Kullanıcıların cihazlarındaki dosyaları şifreleyerek para karşılığında tekrar kullanıma açan Ransomware ve CryptoLocker isimli zararlı yazılımları içeren sahte e-faturalarla, şirketlere yönelik yoğun bir siber saldırılar başladı.
Son zamanlarda bu siber saldırıdan bilinçsiz şirket çalışanları sebebi ile büyük zararlar görülüyor. Bağlı oldukları şirketin bilgisayarında Word, Excel ve fotoğraf gibi dosyalarını şifrelemesi şirketler için içinden çıkılmaz bir hale getirdi.
Kötü niyetli kişiler tarafından gönderilen sahte e-postaların ekinde bulunan sahte faturalarla kandırılan kullanıcılar, faturayı açtıklarında bilgisayarlarına Ransomware veya CryptoLocker adı verilen zararlılar ile fidye yazılımı bulaşıyor.
Bahsi geçen saldırı ilk olarak kullanıcıların cihazlarını ve dosyalarını şifreliyor ve kullanıcı doğrudan ekrandaki mesaja yönlendiriliyor. Ya da şirketlerin ana sistemlerine Server’larına kötü niyetli hackerlar erişim sağlayarak dosyalarınızı şifreliyor.
Ardından para karşılığında şifre çözme yazılımı satın alırlarsa bilgisayarlarının tekrar açılacağı iddia edilerek kullanıcıların para ödemesi hedefleniyor.Ne yapabilirsiniz?
- Mevcut saldırıdan korunmanın en kolay yolu, kaynağından emin olmadan bu gibi sahte e-postaların içindeki sahte faturaları açmamak.
- Kullanıcılara e-faturanın zip formatında veya exe formatında olmayacağını öğretmek!
- Tüm çalışanların bu tarz e-postalara karşı bilinçlendirilmek gerek!.
- İyi bir Internet Security yazılımı ile bilgisayarlarını koruma altına almak.
- Turk Telekom, TTNet, Turkcell fatura gibi başlıklarla gelen e-postalara uzun bir süre itibar etmemek gerek!
- Ayrıca şirketlerin IT yöneticileri aşağıdaki gibi bazı önlemler alabilirler…
- MS Office type files (makro içerenler)
- Packed executable files (UPX, FSG)
- Uzaktan erişim portunu değiştirmek (mümkünse büyük bir port numarası kullanmak amaç zorlaştırmak)
- Uzaktan erişen kullanıcılara kısıtlı hesaplar ve güçlü şifreler vermek
- Gerek yoksa, sunucuyu uzaktan erişime kapatmak
- TOR sistemini bloke etmek.
- Administrator hesaplarını devre dışı bırakmak
- Standart kullanıcılara güçlü şifreler oluşturmak
- Zararlının indirildiği alan adlarını tespit edip, şirket içinde girişini bloke etmek
- Email sistemlerinde AntiSpam ürünleri kullanmak.
- Internet Security yazılımlarını güncel tutmak
- Önemli verilerinizin günlük olarak yedeğini almak (En azından 30 günlük geriye dönülebilecek yedekleme)
- Yatırım yapabilecek durumdaysanız iyi bir uzmandan destek almak ve sistemi güçlendirmek
- …
Virüsün sisteminize girebilmesi için TTNet Faturanız, Turkcell Faturanız gibi başlıklarla gelen gelen e-postayı kullanıcının açması, ardından içerisindeki “Faturayı Görmek için tıklayın” bağlantısına tıklaması, son olarak da indirdiği dosyayı çalıştırması gerekiyor.
Diğer bir versiyonda ise uzaktan erişim sağlayan kötü niyetli kişi ya şifrenizi tahmin ediyor ya da bir güvenlik açığı kullanıyor. Server’a eriştikten sonra verileri şifreliyor…
Bir
kullanıcı eğer bilinçsiz ve bu konuda eğitilmemişse maalesef ki bu
tuzağa düşüp, birkaç saniye içerisinde bilgisayarındaki tüm belgelerin
şifrelenip, tuzağa düşmesine sebep olabiliyor.Ya da uzaktan erişime açık bir Server üzerinde verileriniz varsa ve şifreleriniz 123456 gibi basit şifrelerse bu duruma düşmeniz olası bir durum!
Düne kadar birçok antivirüs yazılımı bu virüsü yakalayamıyordu. Bugün ise birçoğu önlem alarak, bu virüsü analiz etmeye başladı…
Zemana firması da bu virüsü analiz ederek, sonuçları blogunda yayınladı.
Bu virüsü oluşturan kişi ya da kişiler antivirüsleri atlatmakta bayağı başarılı iş yapmışlar. İlk zamanlar bir antivirüs yazılımı hariç hiçbir AV üreticisi yazılımı tanımlayamıyordu. Doğal olarak da bilgisayarına indiren ve virüsü çalıştıran kullanıcıların karşılarına bir uyarı çıkmıyordu.
Saldırı, birçok şirketin başına bela oldu! Karşılığında da binlerce lira para ödemek zorunda kaldılar.
İşin güzel tarafı Zemana firmasının AntiLogger yazılımı bu virüsü kullandığı “code injection” işlemi, sayesinde fark ederek şifreleme işlemine başlamadan durdurabiliyordu.
Söz konusu zararlı, daha önce de başımıza bela olmuştu. İlk versiyonunda olduğu gibi dosyaları AES ile, anahtarı da RSA ile şifreliyordu. Dosyalarınızın adı hamza.şifreli şekline geliyor ve kullanılamıyordu.
Boşuna şifre kırmak gibi bir arayışa girmeyin 10 sene uğraşmanız lazım!
Şimdiki versiyonunda ise yine aynı şekilde dosyaları AES ile, anahtarını da RSA ile şifreliyor. Farkı ise biraz daha geliştirilmiş ve dosya uzandıları “.encrypted” haline geliyor.
Bu saldırıya maruz kalanların karşısına 1.245BTC (Bitcoin) ödemezlerse (yaklaşık bin liradan fazla) dosyalarının geri döndürülemeyeceği mesajı çıkıyor.
Şirketlerin Server’larına bulaşan versiyon da ise, saldırgan daha yüksek ücretler talep edebiliyor. Her iki noktada da paranın takip edilememesi için Bitcoin olarak ödeme yapıyorsunuz ve kötü niyetli kişinin insafına kalıyorsunuz. Sisteme bağlanıp, şifreyi çözüyor. Ya da çözmüyor…Çözüm mü?
Kriptolanmış dosyalarınızı sistem geri yükleme ile geri getirmemeniz için virüs, aynı zamanda sistem geri yükleme dosyalarını da siliyor! Kısacası sistemi geri yüklemeye çalışmak başarısız olacaktır. Ancak kullanıcılara bulaşan versiyonda…
1. Virüsün bulaştığı sistemde işletim sisteminizin “Shadow Copies” özelliği aktifse ve sisteme giriş yaptığınız kullanıcı sınırlı yetkiye sahipse, sistemdeki yedeklerin orjinal versiyonlarına ulaşmanız mümkün!
Bunun için http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe adresinden yazılımı indirip bilgisayarınıza kurmanız gerekiyor. Bundan sonra, yazılım size önceki versiyon sistem geri yükleme dosyalarını çıkartarak, arayüzü içerisinden dosyalarınızı geri alma işlemi sağlayabiliyor. Tabi ki Login olduğunuz sistemde yönetici haklarınız olmaması gerekli. Eğer yönetici hesabına sahipken virüs bulaştıysa geri dönüş olmayabilir!
Zararlı yazılım, kısıtlı hesaplarla giriş yapıldığı zaman, dosyalarınızı şifrelemesine rağmen, geri yükleme noktalarını (kullanıcı yetkisi olmadığı için) silemeyeceği için, yönetici hesabından giriş yaparak şifrelenmiş dosyalarınızı kurtarma imkanı var.
2. Zararlı yazılım, MoveFile fonksiyonu kullanarak dosya uzantılarını değiştirdiği ve şifrelediği için, (aslında orjinalini silmiyor) dosya kurtarma yazılımları hiçbir işe yaramayacaktır. Ancak geri yükleme noktalarını sildiği için, dosya kurtarma yazılımlarından ShadowExplorer veya benzeri yazılımları ile kurtarmanız mümkün! Sonrasında sistemi geri yüklemek yeterli olabilir.
3. Veri kurtarma ve Adli bilişim firmaları önemli dosyalarınızı kurtarabilir. Zahmetli, ücretli ve birazcık da uzun süren bu işlemi son kullanıcı yapamaz. Ancak adli bilişim veya veri kurtarma firmaları bu noktada başarılı işler çıkartabiliyor. Fiyatları mı? Birazcık pahalı… Bu noktada fidye ödemeyi tercih edenler bile çıkabilir?
Aşağıdaki videodan, ShadowExplorer ile dosyalarınızı nasıl geri yükleneceğini öğrenebilirsiniz…
Server tarafında benzer yolla veya bir açıklık kullanarak saldırganın datalarınızı şifrelemesinde ise şimdilik bir çözüm yok. Sisteme sızma şeklinin genelde uzak erişime açık sunucularda basit şifre kullanılması uzmanlar tarafından öne sürülürken, bazı uzmanlar da 0 day exploit kullandığını söylemekte…
Her iki şekilde de sisteminize sızan kötü niyetli hacker maalesef ki dosyalarınızı şifreliyor.
Fidye ödemeli miyim?
İşte bu sorunun cevabı çok karışık bence ilk yapacağınız iş sisteme hiç dokunmadan, bir uzmana danışın. Sonrasında bir maliyet analizi yapın! Her halükarda cebinizin yanacağı kesin! Bu sebeple güçlü şifreler oluşturup, sisteminizi sürekli yedeklemenizi tavsiye ederim.
0 yorum: