Cryptolocker ve dosya şifreleyiciler (dosya şifreleyen fidye yazılımları)

Fidye yazılımı, siber suçlular tarafından mobil telefonlar, bilgisayarlar ve diğer bağlantılı cihazlar üzerindeki dijital dosyaları fidye için elinde tutup, bu dosyalara yeniden erişim için para talep ettikleri her türlü zararlı yazılımdır. Fidye yazılımları, son zamanlarda virüs yazarlarının firmalardan ya da kişilerden illegal yollardan para kazanmak için kullandığı popüler yollardan biri oldu. Son dönemde bir çok şirket için korkulu bir sorun haline dönüştü.

ESET fidye yazılımı taktiklerini kullanan pek çok zararlı yazılımı “Filecoder” ismi altında sınıflandırıyor ancak virüs yazarları bu tip zararlı yaratabilmek için Cryptolocker ve Filecoder özelliklerini bir şekilde birleştiriyorlar. Fidye yazılımı belirli dosyaları şifreleleyip ardından şifre çözme anahtarını sağlamak için kurbandan para ödemesini istiyor. Bazen fidye yazılımları paranın ödeneceği bir son tarihi içeriyorlar ve böylece paranın ödenmesi konusunda kurbanın elini çabuk tutmasını sağlıyorlar. Ödeme yapılıp teyit alındığında program, dosyaların şifresini açar; aksi durumda dosyalar erişilemez olur ve kaybedilir.

 

Virüsün Amacı

Bu virüsün amacı, kullanıcıların dokümanlarını Word, Exel gibi (.doc, .xls, .pdf vb. uzantılı) şifreleyip, kullanıcıların bu dokümanlara tekrar ulaşabilmek için para ödemesini sağlamaktır.

Sahte E-postaları Anlama Yöntemi

Virüs yazarları zararlıyı yaymadan önce, pek çok antivirüs tarafından statik yöntemlerle tespit edilip edilemediğini test ederler. Bu yüzden, son kullanıcı korumasında, proaktif davranışsal tespit ve bulut tabanlı çözümleri de içeren çok katmanlı koruma yaklaşımı kullanılmalıdır.

ESET antimalware çözümleri, proaktif sezgisel tarama ve reaktif tespiti de içeren bir çok koruma katmanı sağlar. Tüm durumlarda, antivirus son tespit imzaları ile en güncel olmalı ve ESET’in bulut tabanlı dosya bilinirlik sistemi LiveGrid®, en iyi reaksiyon zamanı ve maksimum koruma için mutlaka aktif edilmiş olmalı. Ayrıca, Exploit Blocker, Advanced Memory scanner ve yeni tehditleri tespit edebilen diğer yeni özellikleri kullanıp daha üst düzey bir korumaya sahip olmak için mutlaka ESET güvenlik yazılımlarının en son sürümlerini kullanmanızı öneriyoruz.

Şüphesiz ki, antimalware yazılımı tüm koruma bileşenlerini kapsamaz veya diğer temel koruma katmanlarının yerini tek başına tutamaz. Bu temel koruma katmanları, diğer uygulamaların güncel olması, yedeklerin düzgün alınması, güvenlik prosedürlerinin doğru uygulanması ve kullanıcıların sosyal güvenlik hileleri karşısında bilinçlendirilmesi eğitimlerinin sürdürülmesini kapsar.

Alınması Gereken Tedbirler

ESET Güvenlik ürününüzün doğru ayarlandığından emin olmak için lütfen aşağıdaki işlemleri yapın.

Cryptolockerlar nasıl yayılır?

Cryptolockerlar dünyanın farklı bölgelerinden büyük saldırı dalgaları halinde hızlı bir şekilde yayılırlar. Bu türden yayılmalarda en çok kullanılan bulaşma yöntemi zararlı eklerle oltalama taktikleri içeren e-postalardır. Mesaj kurbanlara göre yerelleştirilmiş, yani kurbanın bulunduğu ülke şartlarına göre özelleştirilmiş olabilir. Örneğin: Türkiye’de hedeflen kurbanlar için mail içeriği, telekom firmalarından gelen yüksek rakamlı faturalarmış gibi görünebiliyor. Potansiyel kurbanın bulunduğu yer, kurbanın e-posta adresinin ülke domaininden tespit edilebiliyor ya da domain’i barındıran servis sağlayıcı kullanılarak tespit edilebiliyor. Eğer alıcı sosyal güvenlik hilelerinin kurbanı olup eki açarsa ve antivirus tarafından da bloklanmazsa truva atı sistemde çalışır. Son zamanlarda bu ek ile gelen truva atı, cryptolocker’ı indirip çalıştıran bir downloader gibi davranıyor. Cryptolocker şifrelemek için pek çok dosya tipini arar ve şifreleme işlemi bitince kullanıcıya, dosyalarına geri kavuşmak için para göndermesi gerektiği mesajını içeren bir uyarı gösterir.

ESET Güvenlik ürününüzün doğru ayarlandığından emin olmak için lütfen aşağıdakileri yapın.

A. ESET
Güvenlik Ürününüzü Güncelleyin

Cryptolocker zararlı yazılımları sürekli olarak yeni ve daha gelişmiş sürümlerini çıkarıyor. Bu nedenle diğer uyarılara ek olarak ve saldırıya açık olmamak için bilgisayarınızın en son virüs güncellemelerini alması çok önemlidir. ESET ürünleri, eğer geçerli bir lisansa sahipseniz ve aktif bir internet bağlantınız varsa her 1 saatte güncellemeleri kontrol eder ve varsa güncellemeleri alır.

B. Advanced Memory Scanner ve Exploit Blocker’ı Aktif Edin

Bunlar, antivirüs programlarının tespitinden kaçmak için kodlarını karıştıran ve/veya şifreleyen zararlı yazılımlara karşı korunmayı güçlendiren yeni tasarlanmış ESET algoritmalarıdır. Advanced Memory Scanner bir kere zararlı yazılımın davranışına bakar ve bellekte ortaya çıkarır, Exploit Blocker ise exploit benzeri davranışlara karşı prosesleri izler ve şüpheli davranışları engeller.

C. LiveGrid’i Aktif Edin

Bazı durumlarda, LiveGrid özelliği aktive edilmiş ESET ürünleri, yeni virüslerin tespitinde tamamen güncel imza tabanlı tespite göre çok daha hızlı cevap verebiliyor.

Engelleme ve koruma

Şifrelenmiş dosyalar temel olarak onarılabileceğin ötesinde zarar görmüş olarak kabul edilir. Cryptolocker’ın sisteminiz ve verileriniz üzerindeki etkisini minimize etmek için aşağıdaki adımlara dikkat etmenizi öneriyoruz. Eğer sistem doğru bir şekilde hazırlanmış ve güvenli hale getirilmişse veri kaybı riski korunmayan bir sisteme göre ciddi bir şekilde daha az olacaktır.

A. Verilerinizi Yedekleyin

Fidye yazılımlarını etkisiz kılacak tek ve en iyi çözüm, düzenli olarak güncellenmiş yedeklerdir. Cryptolocker’ın maplenmiş ve sürücü harfi atanmış sürücüler üzerindeki, hatta bazen maplenmemiş sürücüler üzerindeki dosyaları şifreleyebildiklerini unutmayın. Bu USB bellekler gibi harici sürücüleri, pek çok ağ ve bulut dosya depolamasını da içermektedir. Bu nedenle düzenli yedekleme yapınızda, eğer aktif yedek alınmıyorsa düzenli olarak harici sürücüyü veya yedekleme servisinin bağlantısını kesmeye de dikkat etmek gerekir.

B. Gizli Dosya Uzantılarını Gösterin

Bir cryptolocker zararlısı sıklıkla “.pdf.exe” uzantılı bir dosya ile gelir. Bu Windows’un bilinen dosya uzantılarını saklama davranışının aktif olmasına dayanır. Tam dosya uzantılarını görmeyi etkinleştirmek şüpheli dosyaları kolayca fark edebilmeyi kolaylaştırır.

C. E-postalar İçindeki Exe’leri Filtreleyin

Eğer gateway e-posta tarayıcınız dosya uzantısına göre filtreleme yeteneğine sahipse , “.EXE” dosya uzantısına sahip maillleri veya exe ile biten iki dosya uzantısı olan dosyaları (“*.*.exe” dosyalar gibi) filtreleyin. Eğer kullanıcılarınız işlerinde bu türden exe uzantılı mailler paylaşıyorsa e-posta ile paylaşmak yerine bulut tabanlı dosya paylaşım servislerini de kullanabilirler.

D. Tanımadığınız Kişilerden Gelen E-posta ve Mesajların Eklerini Açmayın; İçindeki Linklere Tıklamayın

Crytolocker’ın en tipik bulaşma şekli, bankalardan, kargo firmalarından, telekom firmalarından gelmiş gibi görünen e-postaların eklerinin çalıştırılması veya içindeki linklere tıklanması ile olmaktadır. Kullanıcılar bilmedikleri, tanımadıkları şüpheli e-posta eklerini açmamaları, linklere tıklamamaları konusunda eğitilmelidirler; farkındalıkları oluşturulmalıdır.

E. AppData/LocalAppData Klasörlerinden Dosya Çalıştırmayı Engelleyin

Cryptolocker’ın dikkat çekici ve fark edilen bir özelliği de çalıştırılabilir dosyasını AppData veya Local AppData klasöründen çalıştırmasıdır. Windows içinden veya saldırı koruma sistemlerinden bunu engelleyecek kurallar girebilirsiniz. Eğer normal bir program bu lokasyondan çalışmak isterse ilgili kuralda bir ayrıcalık oluşturulabilir.

F. Uzak Masaüstü Özelliğini Kapatın

Cryptolocker/Filecoder zararlısı sıklıkla, Windows makinelere uzaktan bağlanmaya yarayan Remote Desktop Protocol (RDP)’u kullanan makineleri hedef alır. Siber suçluların RDP ile saldıracakları makineye oturum açıp güvenlik yazılımlarını devre dışı bıraktıkları da bilinen olaylardan biridir. ESET güvenlik yazılımları, devre dışı bırakmaya karşı kendisini savunan araçlara sahiptir ancak en iyisi eğer ortamda kullanılmıyorsa RDP’yi devre dışı bırakmaktır.

RDP’yi devre dışı bırakmak için;

• Bilgisayarıma sağ tıklayıp özelliklere tıklayalım,

• Sol tarafta uzak bağlantı ayarına tıklayalım,

• Uzaktan yardım kısmındaki “Bu bilgisayara uzaktan yardım bağlantılarına izin ver “ seçeneğini kaldıralım.

• Uzak Masaüstü kısmından “Bu bilgisayara uzak bağlantıya izin verme” seçeneğini işaretliyelim.

• Uygula butonuna tıkladıktan sonra Tamam Butonuna basalım. RDP devre dışı olacaktır.

G. Yazılımlarınızın Yamalarını ve Güncellemelerini Yapın

Virüs yazarları sıklıkla bilinen açıklara sahip güncel olmayan yazılımları kullanan kullanıcıların sistemlerine sessizce sızarak virüsleri bulaştırabilmektedir. Eğer yazılımlarınızı sıklıkla güncelliyorsanız fidye yazılımlarının bulaşmasına karşı daha korumalı olduğunuz söylenebilir. Bazı yazılım üreticileri güncellemelerini düzenli olarak (Microsoft ve Adobe her ayın 2. salı günü) yayınlamaktadır, ancak bazen acil durumlarda bu standart zamanlar dışında da güncelleme yayınlanır.

H. Bilinen Bir Güvenlik Yazılımı Kullanın

Virüs yazarları, tespitten kaçabilmek için sıklıkla yeni türevler yayınlarlar. Bu da çok katmanlı güvenliğe sahip olmanın neden önemli olduğunu gösterir. Sistemin içine sızabilseler bile pek çok zararlı yazılım, zararlı etkilerini gösterebilmek için uzak komutlara ihtiyaç duyarlar. Eğer antivirüs yazılımınızın tanımadığı çok yeni bir fidye yazılımı türevi ile karşılaşırsanız, bu zararlı şifrelemeye başlamak için komuta&kontrol (C&C) sunucusuna bağlanırken tespit edilebilir. ESET’in son yazılım seti kendi komuta ve kontrol sunucusuna bağlanmaya çalışan zararlıları tespit edebiliyor.

I. Bilinen Son İyi Duruma Dönebilmek İçin Sistem Geri Yükleme Kullanın

Eğer virüs bulaşmış Windows sistemde Sistem Geri Yükleme özelliği aktifse makinenizi temiz duruma döndürme ve şifrelenmiş dosyaların “Shadow” dosyalardan geri döndürülme şansı vardır. Ancak zararlı yazılımlar hızlıca bu imkanları düşünüp çözüm üretebilirler. Örneğin güncel fidye yazılımları bu shadow kopyaları da silip dosyaların bunlardan geri döndürülmesini engelleyebiliyorlar. Cryptolockerlar, shadow dosyaları silme işlemine, ilk çalıştırıldıklarında normal bir Windows prosesi gibi başlar ve kullanıcılar ve sistem yöneticileri fark etmeden silmeyi bitirir.

J. Yönetici Ayrıcalıklarına Sahip Olan Bir Hesap Yerine Standart Bir Kullanıcı Hesabı Kullanın

Sistem yönetici haklarına sahip olan bir kullanıcı adı kullanmak her zaman bir güvenlik riski oluşturur, çünkü zararlı yazılım bu hesaplar sayesinde en yüksek haklarla kolayca her yere bulaşabilir. Kullanıcıların günlük işler için her zaman limitli bir kullanıcı hesabı kullandığından emin olun ve sistem yöneticisi hesabını sadece, kesin gerekli olduğu durumlarda kullanın. UAC’yi de devre dışı bırakmayın.

K. Çalışanların Güvenlik Eğitimine Önem Verin

En çok bilinen virüs bulaştırma yöntemi, kullanıcıları çeşitli yöntemlerle kandırarak güvenlik açısından yapmamaları gereken bir şeyler yaptırmayı sağlayan sosyal mühendislik yöntemidir. Kullanıcıların bu türden sosyal mühendislik hilelerine kanmamaları için bu yöntemler hakkında kullanıcıya bilgi verilmeli bu eğitimlerin içeriği yeni çıkan saldırı yöntemleriyle güncellenmelidir.