2014 senesinde İngiltere’ de ortaya çıkan ve bir çok kullanıcıyı ve firmaları mağdur eden Cryptolockerisimli zararlı yazılım, hackerlar tarafından güncellenmiş versiyonuyla kullanıcı dosyalarını ele geçirmek için yeniden dolaşıma girdi. Güncellenmiş bu yeni sürümü, bir çok antivirüs/antispam yazılımı tarafından yakalanamamış ve kullanıcı bilgisayarlarındaki tüm döküman, resim, video gibi medya dosyalarını şifreli hale getirmiştir.

Bu zararlı yazılım, ilk kez 2013 senesinde üretildi ve dolaşıma çıkartıldığı ilk andan itibaren oldukça etkili oldu. Henüz tanınmamış bir yöntemle kullanıcıları avlayan Troj/Ransom-ACP ya da bilinen adıylaRansomware (Fidye yazılımı) kategorisindeki bu zararlı yazılımın çalışma mantığından bahsedersek; yazılım, bulaştığı bilgisayardaki dosyaları AES 256 şifreleme metoduyla erişilmez hale getirdikten sonra bu şifreleri çözmek için gerekli kodu da 2048 bit RSA ile şifrelemektedir. Daha sonra şifrelediği dosyaların şifresini kaldırmak için yaklaşık 1000 TL karşılığı bitcoin (bağımsız bir elektronik para birimi) talep etmekte ve ödeme sonrasında şifrelenmiş dosyaların geri açılacağı konusunda da garanti vermemektedir. Fidye yazılımı bu sayede yaklaşık 27 milyon dolarlık bir gelir elde etmiştir. Özellikle şirketlerde yaşanan geri dönülmez veri kayıplarından sonra ABD hükümeti tarafından zararlı yazılımı geliştiren hackerın yakalanmasına yardımcı olmak için 3 milyon dolar ödül açıklandı.

Zararlı yazılımın yayılma şekli ise botnet, spam ve adware yazılımları ile olmaktadır. Türkiye için özel hazırlanmış bilinen 3 adet farklı mail ile kullanıcıları avlamaya çalışmaktadır. Turkcell, TTNet ve PTT’ den gelmiş gibi hazırlanan bu maillerde fatura.exe, güncelleme.exe, fatura.pdf, guncelleme.pdf gibi farklı isimlerle ekli bir dosyanın açılması ya da yine aynı mail üzerindeki linklere tıklayınca açılan internet sayfasından indirilmesi ile bulaşmaktadır. Aynı zamanda bu zararlı yazılımın gelişmiş bir sürümü, pdf içinden çalıştırılabilir bir script ile de kendini sisteme bulaştırabilmektedir.

turkcell fatura

PTT Fatura

Telekom Fatura

Yönlendirdiği web sayfasındaki güvenlik kodu girildikten sonra mail ekindeki dosyanın benzerini internet üzerinden indiriyor ve bilgisayara bulaşıyor.

Zararlı yazılım bilgisayara bulaştıktan sonra 10 gb. kadar dosyayı 2 saat içerisinde şifreliyor ve bir ödeme karşılığı bu şifreyi kaldıracak kodu göndereceğini bildiren bir pencereyi sürekli olarak bilgisayar ekranında tutuyor.

bitcoin

CryptoLocker, tam anlamıyla bir virüs değil, fidye yazılımıdır. Bu yüzden ağdaki diğer bilgisayarlara kendini bulaştırmaz. Fakat kullanıcının erişebildiği ağlardaki tüm ortak klasörlere erişebilir ve bu klasörlerdeki dosyaları da şifreler. Cryptolocker’ dan korunmak için;

  • Sahte fatura ya da “Bilgilerinizi Güncelleyiniz” temalı mailler açılmadan silinmelidir. Zararlı yazılım içeren maillerde rastgele telefon numarası, sipariş numarası, isim vb. bulunmakta ve maillerin geldiği görünen adres, şirketlerin adresinden farkli olmaktadır. Resimdeki örnekte gerçekte @turkcell.com.tr adresinden gelmesi gereken mail, behram@turkcell-fatura.biz adresinden gelmektedir. Halihazırda ücretsiz servis sağlayan .bizadresinden gelen maillere itibar etmemek gerekmektedir.
  • AntiSpam, AntiPishing servisleri mutlaka kullanılmalı ve yönetilebilir bir antivirüs programı, tüm kullanıcılarda sürekli güncel olacak şekilde kurulmalıdır.
  • Ms Office ve Adobe Reader programları içinde otomatik script çalıştırılması engellenmelidir.

CryptoLocker’ ın ortaya çıkmasıyla birlikte yedekleme ve antivirüs/antispam hizmetlerinin önemi de ortaya çıkmıştır. Bununla birlikte virüs sürekli kendini güncellemekte ve şirket sürümü antivirüs yazılımları dahi virüslerin ilk yayıldığı gün, ta ki yeni bir güncelleme yayınlanana kadar etkili olamayabilmektedir. Günlük, haftalık ve aylık yedeklerin düzenli olarak alınması ve olası senaryolarla yedeklerin kontrol edilmesi büyük önem taşıyor. Bununla birlikte fidye yazılımının ağdaki diğer klasörlere erişebildiği göz önünde bulundurulursa bulut yedekleme çözümleri iyi bir seçenek olacaktır.