Ransomware (Fidye Yazılımları) |Cyber Blackmail (Siber Şantaj) |CryptoLocker Çözümü Bulundumu!

Uzun zamandır bu konuda yazmak istiyordum, Bu sabah mailBox-sıma düşen bir mailin tekrar bu tarafa dikkatimi çekti.  Her ne kadar şu ana kadar tecrübe etmemiş olsam da, tanıdığım birçok arkadaşımın kurbanı olduğu Fidye yazılımları hakkında çözüm oluşturulduğuna dair yeni bir haber  yayılmaya başladı. Bu konuyu inceleyelim biraz…

Aslında bu tür Fidye yazılımlarının tarihi öyle aşağıda söylendiği gibi kısa bir zaman değil, ben yaklaşık çözümpark.com da bu yazılıma kurban olmuş kişilerin yardım çağrılarını gördüğümde tarih 2003 idi, o zamanlardan bu tarafa bu yazılım birçok bilgi işlem arkadaşımızın kariyerinde kara bir leke olarak bulunmaktadır. Zaten şu ana kadar hiç yakalanmamamın tek nedeni de bu konu daha hiç gündem de bile yokken Maliyet yetersizliği ile oluşturmak zorunda kaldığım birçok sistem geceleri uykularımı kaçırmıştır. Bildiğiniz gibi zaten fidye yazılımı temizleyebiliyordu sorun ise yazılım kurulumdan hemen sonra Dosyaları AES-256 ile dosyalarımızı şifreleme-siydi. Bu bir şifreleme algoritması özellikle Amerika standartlarında yerini almış diğer Encryption-larla kıyaslandığında gelişmiş şifreleme metodu olarak öne çıkmaktadır. Öyle normal koşullarda KEY, serial vs. olmadan açılamazlar. Çözülemez diye de bir şey yok, Decryption  programları eninde sonunda bunlarında üstesinden gelebilecektir tabi o kadar uzunnnn zamanınız var ise yıllardan bahsediyorum bu arada uzuuuun derken :). İşte bu tarafın üstesinden gelen bir yazılım yoktu henüz, ilk başlarda 2015 Sene başından bahsediyorum TIB günde bir ya da iki dosyanızın şifresini çözmenizde yardımcı oluyordu. Bu durumda Zararlı yazılımın evrim geçirmesi ile sona erdi. Belki bir yazılım daha virüsü kaldırmadan geçmişi görmek yöntemi ile yaptığı işlemi geri aldırabilir peki bu nasıl olacak ona da pek fikrim teslim olmuyor. Dediğim gibi piyasada bir tür yazılımda yok (CryptoLocker) , aşağıda bahsi gecen yazılımlarında hangi zararlı yazılıma çözüm üretebiliyor tecrübe ederek deneye yanıla bir gün mutlaka öğreneceğiz. Bu tip yazılımlar-lada başa çıkmayı.

Sözün özü Kaspersky ve Eset bu konuda farklı iki yazılım oluşturmayı başarmış. Aşağıda programların linklerini ve Firmaların konu hakkındaki makalelerini paylaşıyor olacağım. Her ihtimale karşı yedekte dursun diyerek kendimde indireceğim. Yakın zamanda kurban olmuş bir bilgisayar bulabilirsem test edip sonucu bu makaleye edit-lemeyi düşünmekteyim.

Fidye yazılım nedir?

Fidye yazılım, rızanız olmadan suçluların bilgisayarınıza yüklediği bir tür kötü amaçlı yazılımdır (kötü niyetli yazılım). Fidye yazılım, suçlulara uzaktan bir yerden bilgisayarınızı kilitleyebilme imkânı verir. Ardından, bilgisayarınızın kilitlendiğini söyleyen ve ödeme yapmadığınız müddetçe bilgisayarınıza erişemeyeceğinizi iddia eden bir uyarının yer aldığı bir açılır pencere ekrana gelir.

Zararlı Yazılımlar nasıl yüklemektedir? Nasıl Bulaşır?

Fidye yazılımlar genelde e-posta iletisindeki kötü amaçlı bir eki açtığınızda veya  anlık mesajdaki, sosyal ağ sitesindeki veya bir başka web sitesindeki kötü amaçlı bir bağlantıya tıklattığınızda yüklenir. Bunun en kolay yolu ise pano bilgilerinizi kullanmaktır. Örneğin sunucunuzun uzak bağlantı bilgileri hatırlasın diye kopyalı durumda ise artık sunucuyu tehlikeye atmışsınız demektir. Genellikle pano bilgileriniz kötü amaçlı bir web sitesini ziyaret ettiğinizde bile çalına bilmektedir. buna engel olmak için panoya şifre kopyalama tembelliğini bırakmalı, sunucularınız la VPN Bağlantısı ile iletişim kurmalı, nereye gittiğinize, nereye tanıdıklarınıza dikkat etmelisiniz!. Yedekleriniz ayrı bir HDD de tutmak en garanti yöntemdir.

ESET tarafından tespit edilen ve VirLock olarak adlandırılan bu yeni tür zararlı yazılım, çok biçimli parazit virüs olarak tanımlanıyor. VirLock, bir fidye yazılımı olarak kurbanlarının hem bilgisayar ekranlarını kilitliyor hem de cihazlara zararlı şifre yazılımı bulaştırıyor. Virlock bu özelliği ile şekil değiştiren ilk fidye yazılımı niteliğini taşıyor.

Günümüze kadar fidye yazılımları iki ana gruba ayrılmıştı: LockScreens ve Filecoders. Dosyaların şifrelenmesi Filecoder türü zararlı yazılımlarla gerçekleşiyordu. Bu türün en popüler zararlısı Cryptolocker olarak tanımlandı. LockScreen tarzı yazılımlar ise ekranı kilitleyerek, fidye mesajını kurbana iletiyordu. Genellikle mesaj, açılan pencereler halinde ulaştırılıyor ve şifrelenen dosyalar dışında bilgisayar diğer fonksiyonlarını yerine getirebiliyordu.

 

Her iki işlevi de üstleniyor

Yeni fidye yazılımı VirLock ise her iki rolü de üstlenerek hem dosyaları şifreliyor hem de fidye mesajını görüntülemek için ekranı kilitliyor. Teknik olarak Win32/VirLock olarak adlandırılan, fidye yazılımları ailesinin bu yeni üyesini analiz eden ESET araştırmacıları, ilk defa bir fidye yazılımının kurbanların cihazlarının ekranını kilitlediğini ve ayrıca cihazlar üzerindeki etkilenmiş dosyalarda çok biçimli parazit virüs şeklinde rol oynadığını tespit ettiler.

Temizleyici var / Temizleyici Programın link

ESET, sistemleri VirLock ile enfekte olmuş kullanıcılar için bir temizleyici hazırladı. Kullanıcılar sistemlerini gerekirse güvenli modda açarak bu temizleyiciyi çalıştırıp bilgisayarlarını bu zararlı yazılımdan temizleyebilirler. Temizleme programını indirmek için: http://download.eset.com/special/ESETVirlockCleaner.exe

Kaspersky Tarafının Çözümleri

http://www.kaspersky.com/tr/internet-security-center/threats/ransomeware

Blog Tarafının Çözümleri.

http://uzmanim.net/soru/cryptolocker-virusu-nasil-temizlenir-sifrelenmis-dosyalar-nasil-acilir/19913

 

Önlem için Ne yapmalıyız!

  • Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir yerde bir yedeğini daha tutun. (Flash Bellek, Harici Disk, Dvd Cd) D bölümüne atılan yedekleriniz hiçbir işe yaramayacaktır. Bu duruma göre kendinizi güvene alınız! Artık herkesin bağımsız taşınabilir bir HDD cihazı olmalı maliyeti ortalama 200 TL.
  • Özellikle bilgisayar başında iken uyanık olun, Bir mailin kimden geldiği neden geldiği, ne istediği, Sorgulamasını iyi yapınız!
  • Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Yani hiç düşünmeden fişini çekin gitsin! Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır. Tabi bu sadece Crypto Virüsü için geçerlidir (Kaynak : difose)
  • Virüs artık her gün malileştiğiniz ve zombi olmuş bir kontağınızdan gelebilir. Bu kişiden gelen mailler güvenlidir nasılsa, düşüncesi kesinlikle yanlış!
  • Bilgisayarınızdaki klasör ayarları kısmındaki, dosya uzantılarını gösteriniz sekmesini aktif ediniz ve exe, bat, msi, Zip, rar  vbs gibi uzantıları bulunan mail eklerini kimden gelirse gelsin açmayınız. Açmak gerekiyorsa da mutlaka konu hakkında açmadan önce bana yada Bilgi İşleminize bilgi geçiniz.
  • Virüs olduğundan şüphelendiğiniz bir maili kendi aranızda ilet yolu ile paylaşmayınız, Biri yanlışlıkla açabilir!
  • Zaman bilişim cağı, her gecen gün Bildiğimiz hayatlar sandığımızın aksine dijital ortamda daha çok uyum sağlamakta, nasılsa trafikte, yada gerçek hayatın ticaretinde dikkatli davranıyorsak, burada da yapmamız gereken o, Dijital ortamdaki kimliğimiz sandığınızdan daha fazla gerçek hayatımızı etkilemekte, kısacası eskisi gibi bilgisayarı kapatınca artık olanlar, olaylar orada kalmıyor tam aksine büyüyerek ve hızlanarak devam ediyor.
  • Üzülerek söylüyorum yukarıdaki kaynakçada da yazdığı gibi özellikle aldığınız virüs Crypto ise kurtarmak diye bir şey 03.11.2015 (Bugün) Tarihine kadar henüz geliştirilemedi. Geliştirilen her yöntem için hackerler üşenmeden açıklarını kapatarak daha güncelini oluşturdu. Şuan için tek çözüm iyi korunmaktır.