CRYPTOLOCKER (RANSOMWARE) VİRÜSÜNÜN TANIMI

CRYPTOLOCKER (RANSOMWARE) VİRÜSÜNÜN TANIMI

CRYPTOLOCKER VİRÜSÜNÜN TANIMI, YAYILMA/ÇALIŞMA ŞEKLİ VE VERDİĞİ ZARARLAR:

a. CryptoLocker, fidye isteyen kategoride (ransomware) bir zararlı yazılımdır. Türkiye’de son dönemlerde genellikle e-fatura içeren sahte mailler yoluyla yayılmaktadır (Ancak saldırganların virüsü yayacak yeni yöntemler geliştirebilecekleri unutulmamalıdır, örneğin seçim dönemleri yaklaştığında, Yüksek Seçim Kurulundan gelmiş görüntüsü verdikleri bir sahte e-postada, hangi sandıkta oy kullanılacağına dair bağlantı sunan, aslında bağlantıya tıklandığında virüsün bulaşacağı bir yöntem gibi).

fidye-virusunu-onleme.jpg

b. Virüsü yayan siber saldırgan genellikle sahte bir e-fatura dosyası oluşturmakta, fatura tutarını oldukça yüksek göstererek kullanıcının dikkatini çekmekte ve kullanıcıyı gönderdiği maildeki linke (örneğin “http://efatura.ttnet-fatura.com/” benzeri) tıklamaya yönlendirmekte, linkten e-faturanın “zip” uzantılı bir dosya halinde indirilmesini sağlamaktadır.

c. Kullanıcı, “.zip” uzantılı dosyayı açıp içindeki e-fatura dosyasına (.exe uzantılı) tıkladığında virüs çalışmakta ve kullanıcı bilgisayarındaki tüm dokümanlar (Office dosyaları, resim/video dosyaları, pdf dosyaları vb.) virüs tarafından güçlü şifreleme algoritmaları (AES-256 vb.) ile şifrelenmektedir. Dosyaların uzantıları sonuna “.encrypted”, “.sifreli” vb. kelimeler eklenmektedir (Örneğin; deneme.doc.encrypted)

ç. Virüs, şifrelediği her bir klasöre ve kullanıcı masaüstüne “SIFRE_COZME_TALIMATI.html” benzeri bir dosya eklemekte ve içeriğinde, “Uyarı: Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir. Bilgisayarınızda ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde tüm dosyalarınızı kaybedebilirsiniz.” benzeri bir açıklama ile şifrenin çözülmesi için kullanıcılardan para talep etmektedir. Virüsün bazı türevlerinde ise, aşağıdaki gibi bir uyarı ekranı görünmektedir.

d. Saldırganlar şifrenin çözülebilmesi için kullanıcıları genellikle Bitcoin gibi takibi zor dijital para birimiyle ödeme yapmaya (genellikle 100-300 ABD doları arasında) yönlendirmektedir.

e. Virüs, 2013 yılında ABD’de ortaya çıkmış ve hızla diğer ülkelerdeki bilgisayarlara yayılmıştır. CryptoLocker ve benzer özellikli CryptoWall virüslerinin dünya genelinde 600.000’den fazla bilgisayarı etkilediği ve 5 milyarın üzerinde dosyayı şifrelediği tahmin edilmektedir. Virüsün toplam pay içinde %24 ile en çok ABD’yi etkilediği, ülkemiz için bu oranın yaklaşık %3 olduğu bilinmektedir.

f. Virüs, genel çalışma mantığında, zarar vereceği dosyanın şifreli yeni bir kopyasını oluşturmakta, sonrasında orijinal dosyayı silmektedir. Bu silme hızlı silme olabildiği gibi, virüsün bazı türevlerinde güvenli silme şeklinde (en az 3 kez üzerine yazma gibi) de olabilmektedir.

g. Virus, %AppData% klasörüne (C:\Users\KULLANICI ADINIZ\AppData \Roaming) kendini rastgele bir isim ile kurmakta ve bilgisayarın açılışında çalışmak üzere kayıt defterinde (registry) “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run” altına, güvenli modda bile çalışabilecek şekilde anahtar oluşturmaktadır. Ayrıca şifrelediği her bir dosya için “HKCU\Software\CryptoLocker\Files” altına bir dosya ismini belirten anahtar değeri eklemektedir.

ğ. Virüsün dosyaları şifrelemesi, dosya sayısına göre saniyeler, dakikalar hatta saatler sürebilen bir işlemdir. Kullanıcı, bilgisayarındaki işlemlerine devam ederken, virüs arka tarafta kullanıcının haberi olmadan dosyaları şifrelemektedir. Virüs şifreleme işlemlerini tamamladıktan sonra kendini kullanıcıya göstermektedir.

h. Kurumlarda, özellikle dosya ve veri tabanı sunucuları ile bilgisayarlarda virüsün şifrelemesi nedeniyle çok ciddi zararlar oluşacağı açıktır. Bunun yanında virüsün şahsi bilgisayarlarda da ciddi kayıplara yol açabileceği göz ardı edilmemelidir. Virüsün dosyalarını şifrelemesi nedeniyle, şahsi bilgisayarlarında uzun süredir yazmakta olduğu kitap çevirilerini, akademik makalelerini, yüksek lisans ve doktora tezleri ile yıllardır biriktirdiği şahsi resim ve video arşivlerini artık açamayan kullanıcılara ait internette birçok haber bulunmaktadır.

Kaynak: https://www.uab.gov.tr

Destek

Herhangi bir veri kaybı yaşadığınızda, bulunduğunuz konuma en yakın DrDisk Lab çözüm ortağı ile iletişime geçebilirsiniz...

Yukarı