Crypto Virüs Nedir?
Son zamanlarda dünya çapında etkili olan ve pek çok şirketin işlerinin aksamasına neden olan yeni bir virüs türü ortaya çıkmıştır. Crypto virüs olarak tanınan bu virüs çeşidine web master dünyasında “Cryptolocker” adı da verilir. Türkçe’ye “Fidye Virüsü” olarak çevrilen bu virüs, adından da anlaşılacağı üzere hackerler tarafından fidye talep etmek için kullanılır.
Crypto virüs bir bilgisayara bulaştığı anda bütün verileri güçlü bir algoritma ile şifreler. Bu işlemi fark ettirmeden yapar ve veri şifreleme işlemleri sona erdikten sonra kullanıcının karşısına yeni bir pencere açarak belirti verir. Bu pencerede kullanıcıdan gerçek para ödenmesi istenir. Eğer belirtilen para ödenmezse, verilerin şifreleri açılmaz ve kurtarma işlemi yapılamaz.
Veri karşılığında ödenmesi gereken para miktarı zaman geçtikçe faiz uygular. Bu nedenle bilgisayarına Cryptolocker bulaşan kullanıcılar, zamanla para miktarı artmadan gereken parayı ödemek zorundadır. Ödeme sistemi ise yine internet ortamında meşhur olan Bitcoin ile gerçekleşir. Böylece hackerların kimlik bilgileri ve hesap numaraları tespit edilemez.
Crypto Locker Saldırıları Nelerdir?
İnternet ortamında yeni olarak nitelendirilen ve çok hızlı şekilde yayılan Crypto Locker, aslında yine yazılımlardaki buglar nedeniyle yayılım imkânı bulmuştur. Özellikle PDF dosyaları üzerinde yer alan bu tür açıklar, Crypto Locker virüslerinin PDF dosyalarının içerisine gömülmesine olanak tanımıştır. En sık görülen Crypto Locker virüsleri saldırıları şunlardır:
- Phishing Yöntemi
- Rdp Hack Saldırıları
- E-posta ile Sahte Fatura Gönderim Yöntemi
- Sosyal Mühendislik
Crypto Locker Saldırısı Nasıl Yapılır?
Crypto Locker saldırıları konusunda yapılan istatistiklere göre virüsün kullanıcı sistemine sızması için birkaç farklı yöntem izlediği ortaya konmuştur. Virüsün sisteme sızma yöntemi ne olursa olsun, süreç ve sonuç yine verilerin şifrelenmesi ve şifrenin de gerçek para ile kırılması şeklinde gerçekleşir. Crypto Locker saldırılarını tanımak, bu virüse karşı önlem almanın ilk adımıdır. Bu saldırılar şunlardır:
Phishing Yöntemi
Crypto virüs saldırısı arasında birinci ve en meşhur olan yöntem Phishing de denilen oltalama tekniğidir. Bu yöntem ile hackerlar sahte internet siteleri oluşturur ve insanların dikkatsizliklerinden yararlanır. Sahte web sitesine giriş yapan kullanıcılar siteye bilgi girişi yaparsa ya da bazı dosyaları indirip çalıştırırsa, Crypto virüs sisteme aniden sızma yolunu bulmuş olur.
Rdp Hack Saldırısı
Son zamanda sıklıkla yapılan bu saldırı yönteminde, ülkelere göre IP aralıkları taranır ve o saat diliminde açık olan sunucuları belirler. Daha sonra “Brute Force” yani kaba kuvvet denilen yöntem ile sisteme girmeye çalışılır. Özellikle kullanıcı şifreleri ile port bilgileri standart halde bırakılan bilgisayarlarla, uzak masaüstü bağlantı portları olan bilgisayarlar bu tür saldırılardan daha kolay etkilenir.
Rdp hack saldırıları genellikle gece vakitlerinde gerçekleştirilir. Bunun amacı 24 saat açık olan sunucuları tespit etmek ve bu tür serverları hedef almaktır. Bu saatlerde yapıılan saldırıların diğer amacı ise virüsün sızdığı sunuculardaki bilgisayar verileri ile önemli dosyalar özel algoritmik şifreler ile kilitlenirken, sisteme gece vakti müdahale edecek kişinin olmamasıdır.
E-posta ile Sahte Fatura Gönderim Yöntemi
Crypto Locker ile siber saldırı yöntemlerinden bir diğeri de fidye yazılımların e-postaya eklenerek kullanıcılara gönderme yöntemidir. Buradaki amaç kullanıcıyı korkutmak ve yanlış yönlendirmektir. Özellikle güvenlik teşkilatı ya da devlet kuruluşu gibi yerlerden gönderilen e-postalar hazırlanır. Böylece kurbanın mutlaka e-postayı açması sağlanır. Bu yöntem ile gönderilen dosya türleri şunlardır:
- WSF, JSE, JS
- Docm, Docx, Doc
- HAT
Kullanıcı eğer Microsoft Office dosyalarından birini kullanıyorsa, dosya ile birlikte açılması gereken bir makro çalıştırmalıdır. İşte tam da bu senaryo ile Crypto Locker ile internet dolandırıcılığı gerçekleştirilir. Çünkü bu tür e-postaların gönderim konusu fatura, CV ya da müşteri notu gibi isimler ile kodlandığında kullanıcıya çok önemli e-postalardan biriymiş gibi yansıtılır.
Diğer bir Crypto Locker saldırısında senaryo, web kaynaklarından biri tarafından çalıştırılan farklı bir kodun tuzak olarak kullanılan başka bir web sayfasına yönlendirmesi ile işler. Bu tür tuzak sayfalar, kurban seçilen kullanıcının bilgisayarındaki yazılımsal bugları tarar ve exploitler ile sızar. Saldırı yapılırken genellikle kullanılan ögeler şunlardır:
- Microsoft Silverlight
- Internet Explorer
- Adobe Flash
Sosyal Mühendislik Yöntemi
Sosyal mühendislik yöntemi ile yapılan Crypto Locker saldırıları, e-posta yöntemi ile benzer şekilde işler. Gönderilen e-posta isimleri ve içerikleri genellikle kullanıcıyı korkutacak veya tedirgin edecek şekilde dizayn edilir. Örneğin, standart GSM ya da internet faturası gibi tasarlanan e-postalarda borç hanesine 500 TL gibi yüksek rakamlar yazılır. Bu sayede kullanıcı dehşete kapılır ve ilgili linke tıklar.
Hacker attacking internetCrypto Locker Nasıl Engellenir?
Sisteme sızabilen Crypto Locker virüsünü silmek oldukça zor olsa da virüsün kopyasını silmek kolaydır. Crypto virüs engelleme konusunda bilinmesi gereken iki temel şey vardır. Birincisi virüsün yazılım sistemlerinde gösterdiği tipik davranışlar, diğeri ise virüsün şifreleyebildiği dosya türleridir. Gerekli bilgiler elde edildikten sonra korunma ve engelleme işlemlerine geçilir. Virüsün sistemdeki tipik davranışları şunlardır:
- Virüsün erişebildiği ağ sürücüleri ile yerel ağ üzerindeki tüm dosyalar şifrelenir.
- Virüs tipine bağlı olarak yazılım başka bir formda şifreleme anahtarı da isteyebilir.
- Hedef alınan dosyaların gizli formdaki yedekleri tamamen silinir.
- Yerleştirilen şifreleme anahtarı silinir.
- Virüs, yazılımın bağlı olduğu sunucuya bulaştığına dair bir komut gönderir.
- En son ise kullanıcıya, hacker tarafından istenen para miktarı bir mesaj yolu ile iletilir.
Crypto Locker’ın şifrelediği dosya kategorileri şunlardır:
- Doküman dosyaları: doc, docx, pdf, ppt, pptx, rtf, odt, ods, djvu
- Sıkıştırılmış dosyalar: rar, zip, gz, tar, 7z
- Veritabanları: sql, 1cd, sqlite, mdb
- Oynatıcılar: avi, wav, mp3, mkv, flac, mp4, wmv, mov
- Görüntüler: jpg, jpeg, 3ds, max, dwg, cdr, psd, png, bmp, gif
- Diğer dosyalar: kwm, torrent, php, c, cpp, iso, cer, pas, pst, lnk, key.
Crypto virüs temizleme işlemi oldukça karmaşık bir süreçtir. Çünkü sistemde şifrelenen veriler karmaşık yapıda anahtar oluşturma şemasına sahiptir. Sıklıkla AES algoritması kullanılır ve AES anahtarının kendi kodları da RSA algoritmasına göre ikinci bir şifreleme ile korunur. İlk anahtarın kendisi şifrelenmemiş olsa bile, günümüz bilgisayar teknolojisi AES-256 (128) algoritması ile oluşturulan bir şifreyi kırmak için yetersizdir.
Bunların yanı sıra karşılaşılan bir diğer zorluk ise şifreleme anahtarının her farklı kullanıcı için yeniden oluşturulmasıdır. Diğer bir deyişle, herhangi bir bilgisayar için Decryptor kullanılsa dahi diğer bilgisayarlar için aynı çözme yönteminin geçersiz olacağıdır. Şifreli dosyaları çözmenin tek yolu, algoritmanın hackerlar tarafından insan eli ile oluşturulması ya da hatalı algoritma kullanılmasıdır.
Crypto virüs engellemenin en önemli yolu sistemde mutlaka güçlü bir antivirüs yazılımı kullanmaktır. Kendisini periyodik olarak güncel tutan anti virüs yazılımları, sistemsel olarak koruma sağlar. Crypto virüs engellemenin kullanıcı tarafında ise e-posta eklerini direkt çalıştırmama yer alır. Mutlaka açılması gereken e-postalar olursa, güncel antivirüs programı ile ekleri taranmalı ve öyle açılmalıdır.
Crypto virüsten korunmanın temel yollarından biri de bu konuda bilgili olmak ve daima yapılan her işlemin sonucunu düşünmektir. Virüs bulaştıktan sonra şifreli dosyaların algoritmalı locklarını çözmeye çalışmaktansa, temel amaç bulaşmadan önlem almaktan geçer. Bu hususta aşağıdaki temel işlemlere dikkat edilerek Crypto virüsten korunma sağlanabilir:
- Resmî kurumlar ile kamu kurumlarından gelmiş gibi görünen e-postaları mutlaka virüs taraması yaparak açın. Eğer e-postada yer alan dosya uzantısı “.zip, .exe, .rar, bat, vbs, scr. com” ise asla açmayın.
- PDF uzantılı dosyaları açmak için kullanılan Adobe Acrobat Reader programını her daim güncel tutun. Kendiniz bu programı bireysel olarak yüklememişseniz dahi bilgisayarınızda yüklü olması olası olabileceği için güncel olduğunu kontrol edin.
- Eğer bilgisayarınızda Flash Player kullanıyorsanız, güvenlik açığı olmasına karşın, oynatıcının mutlaka güncel sürümünü kullanmaya özen gösterin. Aksi halde tıkladığınız herhangi bir sahte sitede açacağınız videodan bile Crypto virüs bulaşabileceğini unutmayın.
- Doğrudan fidye virüslerini hedef alan ve bulaşsa dahi şifreleme yapmasını engelleyen anti-ransomware kullanın. Son dönemde popüler olan ve Crypto virüs türlerine karşı etkin koruma sağlayan Malwarebytes Premium yada Emsisoft Anti-malware gibi yazılımları tercih edin.