CRYPTOLOCKER VİRÜSÜ NEDİR? NASIL ÇALIŞIR VE NASIL YAYILIR ? VERDİĞİ ZARARLAR NELERDİR?
Günümüzde yüzlerce farklı varyantı bulunan fidye virüslerinin en bilineni CryptoLocker varyantıdır. Çalıştığı bilgisayarda daha önceden belirlenmiş uzantılardaki dosyaları şifreleyerek kullanılmaz hale getirmektedir. Peki nedir bu virüs, nasıl bulaşıyor ve nasıl çalışıyor ?
Daha çok mail ortamından bulaşan bu virüs, ortadoğu ülkelerinde porno içerikli web sitelerinden ve kaçak spor yayını yapan web sitelerinden, Japonya’da ise anime,kitap ve makale sitelerinden insanları etkilemektedir.
Durmuş Canseven Director
Nasıl yayıldığı ve nasıl çalıştığı konusunda sizleri bilgilendirelim.
- CryptoLocker, ransomware türünde bir zararlı yazılımdır. Türkiye’de ilk dönem çoğunlukla e-postalara atılan yüksek fatura bedelli internet ve telefon faturaları görünümünde fake mailler ile bulaşmıştır. Bu yöntem 2017 yılında yöntem değiştirmiş ülkelerin eğilimli olarak gezdikleri web siteler oluşturularak, insanların bu tuzaklara düşmesi sağlanmıştır.
- Mail ile gelen yüksek ücretli faturalara insanların tıklaması sağlanmış ve siber saldırganlar bir dönem amaçlarına rahatlıkla ulaşmıştır.
- Kullanıcı .zip uzantılı e-fatura yada tarih.tarihli_efatura.zip formatında ki çalıştırılabilir (execute) dosyasına tıkladıkları anda virüs çalışmaya başlamış ve insanlar kendi verilerini kendi elleriyle şifrelemişlerdir. Bu exe dosyaları genelde pdf veya jpeg dosya görünümündedir ve içeriğinde RSA ve AES şifreleme algoritmaları bulundurmaktadır.
- Virüs, şifrelediği her bir klasöre ve kullanıcı masaüstüne “SIFRE_COZME_TALIMATI.html” adında bir dosya atmakta ve içeriğinde, “Uyarı: Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir. Bilgisayarınızda ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde tüm dosyalarınızı kaybedebilirsiniz.” benzeri bir açıklama ile şifrenin çözülmesi için kullanıcılardan para talep etmektedir. Bu parayı genelde bitcoin cinsinden istemektedirler.
- Virüs, 2013 yılında ABD’de ortaya çıkmış ve hızla diğer ülkelerdeki bilgisayarlara yayılmıştır. CryptoLocker ve benzer özellikli CryptoWall virüslerinin dünya genelinde 6.000.000’dan fazla bilgisayarı etkilediği ve 10 trilyonun üzerinde dosyayı şifrelediği tahmin edilmektedir. Virüsün toplam pay içinde %34 ile en çok ABD’yi etkilediği, ülkemiz için bu oranın yaklaşık %14 olduğu bilinmektedir.
- Virüs dosyaları şifrelerken kullanılan algoritma gereği hızlı bir şekilde bunu yerine getirmekte ve bazı varyantlarında saklama ve sıkıştırma algoritmaları da kullanılarak dosyalar silinmiş gibi göstermektedir.
- Antivirüs yazılımlarının bir çoğuna takılmama sebebi ise yine barındırdıkları algoritmadan ötürüdür. Zira verilerini şifrelemek insanların en doğal hakkıdır, fakat şifrelerini bilmediklerini ve kimin bu şifreyi bastığını işletim sistemi anlayamadığı için, sadece kendine verilen görevi yerine getirmekle mükelleftir.
- Virüs, ortam değişkenleri kullanarak, örneğin %AppData% klasörüne (C:\Users\kullanıcı adı\AppData \Roaming) kendini rastgele bir isim ile kurmakta ve bilgisayarın açılışında çalışmak üzere kayıt defterinde (registry) “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run” altına, güvenli modda bile çalışabilecek şekilde anahtar oluşturmaktadır. Ayrıca şifrelediği her bir dosya için “HKCU\Software\CryptoLocker\Files” altına bir dosya ismini belirten anahtar değeri eklemektedir.
- İşin sinsice olan kısmı çalışma ekranının bir gizleme kodu ile kullanıcıya gösterilmemesidir. Program arkaplanda çalışırken kullanıcı bunun farkında olmadan işlemlerine devam etmektedir. Ancak deneyimli kullanıcılar bilgisayarın performansından veya ısısından şüphe ederek olayı farkedebilir fakat bu durumda bile dosyaların yarısı kadarı şifrelenmiş olacaktır.
CRYPTOLOCKER VİRÜSÜNE KARŞI ALINABİLECEK TEDBİRLER VE BULAŞMASI DURUMUNDA YAPILABİLECEK İŞLEMLER
- DC BİLİŞİM olarak virüsten korunmanız için farklı yöntemler geliştirmiş ve bunu müşterilerimize uygulayarak başarılı sonuçlar almış bulunuyoruz. Bunun dışında Kaspersky firmasının son dönemlerde geliştirmiş olduğu yeni yazılım ile bilgisayarlarınızı bu virüsten koruyabilir ve farklı varyantlarını püskürtebilirsiniz.
- Bir pdf dosyasının uzantısı .exe yada .bat olamaz. pdf dosyasının uzantısı .pdf dir. Dosyalarınıza tıklamadan (çalıştırmadan) önce bu durumu, dosyalarınıza sağ tıklayarak özellikler sekmesinden teyit edebilirsiniz. Unutulmamalıdır ki hiç bir kurum size .exe uzantılı bir dosya göndermez ve pdf dosyalarını sıkıştırarak postalamaz.
- Virüs kodu içerisinde şifrelenecek dosyaların uzantılı daha önceden yazarı tarafından belirtilmiştir. Virüs sadece kendisine belirtilen dosyaları şifreleme kabiliyetine sahiptir. Bunun için çok önem arz eden dosyalarınızın uzantılarını “.soyadınız_doğum yılınız” şeklinde değiştirebilir, ihtiyaç halinde tekrar eski haline getirebilirsiniz.
- Virüsün temizlenmesi konusunda ise yapabileceğiniz bir çok işlem ve bir çok yazılım mevcuttur. Virüsün 2017 yılı sonu ortaya çıkan varyantlarında temizlenme işlemi bile meşakkatli bir süreçtir. Dikkatli olunması, donanımlı bir teknik ekipten yardım alınması gerekmektedir.
- Dosyalarınızı geri almanız için bazı yazılımlar mevcuttur. Bunlardan en çok kullanılanı Shadow Explorer yazılımıdır. Bir gölge kopyası arar. Basit bir programdır. Şifrelenmiş dosyalarınızın yakın tarihte bir gölgesi var ise orjinal boyutları ile birlikte size teslim eder. Sistem geri yükleme işlemi sadece sistem dosyaları üzerinde bir değişiklik yapacağı için şifrelenmiş dosyalarınızın geri döndürülmesi konusunda size yardımcı olmayacaktır.
- Bütün herşeyi denediniz fakat yinede başarılı olamadınız. Herşeyi denemiş olmanız bazı teknik detayların ortadan kalkmasını sağlayabileceği için dosyalarınızın açılmasınıda güçleştirecektir. Hiç bir işlem yapmadan bizimle irtibata geçerek durumdan kurtulabilirsiniz. Geçmiş olsun der sağlıklı ve başarılı günler dileriz.