Nedir Bu Cryptolocker ?

Son zamanlarda bilgisayarla azıcık haşır neşir olan birisi adını mutlaka duymuştur Cryptolocker’ın. Bazılarımıza ise oldukça büyük dertler açmıştır. Bazılarımız onu bilmem kimin bilgisayarına bulaşan bir virüs olarak duydu, bazılarımız da temizlemek için günlerini harcadı. Tam anlamı ile kaos. Peki nedir bu Cryptolocker ?

Cryptolocker sınıflandırma yapmak gerekir ise fidye amaçlı bir Truva Atı’dır yani trojan. Yaptığı işlem esasında küçük ama oldukça etkili ve kullanmasını bilen insanların elinde ne zaman patlayacağı belli olmayan bir saatli bombaya dönüşebiliyor.

Cryptolocker halen gelişmeye ve değişmeye devam etse de asıl yayılma yolu mailler üzerinden indirilen ekler. Başladığı günden beri çok kötü örneklerini görmüş olsak da genel oldukça iyi hazırlanmış bir mail içeriği ile size Turkcell, Türk Telekom, Postane, Digitürk gibi kurumların maili gibi geliyor.

cryptolocker_pttcryptolocker_ttnet
cryptolocker_telekomcryptolocker_turkcell

Yukarıdaki örneklerde de görüleceği üzere oldukça başarılı hazırlanmış mailler yolu ile size bir şeyler indirmeye yöneltmeye çalışıyorlar.

PTT mailinde sizden “adres değişiklik formu” indirmenizi istiyor

Türk Telekom mailinde sizden “E-Fatura”yı indirmenizi istiyor.

TTNET mailinde sizden faturayı görüntülemenizi istiyor. Tıkladığınızda görüntüleyemediğinizi çünkü sisteminizde Acrobat Reader olmadığını bunu kurmak içinde gene gelen postanın içindeki bir linkten indirmeniz gerektiğini söylüyor.

Turkcell faturasında da E-Faturanızı görüntülemeniz için indirmenizi istiyor.

Göründüğü üzere yol farklı olsa da hepsinde olay aynı “SİZE DOSYA İNDİRTMEK”. Bu indirilen dosya tabii ki mail de göründüğü gibi bir PDF veya başka birşey değil. Bu bir EXE uzantılı program. Bunu açıp sisteminize kurduğunuz anda her şey bitiyor.

Bu mailler de dikkat çeken bir başka nokta ise hepsinde sizi acele ettirecek bir noktanın olması. Fatura maillerinde fahiş miktarların gösterilmesi, PTT mailinde eğer kargonuzu almazsanız her gün 25 TL ödemek zorunda olmanız gibi durumlar var. Bunda ki amaç panik durumuna girmeniz ve  maildeki abuklukları fark etmeden hemen eki indirmeniz ve açmanız.

Bu tip mailler halen gelmeye devam ediyorlar. Bir süre daha gelmeye de devam edecekler ve hatta yakın bir zamanda Cryptolocker değişim geçirerek başka şekillerde de size ulaşmaya başlayacak.

Maillerin hedef kitleleri oldukça değişkenlik gösterse de genel amaç sizden para koparmak olduğu için büyük firmaları ve KOBİ’leri hedef alıyorlar. Hedef alınan şirket bir süre incelendikten sonra genellikle CEO, genel müdür, muhasebe veya insan kaynakları gibi departmanları hedef alıyorlar. Bu departmanlar hem gelir seviyesi yüksek, hem faturalarla haşır neşir hem de genel yapı olarak iş yoğunluğundan  gelen her maili inlemeye fırsatı olmayan insanlar oluyor. Bunlar da açık hedefler arasına girmeleri sağlıyor.

Eki İndirdikten Sonra Neler Oluyor ? 

Eki bilgisayarınıza indirdikten sonra siz işinizi yaparken arka planda bir program çalışıyor ve bilgisayarınızdaki dosyaları hedef alıyor. Bunların içinde Office belgeleriniz, resimleriniz, metin dosyalarınız gibi her tipte belge var. Bu dosyalar bir şifreleme sistemiyle şifreleniyor ve işlem tamamlandıktan sonra size dosyalarınızın şifrelendiği ve açmak istiyorsanız Bitcoin hesap numarasına bir miktar göndermenizi istiyorlar. Bitcoin seçiyorlar çünkü takibi imkansız derecesinde zor.

cryptolocker_trkcryptolocker_ing

İşlem sonunda ortaya çıkan mesaj şekilleri değişiklik gösterebiliyor. Bununla beraber istenen para/Bitcoin miktarı da değişiyor.

Bulaştıktan Sonra Ne Yapmalıyım ?

Sisteme Cryptolocker bulaştıktan sonra pek yapılabilecek bir şey yok aslında. Yapılan şifreleme işlemi başlarda daha basit yöntemler kullanılmış olsa da şu anlar da RSA-2048 bit şifreleme tekniği kullanılarak şifrelendiği için Kaba Kuvvet saldırıları ile kırılamaz addedilmektedir.

Cryptolocker yayılmaya başladıktan sonra bir çok şifre çözücü program ve site ortaya çıktı. Bunların içinde başlangıçta yararlı olanlar olsa da şu anda işlevlerini yitirmiş durumdalar.

Bulaştıktan sonra yapılabilecek üç şey var aslında;

  • Parayı verip karşılığında şifreyi çözecek Key’i satın almak
  • Backup’dan geri dönmek (Eğer Backup varsa ve her seferinde üzerine Backup almıyorsanız)
  • Bilgisayara Format atıp sıfırdan başlamak

Korunmak İçin Ne Yapmalıyız ?

Korunmanın ilk adımı bana göre farkında olmaktan geçiyor.

  • Gelen mailleri iyi incelemek, gönderen adresinin farklı olup olmadığına bakıp ona göre açıp açmamak gibi farkında olma durumu sizi bir çok zararlıdan koruyacaktır.

mailadresi

Yukarıdaki resimde gördüğünüz gibi mail adreslerinin gerçekle alakaları yok ama burada önemli olan farklılığın farkında olmak.

  • Düzenli olarak aldığınız maillerin gelen adreslerini dikkatle inceleyin ve öğrenin. Aynı kurum ismiyle gelen farklı mail adreslerine itibar etmeyin.
  • Bu tür büyük kurumlar normalde sizi zorlayıcı ve özellikle bir dosyayı indirmenizi isteyen mailler atmazlar. Buna dikkat edin.
  • Bilgisayarınızın mutlaka yedeğini alın ama yedek alırken harici bir kaynağa yedek almanız ve aldığınız yedeklerde her aldığınız tarihi ayrı ayrı klasörlerle kaydetmeniz önemlidir. Örnek olarak ay sonlarında o ayında ismini vererek yedekleyeceğiniz klasörler size daha sağlam bir geriye dönüş hazırlayacaktır. Her seferinde bir öncekinin üzerine kaydetmek size yarar sağlamaz. Ola ki bir şifrelenme sırasında üzerine kaydederseniz yedeklerinizde şifreli olacağından size yarar sağlamayacaktır.

Yedeklemeler

 

 

 

 

 

 

  • Mail’den size gelen ve bir şirket olduğunu iddia eden durumlarda o kurumun sitesini siz Google üzerinden elle açın, linke tıklayarak gitmeyin.
  • Mutlaka bir iki adet güncel güvenlik sitesini takip edin.
  • SSL Bağlantılarının kimin üzerine olduğunu Fare imlecini üzerine getirerek kontrol edin.
  • Mümkünse mail’den gelen hiçbir eki indirmeyin faturalarınızı o kuruma ait siteden kendiniz girerek görüntüleyin.

 

Leave a Reply

Filed under: Infosec,Makaleler - @ 24 July 2015 15:51

Tags: , , , , , , , , , , ,