Bürosu (FBI) tarafından Haziran 2015 itibarıyla 18 milyon dolardan fazla topladığı tahmin edilen CryptoWall gibi Truva atları sayesinde, şifreleme tabanlı fidye virüslerini içeren geniş çaplı saldırılar artmaya başlamıştır.

En bilinen fidye virüsü CryptoLocker olarak adlandırılan ve bulaştığı bilgisayarlardaki bir takım dosyaları şifreleyerek kaydeden; şifrenin geri açılması için ise ukash, bitcoin, para vb. emtialar talep eden virüstür.

Fidye yazılımı, temelde iki türü vardır, şifreleyiciler ve kilitleyiciler. Bilgisayarınıza şifreleyici bulaştığı zaman, bilgisayarınızda bulunan her türlü veriyi (dosyalar, fotoğraflar, oyunların save dosyaları, veri tabanları vs.) şifreler. Dosyalar bir defa şifrelendiğinde dosyaları açamazsınız ve dosya içerisinde bulunan verilere ulaşamazsınız. Bu saldırıları düzenleyen suçlular dosyalarınızı açabilecek özel anahtar karşılığından fidye talep ederler. Talep edilen ortalama fidye miktarı 300$ civarıdır. Diğer türe kilitleyici denilmesinin sebebi ise, bu zararlı yazılımların bütün cihazı kilitlemesi. Yani sadece dosyalarınız değil, bütün sisteminiz erişilmez olur. Ama tuhaftır, kilitleyicilerin istedikleri fidye miktarı şifreleyicilerinki kadar yüksek değil.

Kendinizi Fidye Virüslerinden Nasıl Korursunuz?

1- Şüpheli e-mail eklerini açmayın, bilinmeyen internet sitelerini ziyaret etmeyin ve resmi kaynaklar harici yerlerden uygulama indirmeyin. Oltalama saldırıları hakkında bilgi edinin ve oltalama saldırıları linklerine tıklamayın.

2- Düzenli olarak dosyalarınızı yedekleyin. Eğer yedekleriniz varsa, bilgisayarınızdaki fidye yazılımını anti virüs programınız ile temizledikten sonra, yedekteki (yedekleriniz bulutta ya da harici disklerde bulunabilir) dosyalarınızı geri yükleyebilirsiniz.

3- İyi bir anti virüs programı kullanın. Piyasada hali hazırda kaliteli anti virüslerin bulunduğunu unutmayın. Crack yada korsan tabir edilen anti virüs kullanımlarından kaçının. Eğer anti virüs alacak bütçeniz yoksa anti virüslerin ücretsiz paketlerini deneyin.

Kaynak:

• https://www.wikipedia.org/
• https://www.kaspersky.com.tr/blog/ransomware-for-dummies/2713/

The post Fidye Virüsü Nedir? Kendinizi Fidye Virüslerinden Nasıl Korursunuz? appeared first on TechWorm.

CryptoLocker, virüslü e-posta eklerinden bilgisayara bulaşarak, bilgisayara bağlı depolama birimlerindeki ve bilgisayara bağlı ağlarda bulunan belirli türlerdeki dosyaları şifreler. Daha sonra kullanıcıya, şifreli dosyaların çözülmesi için yüksek miktarda ödeme yapılmasını teklif eden bir mesaj görüntüler. Ödeme yöntemi olarak Bitcoin istemektedir ve belirlenen süre içerisinde ödenmediği takdirde şifreli dosyaların geri getirilemeyeceğini tehtidinde bulunur.

Kötü amaçlı yazılım, eğer ödeme 3 gün içerisinde yapılmazsa gizli anahtarı silmek ile tehdit etmektedir. Büyük uzunluktaki anahtar değerleri kullandığı için, analizciler ve Truva atından etkilenenler CryptoLocker’dan kurtulmanın aşırı derecede zor olduğunu düşünmektedir. Belirlenen süre geçtikten sonra da, gizli anahtar hala bir online araç kullanılarak, ilave bir 10 BTC ile elde edilebilmektedir.

CryptoLocker, 2 Haziran 2014’te ABD Adalet Bakanlığı tarafından resmen ilan edildiği üzere, Operation Tovar’ın bir parçası olarak Gameover ZeuS’un hacizi ile izole edilmiştir. Adalet Bakanlığı, Rus hacker Evgeniy Bogachev hakkında botnet üzerindeki dahili için iddianame düzenlenmiştir. Kötü amaçlı yazılım ortadan kaldırılmadan önce, en azından 3 milyon dolar kar getirdiği tahmin edilmektedir.

Genellikle Windows XP kullanıcılarını hedef alıyor ve masaüstüne erişimi engelleyerek tam ekran bir not ile “polis tarafından pornografik içeriğe eriştiğiniz tespit edildi. Hızlı bir şekilde xxx TL ücreti xxx hesaba gönderin” minvalinde fidye talep etmekteydi.

Ancak ABD ve AB ülkelerinde aynı dönemde yaygın olarak kullanılan CryptoLocker benzeri virüsler Microsoft tarafından Windows XP’ye olan desteğin durdurulduğuna dair açıklamanın ardından işletim sistemlerini yükselten bu ülkelerde başarısızlığa uğramaya başladı. Bunun üzerine hacker’lar, korsan yazılımların yaygın olduğu Romanya, Türkiye, Hindistan gibi ülkelere yöneldiler. Zira bu ülkelerde hala Windows XP kullanımı hatırı sayılır derecede yaygındı.

Türkiye’de son dönemlerde genellikle e-fatura içeren sahte mailler yoluyla yayılmaktadır. (Ancak saldırganların virüsü yayacak yeni yöntemler geliştirebilecekleri unutulmamalıdır. Örneğin seçim dönemleri yaklaştığında, Yüksek Seçim Kurulundan gelmiş görüntüsü verdikleri bir sahte e-postada, hangi sandıkta oy kullanılacağına dair bağlantı sunan, aslında bağlantıya tıklandığında virüsün bulaşacağı bir yöntem gibi).

Virüsü yayan siber saldırgan genellikle sahte bir e-fatura dosyası oluşturmakta, fatura tutarını oldukça yüksek göstererek kullanıcının dikkatini çekmekte ve kullanıcıyı gönderdiği maildeki linke (örneğin “http://efatura.ttnet-fatura.com/” benzeri) tıklamaya yönlendirmekte, linkten e-faturanın “zip” uzantılı bir dosya halinde indirilmesini sağlamaktadır. Kullanıcı, “*.zip” uzantılı dosyayı açıp içindeki e-fatura dosyasına (*.exe
uzantılı) tıkladığında virüs çalışmakta ve kullanıcı bilgisayarındaki tüm dokümanlar (Office dosyaları, resim/video dosyaları, pdf dosyaları vb.) virüs tarafından güçlü şifreleme algoritmaları (AES-256 vb.) ile şifrelenmektedir. Dosyaların uzantıları sonuna “.encrypted”, “.sifreli” vb. kelimeler eklenmektedir. (Örneğin; deneme.doc.encrypted)

Virüs, şifrelediği her bir klasöre ve kullanıcı masaüstüne “SIFRE_COZME_TALIMATI.html” benzeri bir dosya eklemekte ve içeriğinde, “Uyarı: Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir. Bilgisayarınızda ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde tüm dosyalarınızı kaybedebilirsiniz.” benzeri bir açıklama ile şifrenin çözülmesi için kullanıcılardan para talep etmektedir. Virüsün bazı türevlerinde ise, aşağıdaki gibi bir uyarı ekranı görünmektedir.

Saldırganlar şifrenin çözülebilmesi için kullanıcıları genellikle Bitcoin gibi takibi zor dijital para birimiyle ödeme yapmaya (genellikle 100-300 ABD doları arasında) yönlendirmektedir. Virüs, genel çalışma mantığında, zarar vereceği dosyanın şifreli yeni bir kopyasını oluşturmakta, sonrasında orijinal dosyayı silmektedir. Bu silme hızlı silme olabildiği gibi, virüsün bazı türevlerinde güvenli silme şeklinde (en az 3 kez üzerine yazma gibi) de olabilmektedir. Virüsün dosyaları şifrelemesi, dosya sayısına göre saniyeler, dakikalar hatta saatler sürebilen bir işlemdir. Kullanıcı, bilgisayarındaki işlemlerine devam ederken, virüs arka tarafta kullanıcının haberi olmadan dosyaları şifrelemektedir. Virüs şifreleme işlemlerini tamamladıktan sonra kendini kullanıcıya göstermektedir.

Kurumlarda, özellikle dosya ve veri tabanı sunucuları ile bilgisayarlarda virüsün şifrelemesi nedeniyle çok ciddi zararlar oluşacağı açıktır. Bunun yanında virüsün şahsi bilgisayarlarda da ciddi kayıplara yol açabileceği göz ardı edilmemelidir. Virüsün dosyalarını şifrelemesi nedeniyle, şahsi bilgisayarlarında uzun süredir yazmakta olduğu kitap çevirilerini, akademik makalelerini, yüksek lisans ve doktora tezleri ile yıllardır biriktirdiği şahsi resim ve video arşivlerini artık açamayan kullanıcılara ait internette birçok haber bulunmaktadır.

Virüsün birçok çeşidi, şu anda çoğu güncel antivirüs yazılımı tarafından tespit edilip temizlenebilmektedir. Dolayısı ile öncelikle virüsün bulaştığı bilgisayar, virüs tespit edilip temizlenene kadar, farklı antivirüsler ile taratılmalıdır. Ancak, virüsün birçok türevi olduğu ve sürekli olarak şekil değiştirdiği göz önüne alındığında, tespit edilememe ihtimali de oldukça yüksektir. Dolayısı ile tam olarak temizlik için, bulaştığı bilgisayara format atılarak, tekrar işletim sistemi kurulması gerekmektedir.

Virüsün dosyaları şifrelemesi durumunda, yapılabilecek çok fazla seçenek bulunmadığından önemli olan husus virüsün bulaşmasını engellemektir. Bu doğrultuda web siteleri veya e-posta üzerinden gelen aldatıcı dosya ve bağlantılara kesinlikle tıklanmamalıdır. Zararlı e-posta eklentisindeki dosya genellikle “E-Fatura.pdf.exe” veya “E-Fatura.pdf.scr” örneklerinde olduğu gibi “.exe”,“.scr” gibi çalıştırılabilir (executable) bir uzantıya sahiptir. Oysa, dokümanlar genellikle MS Office (*.doc, *.xls, *.ppt vb.), Adobe PDF (*.pdf) ve metin dosyaları (*.txt) uzantıları ile bitmektedir. İndirilen eklentideki dosyanın uzantısına dikkat edildiğinde kolaylıkla durum fark edilebilir. (Ancak, Windows’ta dosya uzantıları normalde gizli durumdadır ve görünür hale getirilmesi gerekmektedir). Hiçbir kurum, e-faturayı “.zip” dosyası içinde ve “*.exe” uzantılı dosya olarak göndermez. O nedenle bu tarz e-postalara şüphe ile yaklaşılmalı ve genel bir prensip olarak, e-posta ile gelen hiçbir “*.exe” vb. uzantılı çalıştırılabilir dosyaya tıklanmamalıdır.

Virüsün, ödeme için yönlendirdiği adreslerle irtibata geçilmemeli ve para gönderilmemelidir. Parayı almalarına rağmen şifreyi göndermeyen birçok durum olduğu bilinmektedir.  Virüs tarafından şifrelenen dosyaları editör yazılımları ile açıp içeriğini değiştirmek vb. işlemler, dosyaların kalıcı olarak bozulmasına sebep olmakta olup, daha sonra bir şekilde şifresi elde edilse bile dosyayı orijinal haline getirmek yani açabilmek mümkün olamayacağından, kesinlikle yapılmamalıdır.  Virüsün tüm dosyaları şifrelemesi zaman alacağından, bilgisayarda “*.sifreli” veya “*.encrypted” uzantılı dosyalar görülmesi gibi işaretlerden virüsün çalıştığı ve şifrelemeye başladığı farkedilirse, en akılcı yöntem acilen bilgisayarın kapatılması ve takılı USB vb. tüm belleklerin çıkarılmasıdır. Kapatma işlemini standart usulle yani Windows’ta “Bilgisayarı Kapat”a basarak yapmak yerine, direkt olarak bilgisayarın güç düğmesine birkaç saniye basılı tutarak yapmak tercih edilmelidir. Unutulmamalıdır ki, her geçen saniyede onlarca dosya şifrelenmektedir. Bilgisayar kapatıldıktan sonra, henüz şifrelenmemiş dosyalar başka bir ortama (USB bellek vb.) alınana kadar, bilgisayar tekrar normal şekilde açılmamalıdır. Dosyaların güvenli ortama taşınması için bilgisayar konusunda detaylı bilgi sahibi kişilerden teknik yardım alınmalıdır (Bu işlem için genellikle bilgisayarı, harici bir medyada (CD, USB bellek) yer alan işletim sistemi ile başlatmak ve sonrasında hard disk’te yer alan dosyaları harici bir belleğe kopyalamak yöntemi izlenir). Virüsten kurtulma işlemi iki adımdan oluşmaktadır: Virüsün bulaştığı sistemin temizlenmesi ve virüsün şifrelediği dosyaların şifresiz hale geri getirilmesidir.

Kaynak:

• http://www.udhb.gov.tr/images/duyurular/74bc0128f065b41.pdf
• https://www.wikipedia.org/

The post CryptoLocker Virüsü Nedir? Nasıl Engellenir ve Temizlenir? appeared first on TechWorm.

CryptoWall 3.0, JPG resmi olarak gizlenen çalıştırılabilir kodu indiren ve JavaScript ile yazılmış bir payloadu kullanmaktadır. Tespit edilmemek için, kötü amaçlı yazılım sunucularıyla haberleşmek için explorer.exe ve svchost.exe’nin farklı örneklerini oluşturmaktadır. Dosyaları şifrelerken, kötü amaçlı yazılım gölge kopya servisi bilgilerini de silmekte ve parolaları ve Bitcoin cüzdanlarını çalan bir casus yazılım yüklemektedir.

Haziran 2015’te FBI, yaklaşık 1000 kurbanın CryptoWall ile etkilendiği için büro ile irtibata geçtiğini ve en azından 18 milyon doların alındığını raporlamıştır.

En güncel versiyonu olan CryptoWall 4.0, antivirüsleri atlatacak şekilde kodunu geliştirmiştir ve sadece dosyalardaki verileri değil aynı zamanda dosya adlarını da şifrelemektedir.

Kaynak: https://www.wikipedia.org/

The post CryptoWall Fidye Virüsü Nedir? appeared first on TechWorm.