Güncel CryptoLocker Saldırısına Dikkat

Transkript

1 1 / 16

2 2 / 16

3 Ülkemizdeki internet kullanıcılarını hedef alan KriptoKilit saldırıları daha önce de gerçekleşmişti. [1,2] Fakat açık uzantılara birbu şekilde sefer sahip KriptoKilit CryptoLocker dosyaları güncel şifrelemekte olarak sürümü tanıtan ve ile bu daha buverilerin yeni büyük zararlı kurtarılması bir yazılım, tehdit olarak için yinekullanıcılardan kullanıcılara karşımıza çıktı. ait belli Kendini Şifre çözme yazılımı adında bir yazılım satın almalarını istemektedir. Bulaşma Şekli Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir. Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta 3 / 16

4 Şekil 1 de gösterildiği üzere fatura tutarı yüksek bir miktardır. Faturanın yüksek tutarından ötürü fatura hakkında bilgi almak isteyen kullanıcılar faturayı görmek istediklerinde Şekil 2 de gösterilen web adresine yönlendirilmektedirler. Şekil 2- Fatura İndirme Sayfası 4 / 16

5 Kapçayı girip indir butonuna tıklanıldığında.zip uzantılı bir dosya indirmektedir. Bu dosyanın içinde ise.exe uzantılı fatura dosyası bulunmaktadır. (DİKKAT: telefon, internet, banka vb sitelerden hiçbir zaman.zip uzantılı.exe uzantılı bir dosya içeren mail GELMEZZZZ) Şekil 3-İndirilen Zararlı Dosya 5 / 16

6 İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına bulaşmakta ve içi boş olmayan.doc,.docx,.pdf,.txt,.7z,.rar,.zip tipinde olan dosyalar şifrelenmektedir. Şifrelenen dosyaların yeni uzantıları.encrypted olmaktadır. Şekil 4 te bu durum gösterilmektedir. Şekil 4- Şifrelenen Veriler (Uzantılarına baktığınızda.encrypted oluyor) 6 / 16

7 Şekil 5-yazılım Verilerin Şifrelenmesinden Sonra Ekrana Çıkan Görüntüsonra Zararlı bilgisayardaki şifreleme işlemini bitirdikten ekrana Şekil 5 teki çözme bir sayfa yazılımı çıkarmaktadır. adı altında Görüldüğü birverileri yazılımın üzere satın zararlı alınmasını yazılım şifrelenen istemektedir. veriler karşılığında Şifre gibi 7 / 16

8 Şekil 6Şifre Çözme Yazılımı Satın Alma Şekli ve Tutarı Şekil 5 yazılım hizmeti veren tesonuçları çıkan sunucu üzerinden erişilebilen tıklandığında aslında ağı üzerinde olan fakat bir tor proxy Şekil 6 sayfasına yönlendirilme yapılmaktadır. daki gibi kişiye özel bir web Şifre 2398 çözme liradan yazılımının 1198 liraya satın kadar alınması indirim yapmaktadır. konusunda ise 96tor saat içinde satın alımı durumunda Zararlı Virustotal ilkgörüntüdeki yayıldığında antivirüs firmalarının büyük bir çoğunlu tarafından tanınmamıştır. Şekil 7 delinke gösterilmektedir. 8 / 16

9 Şekil 7- Antivirüs Firmalarının CryptoLocker Sonuçları Dikkat Edilmesi Gerekenler CryptoLocker gibi eposta yoluyla gelen zararlı yazılımlardan etkilenmemek için gelen eposta adreslerine çok dikkat edilmelidir.şekil 8 de gerçek bir ttnet fatura eposta adresi ile Şekil 9 da zararlı yazılımının eposta adresleri gösterilmektedir. 9 / 16

10 Şekil 8- Gerçek TTNet Fatura Gönderim Adresi (Türkiyedeki kurumsal firmaların çoğunda web site adresinin sonunda.tr ifadesini görürsünüz. Şekil 9- Sahte Fatura Gönderim Adresi TTNet'in fatura görüntüleme adresi "https//:efatura.ttnet.com.tr" iken zararlı yazılımın kullandığı ise "efatura.ttnet-f 10 / 16

11 atura.info" efatura.ttnet-fatura.biz" adresleridir. ve Eposta olarak gönderilen faturaların uzantılarına dikkat edilmelidir. CyrptoLocker zararlı yazılımı bir.exe dosyasıdır. Oysaki TTNet faturaları pdf şeklinde göstermektedir. Dosyaların uzantıları bilgisayarlarda normalde görünmemektedir. Dosya uzantılarını görebilmek için klasör ayarlarından bilinen dosya türleri için uzantılarını gösterme ( Hide extensions for known types ) ayarı değiştirilmelidir. Şekil 10 da bu ayarlama gösterilmektedir. 11 / 16

12 12 / 16

13 Şekilzamanda 10Uzantılarının Gösterimi İçin Yapılandırma Aynı (Şekil Ttnet faturaları kullanıcılara faturaları göstermektedir. 2 dedosya isehttp:// sahte sayfa gösterilmiştir.) (Referanslar: SGE Osman Pamuk, yerine Alican browserda Akyol, TÜBİTAK BİLGEM ) indirtmek BU VİRÜS BİLGİSAYARA BULAŞINCA NE OLUR: - TÜM SÜRÜCÜLERDEKİ çalışma dosyalarımız şifrelenmiş olur ve şifrelerini çözene kadar bir daha kullanılmaz hale gelir. - Yedeğimiz varsa bilgisayardaki virüsü temizledikten sonra geri dosyalarımızı kopyalayabiliriz. - Eğer yedeğimiz yoksa virüsü bulaştıran kişi zaten mail adresini klasörlere bırakıyor ve sizden dosyalarınızı geri kurtarması için 1.000$-2000$ hesabına para yatırmanızı istiyor. Yatırsanız bile kurtaracağı meçhul. HANGİ ÖNLEMLERİ ALMALIYIZ: - Bilmediğimiz kişilerden gelen mailleri açmamalıyız - Muhasebe vb. çok önemli bilgi içeren bilgisayardan internete girmemekte fayda var. 13 / 16

14 - Antivirüs Programları Yüklemeliyiz. ve Programdan Mail güvenliğini en üst düzeye çıkarmalıyız. - Trojan temizleme programları yüklemeliyiz. - Mutlaka EN AZ 2 TANE HARİCİ DİSKİMİZ Olmalı - (2 adet 1TB diske en fazla 300TL-400TL verirsiniz ama birkaç bin dolar vermekten ve riske atmaktan daha iyidir.) 14 / 16

15 1. Diske GÜNLÜK YEDEK 2. Diske HAFTADA BİR YEDEK ALMALIYIZ. VE BU DİSKLERİ ASLA BAŞKA BİR İŞ İÇİN KULLANMAMALIYIZ. Yedek sonrasında çıkartıp çok sıcak ve nem olmayan bir ortamda saklamalıyız. Benim Alışveriş sitemden Disk almak isterseniz. hrinfirsatlari.com (Ürün hemen elinize geçmesi için lütfen HIZLI GÖNDERİ ürünleri seçiniz.) 15 / 16

16 16 / 16