Hoş Geldiniz!

Ziyaretiniz için Teşekkürler, Benimle iletişim kurmak isterseniz... Contact Us

CryptoLocker Saldırısı / Sahte Mailler…

Bugün eski mailleri tararken 2015 de yollamış olduğum bu makale dikkatimi çekti, incelediğimde halen geçerliliğini koruduğunu görünce İnternet de faydalanmak isteyen olur düşüncesiyle bloguma aktarmaya karar verdim. umarım birilerine faydası dokunur.

makaleyi okuduktan sonra anlamadığınız yada yapamadığınız bir konu olursa lütfen benimle iletişime geçmekten çekinmeyiniz.

Güncel CryptoLocker Saldırısına DikkatÜlkemizdeki İnternet kullanıcılarını hedef alan KriptoKilit saldırıları daha önce de gerçekleşmişti.[1,2] Fakat bu sefer KriptoKilit güncel sürümü ile daha büyük bir tehdit olarak karşımıza çıktı.  Kendini açık bir şekilde CryptoLocker olarak tanıtan bu yeni zararlı yazılım, yine kullanıcılara ait belli uzantılara sahip dosyaları  şifrelemekte ve bu verilerin kurtarılması için kullanıcılardan “Şifre çözme yazılımı” adında bir yazılım satın almalarını istemektedir.
Bulaşma Şekli
Zararlı yazılım fatura görüntüsü verilmiş sahte e-postalar göndermektedir.Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen E posta Şekil 1’de gösterildiği üzere fatura tutarı normal şartlara göre hem makul hemde yüksek bir miktardır. Maildeki yüksek rakamı gören kullanıcı o anlık panikle fatura hakkında daha fazla bilgi almak amacıyla faturayı görmek istediğinde Şekil 2’ de gösterilen web adresine yönlendirilirler. 

 

 

 

Şekil 2- Fatura İndirme Sayfası
Kapça’yı girip indir butonuna tıklanıldığında “.zip” uzantılı bir dosya indirmeye zorlayan sistem. Dosyanın içerisindeki  “.exe” uzantılı fatura görüntüsü verilmiş olan dosyayı çalıştırmak için tıklatması gerekmektedir.

Şekil 3-İndirilen Zararlı Dosya

zaten o anlık dalgınlıkla ve hedefinde fatura görmek isteyen kullanıcı kolayca istenileni yapmaktadır. İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına yayılmakta ve içi boş olmayan .doc, .docx, .xlsx, .pdf, .txt, .7z, .rar, .zip vs. türündeki tüm olan dosyaları şifrelenmekte dir. Şifrelenen dosyaların yeni uzantıları şu anlık encrypted olmaktadır. Şekil 4’te bu durum gösterilmektedir. bu geçmişte değiştiği gibi gelecekte te değişecektir. Artık zaten bir önemi de yok. şifrelenen dosya bizim için büyük kayıp Geçmiş olsun!


Şekil 4- Şifrelenen Veriler

Şekil 5- Verilerin Şifrelenmesinden Sonra Ekrana Çıkan Görüntü

Zararlı yazılım bilgisayardaki verileri şifreleme işlemini bitirdikten sonra ekrana Şekil 5’teki gibi bir sayfa çıkarmaktadır. Görüldüğü üzere zararlı yazılım şifrelenen veriler karşılığında Şifre çözme yazılımı adı altında bir yazılımın satın alınmasını istemektedir.

Şekil 6- Şifre Çözme Yazılımı Satın Alma Şekli ve Tutarı

Şekil 5’ te çıkan görüntüdeki linke tıklandığında aslında tor ağı üzerinde olan fakat bir tor proxy hizmeti veren sunucu üzerinden erişilebilen Şekil 6’ daki gibi kişiye özel bir web sayfasına yönlendirilme yapılmaktadır.

Şifre çözme yazılımının satın alınması konusunda ise 96 saat içinde satın alımı durumunda 2398 liradan 1198 liraya kadar indirim yapmaktadır.

Zararlı yazılım ilk yayıldığında antivirüs firmalarının büyük bir çoğunlu tarafından tanınmamıştır. Virustotal sonuçları Şekil 7’de gösterilmektedir.

Şekil 7- Antivirüs Firmalarının CryptoLocker Sonuçları

Dikkat Edilmesi Gerekenler 

CryptoLocker gibi eposta yoluyla gelen zararlı yazılımlardan etkilenmemek için gelen eposta adreslerine çok dikkat edilmelidir.Şekil 8’de gerçek bir ttnet fatura eposta adresi ile Şekil 9’da zararlı yazılımının eposta adresleri gösterilmektedir.

Şekil 8- Gerçek TTNet Fatura Gönderim Adresi 

 

Şekil 9- Sahte Fatura Gönderim Adresi

TTNet’in fatura görüntüleme adresi “https//:efatura.ttnet.com.tr” iken zararlı yazılımın kullandığı ise efatura.ttnet-fatura.info ve efatura.ttnet-fatura.biz” adresleridir.

Eposta olarak gönderilen faturaların uzantılarına dikkat edilmelidir. CyrptoLocker zararlı yazılımı bir .exe dosyasıdır. Oysaki TTNet faturaları pdf şeklinde göstermektedir. Dosyaların uzantıları bilgisayarlarda normalde görünmemektedir. Dosya uzantılarını görebilmek için klasör ayarlarından bilinen dosya türleri için uzantılarını gösterme (Hide extensions for known types) ayarı değiştirilmelidir. Şekil 10’da bu ayarlama gösterilmektedir.

Şekil 10- Dosya Uzantılarının Gösterimi İçin Yapılandırma

Aynı zamanda Ttnet faturaları kullanıcılara faturaları indirtmek yerine browserda göstermektedirŞekil 11‘ da gerçek Ttnet fatura görüntüleme ekranı gösterilmektedir. Şekil 2’de ise sahte sayfa gösterilmiştir.

Şekil 11- Gerçek Fatura Görüntüleme Sayfası 

Sonuç olarak, internetten indirilen dosyalar, epostalar açılmadan önce dikkatle okunmalıdır. Epostayı gönderen adreslere, epostanın içeriğine, indirilen dosyanın uzantısına dikkat edilmeli ve emin olunduktan sonra dosyalar açılmalıdır. İndirdiğiniz dosyalarınıza exe uzantılı veri olmamasına özellikle dikkat edilmeli.

 

  • Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir yerde bir yedeğini daha tutun. (Flash Bellek, Harici Disk, Dvd Cd)
  • D bölümüne atılan yedekleriniz hiçbir işe yaramayacaktır. Bu duruma göre kendinizi güvene alınız! Artık herkesin bağımsız taşınabilir bir HDD cihazı olmalı maliyeti ortalama 200 TL.
  • Özellikle bilgisayar başında iken uyanık olun, Bir mailin kimden geldiği neden geldiği, ne istediği, Sorgulamasını iyi yapınız!
  • Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Yani hiç düşünmeden fişini çekin gitsin! Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır. Tabi bu sadece Crypto Virüsü için geçerlidir (Kaynak : difose)
  • Virüs artık her gün malileştiğiniz ve zombi olmuş bir kontağınızdan gelebilir. Bu kişiden gelen mailler güvenlidir nasılsa, düşüncesi kesinlikle yanlış!
  • Bilgisayarınızdaki klasör ayarları kısmındaki, dosya uzantılarını gösteriniz sekmesini aktif ediniz ve exe, bat, msi, Zip, rar  vbs gibi uzantıları bulunan mail eklerini kimden gelirse gelsin açmayınız. Açmak gerekiyorsa da mutlaka konu hakkında açmadan önce bana yada Bilgi İşleminize bilgi geçiniz.
  • Virüs olduğundan şüphelendiğiniz bir maili kendi aranızda ilet yolu ile paylaşmayınız, Biri yanlışlıkla açabilir!
  • Zaman bilişim cağı, her gecen gün Bildiğimiz hayatlar sandığımızın aksine dijital ortamda daha çok uyum sağlamakta, nasılsa trafikte, yada gerçek hayatın ticaretinde dikkatli davranıyorsak, burada da yapmamız gereken o, Dijital ortamdaki kimliğimiz sandığınızdan daha fazla gerçek hayatımızı etkilemekte, kısacası eskisi gibi bilgisayarı kapatınca artık olanlar, olaylar orada kalmıyor tam aksine büyüyerek ve hızlanarak devam ediyor.
  • Üzülerek söylüyorum yukarıdaki kaynakçada da yazdığı gibi özellikle aldığınız virüs Crypto ise kurtarmak diye bir şey 31.08.2015 Tarihine kadar henüz geliştirilemedi. Geliştirilen her yöntem için hackerler üşenmeden açıklarını kapatarak daha güncelini oluşturdu. Şuan için tek çözüm iyi korunmaktır.

 

Bir Cevap Yazın