Skip to main content

Cryptolocker, Ransomware, Şifreleme, Fidye, Fatura virüsü ve Korunma Yöntemleri

Ata Taşpolat Güvenlik

İlk yazımın konusunun hem bireysel bilgisayar kullanıcılarının hem de kurumsal firmaların bilgi işlem departmanlarının kabusu haline gelen Cryptolocker, Ransomware, şifreleme, fidye, fatura virüsü gibi çeşitli isimlerle adlandırılan tehlikeli yazılımlar hakkında olmasına karar verdim.  Bu zararlı yazılımlar ile kurban sayısı günden güne artmakta olup hedefindeki gerçek ve tüzel kişileri binlerce dolar zarara uğratmaktadır. İşin maddi boyutunun yanı sıra  bilgi çağını yaşadığımız bir dönemde tüm kurumsal verilerimizi neredeyse  geri getirilmesi  imkansız olarak kaybetmemize neden olmaktadır.  Başlangıçta daha çok bilgisiz  bilgisayar kullanıcılarına Turkcell, İş bankası, TTNET, Turk Telekom faturalarını taklit ederek gönderilen sahte e-postalar, günümüzde daha  farklı varyasyonlarla hazırlanmış hedefli profesyonel saldırılar olarak karşımıza çıkmaktadır.  Literatürde bu tür saldırılar “Sıfır Gün (Zero-Day) Atak”adıyla tanımlanmakta olup tehdit, sistemde yeni fark edilen veya yeni ortaya çıkan bir açığın kullanılması ile meydana geliyor.  Bir başka deyişle, zero day ataklar bu fark edilen açığın geliştirici tarafından fark edilerek açığın kapanmasına kadar geçen süre içinde yapılan saldırılar anlamına geliyor. Ne yaparsanız yapın bu süre zarfında hedefte oluyorsunuz. Bu özelliğinden dolayıda bu tür saldırılar sürekli kendini yenilemekte ve sistemlerdeki açıklara göre şekil değiştirebilmektedir.

Cryptolocker virüsü ile bilgisayarınızdaki ve bilgisayarınızın erişebildiği tüm ağ sürücüleri üzerindeki verileriniz rastgele oluşturulmuş 2048-bit RSA anahtar çifti kullanılarak şifrelenir. Açık anahtar (public key) bilgisayarınıza kopyalanmış durumda olur ancak özel anahtara (private key) ulaşmanın tek yolu belirlenen süre içinde para ödemesi yapılarak mümkün olur.  Saldırgan, belirtilen zaman içinde ödeme yapılmazsa özel anahtarın silineceği ile kurbanı tehdit eder ki bu da şifrelenmiş verilerinizin açılması için başka bir çözümün kalmaması anlamına gelmektedir.

Saldırılar Nasıl Geliyor?

Aşağıdaki örnekte (Resim 1) gösterildiği gibi CryptoLocker (Ransomware)’ın bir versiyonu Turkcell fatura bildirimlerini birebir  taklit ediyor. Genellikle rastgele bir isim kullanılarak gelen e-postalar mail kutunuzda “Turkcell Fatura Bildirimi” <mehmet@turkcell-fatura.org> gibi gözüküyor. Yanıtlama adresi olarak da “Turkcell Fatura Bildirimi” <reply@turkcell-fatura.org> adresini kullanıyorlar. Siz e-postanıza Turkcell’den fatura geldiğini düşünüyorsunuz. Genellikle ödeme tutarlarını da bir kişiye gelebilecek ortalama rakamdan yüksek tutuyorlar. Siz “Faturanız ile ilgili detaylı bilgi” veya “Ödeme talimatı vermek için” butonlarına bastığınız anda o butonlara yönlendirilmiş link üstünden öncelikle virüsü bilgisayarınıza indiriyorsunuz, indirilen dosyayı çalıştırdığınız anda bilgisayarınızdaki ve bilgisayarınızın erişebildiği tüm ağ sürücüleri üzerindeki verileriniz çözülmesi imkansız hale getirilecek seviyede profesyonel olarak şifreleniyor.  Bu şifreleri çözmek içinse sizden fidye (para) isteniyor. Şifrelendikten sonra dosyaların kurtarılması neredeyse imkansız, o nedenle bulaşmadan önce koruma sağlamak büyük önem taşıyor.

Resim 1:  Turkcell fatura bildirimlerini taklit eden fidye virüsü

Aşağıdaki resimde gösterilen mail (Resim 2)  CryptoLocker (Ransomware)’ın başka bir versiyondur. Bu saldırı profesyonelce hazırlanmış hedefli bir atak olarak göze çarpmaktadır. Çünkü, kurumsal bir firmanın satın alma veya satış departmanlarını hedefine alarak bu kullanıcılara her zaman gelebilen teklif, sipariş  gibi mailleri taklit  etmektedir. Kullanıcı ekteki veya linkteki  dosyayı çalıştırdığı anda fidye  istemek amacıyla bilgisayarda ve  erişebildiği tüm ağ sürücülerinde bulunan veriler çözülmesi imkansız hale getirilecek  şekilde şifreleniyor.

Resim 2: Profesyonelce hazırlanmış hedefli bir fidye virüsü

Şifreleme işlemi tamamlanınca tüm dosyalarınız “Dosya Adı.xls.etokur”, “Dosya Adı.xls.etokur.xlsx.awowuh”, “Dosya Adı.rar.otycyt”, “Dosya Adı.pdf.ycogzc”, “Dosya Adı.docx.edoryx” gibi farklı isimde uzantıları dönüşerek size aşağıdaki (Resim 3 ve Resim 4) gibi bir mesaj bırakmaktadır. Bu mesaj şifrelenen verilerinizi para ödeyerek nasıl çözeceğini anlatan bir talimattır. Şunu da belirtmeliyim ki bu talimatta bulunan linklerin çalışma garantisi yoktur.

Resim 3: Fidye virüsünün bıraktığı şifre çözme talimatı (txt formatı)

HOW_TO_RECOVER_FILES.html

Resim 4: Fidye virüsünün bıraktığı şifre çözme talimatı (html formatı)

 

Belirtilen linki tıkladığınız zaman aşağıdaki (Resim 5) gibi bir sayfaya ulaşırsınız.  Bu sayfa size şifreyi çözülebileceğini kanıtlamak için bir dosyanın şifresini ücretsiz olarak çözebileceğiz bir bölüm ve şifreyi çözmek için belirtilen süre içinde ne kadar bedel ödemeniz gerektiği hakkında bilgi veriyor. Hatta bu sürenin dışına çıkarsanız ne kadar fazla ödeyeceğinizi gösteren bilgi içermektedir. Para transferleri Bitcoin adı verilen tamamen dijital bir para birimi ve ödeme sistemi  ile yapılır. Bu merkezi olmayan sistem üzerinde kullanıcılar birbirlerine aracı olmadan doğrudan transferler yapabilir.  Tekrar hatırlatmalıyım ki bedel ödeseniz bile verilerinizi kurtaracağınızın garantisi yoktur.

Resim 5: Fidye ödeme sayfası

Cryptolocker, Ransomware, Şifreleme, Fidye, Fatura virüsünden Korunma Yöntemleri Nelerdir?

Cryptolocker’ın temizlenmesi ile ilgili İnternet’te bir çok makale bulabilirsiniz. Mutlaka bu makaleler çok değerli fakat ben virüsün bulaşmasından önce koruma yöntemlerinin daha önemli olduğu görüşündeyim. Çünkü virüsü temizlemek verileri kurtarmak demek değildir. Ne yaparsanız yapın eğer gerekli korunma tedbirlerini almadıysanız verilerin %100 kurtaracağınız anlamına gelmiyor.

Son yıllarda küçük işletmelerin ve bireysel kullanıcıların daha çok kurban olarak seçilmekle birlikte hedefli ve sistemli yapılan saldırıların %90’dan fazlası amacına ulaşmaktır. Çünkü bu hedef kitle gerekli güvenlik çözümlerine sahip değiller, genellikle tüm verileri tek bir yerde bulunuyor ve yedekleme yapmıyorlar. Bilgi Teknolojileri konusunda da bilgisiz ve bilinçsiz oldukları için verilerini kurtarmak için ödeme yapmak zorunda hissediyorlar.

Cryptolocker virüsten korunma yöntemlerini küçük işletmeler veya bireysel kullanıcılar ve bilgi işlem departmanına sahip kurumsal şirketler olarak iki başlık altında topladım.

1)Bireysel Korunma Yöntemleri (Küçük İşletmeler veya Bireysel Kullanıcılar)

Unutulmamalıdır ki en önemli ve temel korunma yöntemi bu saldırıların içerikleri ile  ilgili bilinçlenmekten geçer.  Eğer bu konuda gerekli bilince sahip olursanız yüz binlerce dolarlık güvenlik çözümleri kadar etkili bir güvenliğe sahip oldunuz demektir. Bu yöntemler uygulanırsa saldırı konusunda tam koruma sağlanamaz  ama zarar görme oranımız %90’lardan %10’lara kadar gerileyebilir. Bu yüzden saldırıdan zarar görmeden önce bilinçlenerek çalışanlara, arkadaşlarımıza, dostlarımıza ve son kullanıcıya aşağıda belirtiğim maddeleri anlatmanız gerekiyor.

  • İlk ve en önemli korunma yöntemi verilerinizi güvenli olarak yedeklemektir.
    • Çünkü hiçbir yazılım çözümü sizi bu tarz saldırılardan koruyacağının garantisini veremez.
    • Aldığınız yedeklerin tekrar geri dönülebilir olduğunu mutlaka kontrol etmelisiniz.
    • İşletim sisteminiz shadow (gölge) kopyalarını kullanmakta etkili bir yedekleme yöntemidir.   Shadow copy ile silinmiş veya değişime uğramış mevcut dosya ve klasörlerin eski versiyonlarına geri dönüş yapmak mümkündür.  Klasörlerin gölge kopyalarının görülebilmesi için bilgisayarınızda shadow copy aktif olmalıdır. Mutlaka virüs bilgisayarınıza bulaşmadan önce bilgisayarınızın periyodik olarak bu gölge kopyaları oluşturulmasını sağlamanız gerekiyor.
    • Hem maliyet hem de pratik olması açısından Google Drive, Dropbox, SkyDrive gibi bulut tabanlı yedekleme çözümlerini kullanabilirsiniz.
    • Unutmalısınız ki günümüzde kullanılan bir çok bulut tabanlı çözümler sürücüleri otomatik olarak eşleştirebilmekte veya bir sürücü harfi atayabilmektedir.  Sürücü eşleştirildiğinde, içinde bulunan tüm veriler de virüs tarafından şifrelenip fidye ödenene kadar kilitlenebilir. Bu yüzden mevcut sürücülerinizi bulut tabanlı sürücüler ile eşleştirmekten kaçının.
    • Küçük işletmeler veya bireysel kullanıcılara yedekleme planı konusundaki önerim hafta bir kez düzenli olarak kendi verilerini yedeklemeli ve günlük değişiklikleri kopyalamalıdır. Küçük işletmelerde bu yedeklerin bir kopyası işletme sahibine verilmelidir. Çünkü yedeklere virüs bulaştığında veya yedekleme sürücülerinin bozulması durumunda 2. yedekler sayesinde tüm veriler geri getirilebilir.
  • Diğer önemli  korunma yöntemlerinden biri de bu atakların içerikleri ile ilgili bilgi sahibi olmanızdır. Bu da tehditler ile ilgili daha fazla bilinçlenmenize yardımcı olacaktır.
    • Hiçbir kurumsal firma zip, rar (sıkıştırılmış formatta ) veya .exe ile biten dosya içeren bir mail atmaz. Bu atılan mailler %99,9 virüstür.
    • “.zip, .rar, .7z, ” uzantılı sıkıştırılmış dosyaların içerisinde veya DosyaAdi.pdf.exe, DosyaAdı.rar.exe, DosyaAdı.docx.exe gibi size Adobe Reader, WinRar veya ofis belgesi uzantıları süsü vererek virüs içeren mailler gelebilir.
    • Resim 1 ‘deki örnekte olduğu gibi Turkcell tarafından fatura bildirimlerinde,  “sayın müşterimiz,” olarak hitap kullanılmıyor. Sayın alanında adınız ve soyadınız yazılı olması gerekiyor. Örnekteki maili almanız durumunda hemen spam kutusuna atmalı veya silmelisiniz. Cryptolocker virüsünün sürekli nitelik değiştirip kendini yenilediği dikkate alındığında mümkün oldukça e-faturaları ilgili kurumun on-line web servisleri üzerinden görüntülemenizi tavsiye ederim.
    • Hiçbir şartta mailde bulunan bağlantıya tıklayıp karşınıza çıkan dosyayı çalıştırmamalısınız. Benzer şekilde başka firmalardan sahte maillerde gelebilir. Güvenmediğiniz mailleri silmelisiniz yada spam kutusuna atmalısınız.
    • Ayrıca internette surf yaparken hangi linki tıkladığınıza dikkat etmelisiniz. Belirtilen linkler  yukarıdaki mailde bulunan (Resim 2) link gibi virüs içeren bir link olabilir
    • Özellikle torrent üzerinde bulunan yasal olmayan yazılımları indirirken siz farkında olmadan bu tarz saldırılara maruz kalabilirsiniz. Yasal olmayan yazılımları indirmemelisiniz.
  • Bilgisayarınıza mutlaka güncellenebilir bir antivirüs yazılımı yüklemelisiniz. Unutmamalısınız ki güncellenmeyen anvirüs programları size yeni çıkan tehditlere karşı korumaz. Ne sebeple olursa olsun antivirüs yazılımlarını asla devre dışı bırakmayınız. Birçok antivirüs yazılımı bu tarz virüsleri kolayca tespit edebiliyor.
  • Ayrıca mail hizmetini Gmail, Yandex.Mail, Outlook (Hotmail) gibi güvenli servislerden almalısınız. Çünkü bu e-posta sağlayıcıları zararlı içerikli e-postaları engelleme konusunda en iyi çözümleri kendi içinde sunmaya çalışıyor. Farklı bir e-posta sağlayıcı kullanıyorsanız gelen maillerinizi bu servislere yönlendirerek kullanabilirsiniz.

2)Kurumsal Korunma Yöntemleri

Kurumsal tarafta bilgi işlem  departmalarının temel görevi kurumsal verileri korumaktır. Bu yüzden güvenliği kullanıcı seviyesine bırakamazlar. Kurumsal firmalar ve bilgi güvenliği dediğimizde APT kavramıyla karşılaşıyoruz. APT’nin açılımı  ingilizce olarak “Advanced Persistent Threat” olarak ifade edilirken Türkçe ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı” olarak iki farklı şekilde duyulabilen özel bir saldırı türüdür. Saldırgan, kişinin veya kurumun sistemlerine yetkisiz olarak erişerek orada uzun süre kalması olarak tanımlayabiliriz. Gizli veya stratejik verileri ele geçirmek, ekonomik zarar vermek, ideolojik, fidye almak gibi amaçlar için saldırgan fark edilmeden sisteme sızarak olabildiğince uzun süre kalıp, maksimum miktarda değerli veri toplar ve sisteme zarar verir.

Bu kapsamda bilgi işlem yöneticileri aşağıdaki tedbirleri alabilir:

  • Kurumsal firmalar tehdit durumlarında veriye tekrar ulaşabilmeleri için mutlaka yeni nesil depolama ve yedekleme sistemlerine sahip olmalıdır. Profesyonelce hazırlanmış en az 30 gün geriye dönülebilecek bir yedekleme planı çerçevesinde tüm kurumsal veriler günlük olarak yedeklenmeli, yedeklerin bir kopyası farklı ortamda da saklanmalı ve yedeklerin geri döndürülebilir olduğundan emin olunmalıdır.
  • Yukarıda küçük işletmeler veya bireysel kullanıcılar için belirtilen maddeler hakkında şirketteki bilgisayar kullanıcıları bilinçlendirilmelidir. Bu kapsamda son kullanıcılara gerekli bilgilendirme toplantıları yapılabilir ama asla sorumluluk son kullanıcıya bırakılmamalıdır.
  • Kurumsal firmalar bu tehditlerden korunmak için mutlaka profesyonel bütünleşik UTM güvenlik çözümüne sahip olmalıdır.
    • UTM yeteğine sahip bir firewall saldırıları anında engelleme, casus yazılımları durdurma, IPS, antivirüs, antispam, web flitreleme/bloklama, uygulama kontrolü gibi kapsamlı birleşik bir koruma sağlar. IPS, antivirüs gibi imza tabanlı korumalar daha çok geleneksel olarak bilenen saldırılardan korunmak için yeterlidir. Bu çözümler fidye yazılım saldırılarını belirleme ve önleme de yeterli değildir.
    • Yeni nesil firewallar  Cryptolocker tarzı saldırılara karşı sıfır gün koruması(zero day protection) çözümü sunmaktadır. Bu çözümler ile beraber yeni çıkmış ve henüz imzalanmamış yeni zararlı yazılımlar veya kurumları hedef alarak hazırlanmış  olan APT (Advance Persistant Threat) tehditlere karşı koruma sağlamaktadır. Sandbox çözümü olarak bilinen bu koruma yönteminin temel mantığı firewall yada mail sunucunuz üzerinden gelen dosyalar bu sandboxa gönderilip gerekli analiz işlemi yapılır. Yapılan analiz sonucunda, zararlı olarak tespit edilen dosyaların kullanıcılara ve sunuculara erişmesi engellenmektedir.
    • Güvenlik firmaları bu kapsamda kurumlara bu güvenlik çözümü için donanım olarak satın almak yada bulut servisi üzerinde satın almak üzere iki öneri sunmaktadır. Fortigate firmasının Forti Sandbox ve Chekpoint firmasının Threat Emulation ürünleri bu çözüme örnektir.
  • Güvenlik duvarınız üzerinde bir güvenlik politikası oluşturulmalı TOR tarzı sistemlere erişim bloke edilmelidir
  • Zararlı yazılımların indirildiği alan adlarını tespit edip, şirket içine girişi bloke edilmelidir.
  • Sunuculara uzaktan erişime ihtiyaç yoksa sunucuların uzaktan erişim portları kapatılmalı, default uzaktan erişim portları  yerine büyük bir port numarası kullanılmalıdır. Uzaktan erişen kullanıcılar sisteme VPN üzerinden bağlanmalıdır. Ayrıca bu kullanıcılara kısıtlı hesaplar ve güçlü şifreler verilmelidir.
  • Active Directory üzerinden kullanıcılar için  gerekli politikalar oluşturulmalıdır.  Örneğin, kullanıcılar belli periyotlarla şifreleri değiştirmeli ve güçlü şifreler koymalı, eğer USB bellek, Harici Disk gibi cihazların bilgisayarlara takılmasına ihtiyaç yoksa engellenmelidir.
  • Kullanıcı seviyesinde antivirüs ve endpoint yazılımları kullanılmalı ve bu yazılımlar güncel tutulmalıdır.

Sonuç

Cryptolocker tarzı profesyonelce hazırlanmış hedefli saldırıların engellenmesi için gerekli tüm güvenlik önlemler alınsa bile saldırganların her zaman virüsü yayacak yeni yöntemler keşfedeceği unutulmamalıdır. Bu yüzden internetten gelen ve kaynağı tam olarak bilinmeyen dosyalara şüpheci yaklaşılmalı ve yukarıda belirtilen gerekli güvenlik önlemleri hem bireysel hem de kurumsal düzeyde alınmalıdır. Ayrıca, bilgisayar kullanıcılarının bilinçlendirilmesi  ve kurumların bilgi işlem personelinin uzmanlık derecesinin üst seviyede tutulmasına yönelik çalışmalar yapılması siber güvenliğin sağlamasına önemli katkı sağlayacaktır.

Unutmayın bu tarz virüsler bulaştıktan sonra her şey için artık çok geç olabilir!

Ata Taşpolat

Share

Cryptolocker, Ransomware, Şifreleme, Fidye, Fatura virüsü ve Korunma Yöntemleri” hakkında 2 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir