close
Internet

Cryptolocker virüsüne Dikkat

Cryptolocker_teknokistan

Cryptolocker virüsü, bir süredir ülkemizde gündemde olan en tehlikeli zararlı yazılımlardan bir tanesi ve ne yazık ki farklı türleri ile karşımıza çıkmaya devam ediyor. Bu sebeple ne yapmanız gerekiyor, nelere dikkat etmeniz gerektiğini bu yazımızda öğrenebilirsiniz.

Kullanıcılara, özellikle de bilgisiz şirket çalışanlarına e-posta yolu ile gönderilen zararlı yazılım, şirketlerin milyonlarca dolar zarar etmesine neden oldu!

Önceleri Turkcell, Turk Telekom ve TTNET faturaları gibi gönderilen sahte e-postalar şimdilerde daha profesyonelce hazırlanmış ve daha hedefli ataklarla karşımıza çıkıyor. Şu sıralar ise, saldırı yöntemine bir yenisi eklenerek PTT kargodan bir e-posta gelmiş gibi gösterilmeye çalışılıyor.

[pull_quote_center]PTT Kargo; “Kargonuz ya da gönderiniz belirtilen adrese ulaşmadı!”[/pull_quote_center]

Şeklinde gelen e-postalar ekinde zararlı yazılımı kullanıcılara bulaştırılıyor. Bu e-postaları açan bilinçsiz kullanıcıların tüm verileri, maalesef ki gelişmiş bir şifreleme yöntemi olan 2048 bit RSA algoritması ile geri dönüşü olmaksızın şifreleniyor. Aslında bu bir virüs değil, sadece tıklamanız ile çalışan bir komut sistemi belirli uzantılı dosyaları örneğin xls xlsx dox docx rar tar xml vb. dosyaları kriptolayarak çalışmalarınıza ulaşmanızı engelliyor.

Sonrasında ise dosyaları geri almaları için her klasör içerinde bir iletişim ve kontak bilgisi barındıran bir mesaj bırakıyor. Bu mesajda 2 seçenek mevcut hemen ödersen şu kadar sonra ödersen bu kadar ve sayaç döngüsü işliyor. Verilen adrese şu kadar bitcoin transfer etmezsen verilerini alamaz, kurtaramazsın karşı tarafı dahada korkutuyor çünkü çalışmaları gitmişti. Ödeme istenilen hesaba talep edilen ücret gönderilse bile veriler eski haline gelmiyor. Bu çok önemli “Sakın Ödeme Yapmayın”  Kısacası, karşı tarafa güven? büyük bir soru işareti.

Peki IT tarafında neler yapılıyor?

IT uzmanları sürekli olarak virüsü ve varyasyonlarını inceliyorlar. Uzmanlar, Firewall gibi gelişmiş güvenlik sistemlerine virüsün kaynağını ekleyerek bloke etmeye çalışıyorlar. Herhangi bir imza taşımadığından antivirüs sistemlerinide rahatlıkla atlatıyor. Ancak nafile…

Dün Turkcell adına virüs gönderiliyordu, sonra Turk Telekom oldu, sonra TTNet’e döndü…

Düne kadar sahte bir turktelekom-fatura com alan adından yapılan bu saldırı bugün, ttnet-fatura-odeett.turktelekomonline.net… gibi bir alan adı üzerinden dağıtılıyor.

Kısacası bunun sonu yok…

IT tarafında uzmanlar tüm İnternet dünyasını bloke edecek değiller ya… Saldırı geldikten sonra güvenlik politikalarına yansıyor… Sonuç olarak saldırı belki biraz erken, belki biraz geç, ancak saldırıldıktan sonra ikinci, üçüncü saldırılara karşı koruma yöntemi gelişiyor.

Savunma tarafı ne kadar güçlü olursa olsun, saldırganlar da yeni bir yöntemle karşımıza çıkabiliyorlar.

Antivirüs üreticileri ?

Onlar da bir adım geriden geliyor. Saldırıları görüp, analiz edip, ona göre güvenlik politikaları geliştirilip güncellemeler yapılıyor. Kısacası uzmanlar…

Birer Black List mantığı ile hareket ediyor ve her yeni saldırıyı bu Black List’lere ekleyerek korunmaya çalışıyorlar…

Çözüm mü ? Maalesef ki çözüm değil…

Çözümü Black List’lerde aramak yerine, çalışanları ve kullanıcıları bilinçlendirerek White List oluşturmak.

Yani IT uzmanı arkadaş yine virüsü ve saldırıları izlesin ve sistemleri için ek güvenlik önlemleri alsın, Antivirüs üreticileri analiz etsin ve ona göre korunma yöntemlerini geliştirsin…

Cryptolocker virüsünün bir sisteme bulaşabilmesi için…

1. Saldırgan sahte bir TTNet, Turkcell, PTT Kargo e-postası oluşturuyor ve içine virüsü yerleştiriyor.

2. Bu e-postayı hedef şirket çalışanlarına gönderiyor.

3. Şirket çalışanı postayı gerçekten de TTNet, Turkcell ya da PTT Kargo’dan geldiğini zannedip açıyor.

4. İçerisindeki .Zip formatındaki sıkıştırılmış dosyayı çift tıklayıp açıyor.

5. Zip içindeki .EXE dosyasını (virüs burada işte) çift tıklayıp çalıştırıyor.

6. Windows onu uyarıyor (uyarmayabilir) ancak kullanıcı meraktan… “Evet” tuşuna basıyor…

7. Virüs sisteme bulaşıyor…

Ya da…

1. E-faturayı indirmeniz için bir bağlantı gönderiyor.

2. Bağlantıya tıklayıp dosyayı indiriyorsunuz indirdiğiniz dosya .Zip formatında oluyor.

3. Fatura numarası adında ve .EXE uzantılı bir dosya içerisinden çıkıyor.

4. Zip formatından çıkardığınız bir EXE dosyasını çift tıklıyorsunuz…

5. Saniyeler içerisinde tüm dosyalarınız *.encrypted olarak şifreleniyor.

6. Saldırganın hazırladığı bir not karşınıza çıkıyor ve bu not içerisinde dosyaları geri almak için fidye ödemeniz gerektiğini görüyorsunuz!

Saldırıya maruz kaldığınızda zarar görme ihtimaliniz %90’lardan %10’lara karar düşürülebilir. Belki tam bir korunma yöntemi değil, ancak güçlü bir savunma sağlar!

Ne kadar bilinçli kullanıcı, ne kadar bu konuda eğitimli çalışan, o kadar sağlam bir güvenlik değil mi?

Bilinçlenmek ve çalışanlara, arkadaşlarımıza, dostlarımıza ve son kullanıcıya yukarıda saydığım 3-5 maddeyi anlatmak gerekiyor.

Kolay gelsin…

Ahmet İşcan

Bilişim Uzmanı

Latest posts by Ahmet İşcan (see all)