Kullanıcıların cihazlarındaki dosyaları şifreleyerek para karşılığında tekrar kullanıma açan Ransomware ve CryptoLocker isimli zararlı yazılımları içeren sahte e-faturalarla, şirketlere yönelik yoğun bir siber saldırılar başladı.

Son zamanlarda bu siber saldırıdan bilinçsiz şirket çalışanları sebebi ile büyük zararlar görülüyor. Bağlı oldukları şirketin bilgisayarında Word, Excel ve fotoğraf gibi dosyalarını şifrelemesi şirketler için içinden çıkılmaz bir hale getirdi.

Kötü niyetli kişiler tarafından gönderilen sahte e-postaların ekinde bulunan sahte faturalarlakandırılan kullanıcılar, faturayı açtıklarında bilgisayarlarına Ransomware veya CryptoLocker  adı verilen zararlılar ile fidye yazılımı bulaşıyor.

Bahsi geçen saldırı ilk olarak kullanıcıların cihazlarını ve dosyalarını şifreliyor ve kullanıcı doğrudan ekrandaki mesaja yönlendiriliyor. Ya da şirketlerin ana sistemlerine Server’larına kötü niyetli hackerlar erişim sağlayarak dosyalarınızı şifreliyor. 

Ardından para karşılığında şifre çözme yazılımı satın alırlarsa bilgisayarlarının tekrar açılacağı iddia edilerek kullanıcıların para ödemesi hedefleniyor.

Ne yapabilirsiniz?

·        Mevcut saldırıdan korunmanın en kolay yolu, kaynağından emin olmadan bu gibi sahte e-postaların içindeki sahte faturaları açmamak. 

·        Kullanıcılara e-faturanın zip formatında veya exe formatında olmayacağını öğretmek!

·        Tüm çalışanların bu tarz e-postalara karşı bilinçlendirilmek gerek!.

·        İyi bir Internet Security yazılımı ile bilgisayarlarını koruma altına almak.

·        Turk Telekom, TTNet, Turkcell fatura gibi başlıklarla gelen e-postalara uzun bir süre itibar etmemekgerek!

·        Ayrıca şirketlerin IT yöneticileri aşağıdaki gibi bazı önlemler alabilirler…

IT Tarafında…

·        MS Office type files (makro içerenler)

·        Packed executable files (UPX, FSG)

·        Uzaktan erişim portunu değiştirmek (mümkünse büyük bir port numarası kullanmak amaç zorlaştırmak)

·        Uzaktan erişen kullanıcılara kısıtlı hesaplar ve güçlü şifreler vermek

·        Gerek yoksa, sunucuyu uzaktan erişime kapatmak

·        TOR sistemini bloke etmek.

·        Administrator hesaplarını devre dışı bırakmak

·        Standart kullanıcılara güçlü şifreler oluşturmak

·        Zararlının indirildiği alan adlarını tespit edip, şirket içinde girişini bloke etmek

·        Email sistemlerinde AntiSpam ürünleri kullanmak.

·        Internet Security yazılımlarını güncel tutmak

·        Önemli verilerinizin günlük olarak yedeğini almak (En azından 30 günlük geriye dönülebilecek yedekleme)

·        Yatırım yapabilecek durumdaysanız iyi bir uzmandan destek almak ve sistemi güçlendirmek

·        …

Virüsün sisteminize girebilmesi için TTNet Faturanız, Turkcell Faturanız gibi başlıklarla gelen gelen e-postayı kullanıcının açması, içerisindeki “Faturayı Görmek için tıklayın” bağlantısına tıklaması, son olarak da indirdiği dosyayı çalıştırması gerekiyor.

 

Diğer bir versiyonda ise uzaktan erişim sağlayan kötü niyetli kişi ya şifrenizi tahmin ediyor ya da bir güvenlik açığı kullanıyor. Server’a eriştikten sonra verileri şifreliyor.

 Bir kullanıcı eğer bilinçsiz ve bu konuda eğitilmemişse maalesef ki bu tuzağa düşüp, birkaç saniye içerisinde bilgisayarındaki tüm belgelerin şifrelenip, tuzağa düşmesine sebep olabiliyor.

Ya da uzaktan erişime açık bir Server üzerinde verileriniz varsa ve şifreleriniz 123456 gibi basit şifrelerse bu duruma düşmeniz olası bir durum!

Düne kadar birçok antivirüs yazılımı bu virüsü yakalayamıyordu. Bugün ise birçoğu önlem alarak, bu virüsü analiz etmeye başladı…

Zemana firması da bu virüsü analiz ederek, sonuçları blogunda yayınladı. 

Bu virüsü oluşturan kişi ya da kişiler antivirüsleri atlatmakta bayağı başarılı iş yapmışlar. İlk zamanlar bir antivirüs yazılımı hariç hiçbir AV üreticisi yazılımı tanımlayamıyordu. Doğal olarak da bilgisayarına indiren ve virüsü çalıştıran kullanıcıların karşılarına bir uyarı çıkmıyordu.

Saldırı, birçok şirketin başına bela oldu! Karşılığında da binlerce lira para ödemek zorunda kaldılar.

İşin güzel tarafı Zemana firmasının AntiLogger yazılımı bu virüsü kullandığı “code injection” işlemi, sayesinde fark ederek şifreleme işlemine başlamadan durdurabiliyordu.

Söz konusu zararlı, daha önce de başımıza bela olmuştu. İlk versiyonunda olduğu gibi dosyaları AES ile, anahtarı da RSA ile şifreliyordu. Dosyalarınızın adı hamza.şifreli şekline geliyor ve kullanılamıyordu.

Boşuna şifre kırmak gibi bir arayışa girmeyin 10 sene uğraşmanız lazım!

Şimdiki versiyonunda ise yine aynı şekilde dosyaları AES ile, anahtarını da RSA ile şifreliyor. Farkı ise biraz daha geliştirilmiş ve dosya uzandıları “.encrypted” haline geliyor.

Bu saldırıya maruz kalanların karşısına 1.245BTC (Bitcoin) ödemezlerse (yaklaşık bin liradan fazla) dosyalarının geri döndürülemeyeceği mesajı çıkıyor.

Şirketlerin Server’larına bulaşan versiyon da ise, saldırgan daha yüksek ücretler talep edebiliyor. Her iki noktada da paranın takip edilememesi için Bitcoin olarak ödeme yapıyorsunuz ve kötü niyetli kişinin insafına kalıyorsunuz.

Çözüm;

Kriptolanmış dosyalarınızı sistem geri yükleme ile geri getirmemeniz için virüs, aynı zamanda sistem geri yükleme dosyalarını da siliyor! Kısacası sistemi geri yüklemeye çalışmak başarısız olacaktır. Ancak kullanıcılara bulaşan versiyonda…

1. Virüsün bulaştığı sistemde işletim sisteminizin “Shadow Copies” özelliği aktifse ve sisteme giriş yaptığınız kullanıcı sınırlı yetkiye sahipse, sistemdeki yedeklerin orjinal versiyonlarına ulaşmanız mümkün!

Bunun için http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe adresinden yazılımı indirip bilgisayarınıza kurmanız gerekiyor.

Bundan sonra, yazılım size önceki versiyon sistem geri yükleme dosyalarını çıkartarak, arayüzü içerisinden dosyalarınızı geri alma işlemi sağlayabiliyor. Tabi ki Login olduğunuz sistemde yönetici haklarınız olmaması gerekli. Eğer yönetici hesabına sahipken virüs bulaştıysa geri dönüş olmayabilir!

Zararlı yazılım, kısıtlı hesaplarla giriş yapıldığı zaman, dosyalarınızı şifrelemesine rağmen, geri yükleme noktalarını (kullanıcı yetkisi olmadığı için) silemeyeceği için, yönetici hesabından giriş yaparak şifrelenmiş dosyalarınızı kurtarma imkanı var.

2. Zararlı yazılım, MoveFile fonksiyonu kullanarak dosya uzantılarını değiştirdiği ve şifrelediği için, (aslında orjinalini silmiyor) dosya kurtarma yazılımları hiçbir işe yaramayacaktır. Ancak geri yükleme noktalarını  sildiği için, dosya kurtarma yazılımlarından ShadowExplorer veya benzeri yazılımları ile kurtarmanız mümkün! Sonrasında sistemi geri yüklemek yeterli olabilir.

3. Veri kurtarma ve Adli bilişim firmaları önemli dosyalarınızı kurtarabilir. Zahmetli, ücretli ve birazcık da uzun süren bu işlemi  son kullanıcı yapamaz. Ancak adli bilişim veya veri kurtarma firmaları bu noktada başarılı işler çıkartabiliyor. Fiyatları mı? Birazcık pahalı… Bu noktada fidye ödemeyi tercih edenler bile çıkabilir?

Aşağıdaki videodan, ShadowExplorer ile dosyalarınızı nasıl geri yükleneceğini öğrenebilirsiniz…

Server tarafında benzer yolla veya bir açıklık kullanarak saldırganın datalarınızı şifrelemesinde ise şimdilik bir çözüm yok. Sisteme sızma şeklinin genelde uzak erişime açık sunucularda basit şifre kullanılması uzmanlar tarafından öne sürülürken, bazı uzmanlar da 0 day exploit kullandığını söylemekte…

Her iki şekilde de sisteminize sızan kötü niyetli hacker maalesef ki dosyalarınızı şifreliyor.

Fidye ödemeli miyim?

İşte bu sorunun cevabı çok karışık bence ilk yapacağınız iş sisteme hiç dokunmadan, bir uzmana danışın. Sonrasında bir maliyet analizi yapın! Her halükarda cebinizin yanacağı kesin! Bu sebeple güçlü şifreler oluşturup, sisteminizi sürekli yedeklemenizi tavsiye ederim.

Diğer bir çözüm;

Virüs hızla yayılmaya devam ederken, diğer bir yönden de alternatif temizleme yöntemleri piyasaya çıkıyor. Aşağıdaki adrese virüslü dosyalarınızı upload ederek, şifrelerini kırabilirsiniz.

Decryptcryptolocker.com

·        Buradan FireEye ve Fox IT  Decryptcryptolocker İnternet sitesini açıyoruz.

·        Email adresinizi yazın. Şifreyi çözmek için gerekli Key dosyası email adresinize gönderilecektir.

·        Choose File butonuna tıklayarak .şifreli uzantılı dosyanızı seçin.
reCAPTCHA ekranında ekranda resimde gördüğünüz karakterleri metni yazın yazan kutuya doğru şekilde yazın.

·        CryptoLocker File Upload Succes mesajını göreceksiniz.

·        Mail adresinize Results of DeCryptoLocker Service yazılı bir mesaj gelmiş olmalı.

·        Mailin içinde size ait Private Key bilgisi gelecektir. Karmaşık yazılardan ibaret olan keyinizi bir notepad açarak içine yapıştırın.

·        Bilgisayarınızı bir antivirüs yazılımı ile tarayıp Cryptolocker virüsünü temizleyin!

Not: Bu işlem çok önemlidir! mutlaka yapmalısınız!

·        CryptoLocker temizleme yazılımını bilgisayarınıza indirin ve kurun..

·        Decryptolocker.exe dosyası virüsün şifrelediği dosyaları açacak yazılımdır ve açmak için e-postanıza gelen KEY’i kullanacağız.

·        .Şifreli uzantılı tüm dosyalarınızı bir klasöre kopyalayın ve aynı klasöre Decryptolocker.exe dosyasını da ekleyin!

·        Komut istemini (CMD.exe) yönetici olarak çalıştırın. (CMD üzerine sağ tıklayıp yönetici olarak çalıştıra basınız)

·        Komut isteminden şifreli dosyanın olduğu klasöre girin.

Örnek C:/users/teakolik/desktop/ŞİFRELİDOSYALAR

·        Daha önce bu klasöre kopyaladığınız Decryptolocker.exe dosyasını çalıştırmak için aşağıdaki komutu yazıyoruz.

Decryptolocker.exe –key EmaililegelenKey  Şifrelidosyalarimizdanbiri.doc

·        Size bir soru soracak ve buna “YES” yazarak cevap verin! Dosyalar çözülmüştür!

·        Eğer, C:/ dizini içerisindeki tüm dosyalar ile tek tek uğraşmak istemiyorsanız aşağıdaki komutu kullanabilirsiniz.

Decryptolocker.exe –key “Key” -r C:\

Successfully decrypted mesajını görüyorsanız, dosyalarınızı kurtardınız demektir!

 

Kaynak: TEAkolik