Sizlerle hizmet verdiğim şirket çalışanları için yazdığım makaleden bir örnek paylaşmak istedim. Belki buna benzer bir mail atarak client’lerinizi bilinçlendirmek istersiniz.

Bugün itibariyle Ransomware “CryptoLocker” zararlısının yeni bir türünün Phishing (oltalama) ve saldırı amaçlı Netwok’e yayıldığının bilgisini paylaşılmıştır. Yeni zararlının adı BAD RABBİT. Eski maillerimden de takip edenler yada yakalanma tecrübesine sahip olanlar bileceklerdir.
Bu günden önceki dönemlerde türlü isimlerle evrim geçiren zararlı Cryptolocker, Cryptowall, TeslaCrypt, AxCrypt, TeslaCrypt Petya, Kryto Locker, Wannacry, Arena vb. gibi daha bir sürü farklı isim kullanan, bir çok IT ve ofis çalışanına geri dönüşü imkansız zararlar veren bu yazılımların genel adına Ransomware denmektedir.

Ransomware da kullanılan tekniğini basitçe açacak olursak; Phishing (oltalama) diye adlandırılmaktadır. Açıkça kandırmaya yönelik bir sistem olan bu durumda öncelikli hedef maalesef siz oluyorsunuz. Bu kandırma yöntemleri bazı zamanlarda bir maille gelirken Türkcell veya Türk Telekom faturaları / Ptt veya başka bir marka kargo habercisi / Polis Feto ihbar vb. gibi, bazen de film müzik gibi kontrol dışı kalmış sitelerde bulunan sağda solda tıklayınca otomatik acılan uygunsuz reklam görselleriyle bazense yine otomatik giriş yapsın da kolaylık olsun diye hafızaya kopyalayıp kaydettiğimiz şifre ve kullanıcı bilgilerinin kopyalanmasıyla/çalınmasıyla olmaktadır. Genelde sunucuların saldırıya uğraması bu şekilde olmaktadır zaten. Ekteki referans maillerimde bu tür maillerin nasıl göründüğü konusunda bilgilendirme yaptığım yazılarımı bulabilirsiniz.
Sonuç olarak sisteme bir şekilde girmeyi başaran bu küçük yazılım o anlık sadece temp dosyasına giren basit bir ajan yazılımdan ibarettir. Hedefi acık olan porttan kendi sunucusuyla iletişime geçmek ve sunucusundan indirdiği asıl zararlı yazılımı kendi sıkıştırma yöntemiyle indirerek sistemi ileride alacağı talimatla şifrelemeye hazır bir zombi bilgisayar haline dönüştürmeyi hedeflemektedir. Ayrıca yazılım her saldırı döneminden sonra kaynak kodlarına kadar tamamen yeniden yazıldığından, Antivirüs ve Güvenlik duvarları tespit etmekte yetersiz/geç kalmaktadır.
Peki Antivirüs ve güvenlik duvarı neden korumuyor?
Antivirüs ve Güvenlik duvarlarının ortak noktası karşılaşmadır. Bir yazılımın kötü olduğunu anlaması ve bunu veri tabanıyla paylaşması için önce karşılaşma yaşaması gerekir. Örnek alınması, analiz edilmeleri gereklidir. Çünkü her yabancı yazılıma zararlı muamelesi yapması da bu sefer bizi çalışamaz kılacaktır. Nasıl bizleri daha çocukken virüslere karşı aşılatarak örnek virüsleri vücudumuza sokup buna karşı savunma mekanizmamızı güçlendirmesi sağlandıysa, buna benzer aynı durumu bu sistemler içinde örnekleyebiliriz. Elbette hep böyle oluyor diye bir şey yok. Olayın karmaşıklığı acısından şöylede bakılabilir; daha önce hiç kimsenin görmediği okyanustan gelen maksimum 2 hafta yaşayan çok zararlı bir balık türü nasılsa ilk karşılaşan, bu balığı tanımlayabilmek için yaklaşmak, yaklaşmak içinse güvenmesi gerekecekse güvenlik sistemleri içinde durum aynı işleyecektir. Aksi durumda zaten her şeyi engelleyen bir yazılımı kimse istemez, tıpkı aşırı paranoyak bir güvenlikçiyi kimsenin istemeyeceği gibi. Yalnız lisanslı bir yazılım kullanıp güncellemelerini tam yapıyorsanız ortak veri tabanları sayesinde diğerlerine göre çok daha güvendesiniz demektir. Çünkü karşılaşmadan kısa süre sonra diğer cliendlerin nasıl davranacağı güncellemelerle bildirilecek ve sisteminiz karşılaşmadan zararsız kurtulacaktır.
Yukarıda ayrıntıları ve sebepleriyle anlattığım bu her defasında yeni bir ajan yazılım kullanan sistem, tespit edilemeden diğer ihtiyaç duyduğu yazılımları indirerek sunucusundan alacağı tek bir komutla aktif olarak disklerinizdeki tüm dosyalarınızı şifrelemeyi bekliyor olabilir. Yazımın sonunda bu durumda acilen yapılması gerekenleri yazıyor olacağım.
Olası bir şifreleme durumundan sonra gelişmeler;
Genellikle fark ettiğinizde çok geç olmakta. Sisteminize takılı tüm disklerde dahil olmak üzere dosyalarınız şifrelenmiş uzantıları/Adları anlamadığınız karmaşık bir algoritmayla değiştirilmiş olduğunu göreceksinizdir. Tıkladığınızda tanımadığınız bir bitcoin sayfasına yada web ara yüzüne yönlendiren linkler olacaktır. Bu durumda artık bir kaç seçeneğiniz kalmakta. Yalnız başta söylemekte fayda var şifre çözmek eğer 5 ay öncesi bir saldırıya maruz kalınmadıysa mümkün değil.
• Yedekleriniz başka bir yerde olması durumunda sisteminizi temizlettikten sonra backuplarınız dan dönebilirsiniz. Bu en kolayı olur.
• Sisteminizde geri yükleme için tasarlanmış seçenekler henüz kapatılmamışsa geri yükle yapabilirsiniz. Shadowexplorer gibi ki genelde kapatılıyor.
• Beklenebilecekse kenara kaldırıp 1 yıla yakın bekleyerek her hangi bir güvenlik firmasının yayınlayacağı yamayla şifrelerinizi çözmeyi umut edebilirsiniz.
• Hackerların talep ettiği ücreti peşin olarak yatırarak Anahtar talep edilebilir. Bu bazen Bitcoin’ken, bazen havale, bazense Kredi Kartı olabiliyor. Ki Kredi Kartınızı asla vermeyin. Zaten kaptığınız virüs yayılalı bir kaç haftayı geçtiyse karşıda muhatap olsa bile para transferinde bulunmanızı kesinlikle tavsiye etmiyorum. Bu işi yapan asıl gurup o kadar organize ki yerlerinin tespiti konusunda iz bırakmamak için tüm sistemi başka bir hacker gurubuna sazan niyetine satarak ortadan kaybolup sonraki bir kaç ay için saklanmayı sistem haline dönüştürdüler. Peki asıl şantajcılar gittiyse benim yazışmalarıma kim cevap veriyor? Asıl gurup bir yada iki hafta toplayabildiği parayı toplayıp sistemini kapatıyor fakat geri dönüş yapmamış kurban potansiyeli o kadar fazdaki bu listeleri de yine bir şekilde kurbanların dillerine yakın lokasyondaki Leş yiyici de diyebiliriz Başka Hacker’lara satıyor. Bu durumu halk pazarındaki satıcının son kalan ürünleri akşam pazarı diye ucuz fiyata elden çıkartması gibi görülebilir. İşin kötüsü bu Leş yiyiciler sizin sistemin anahtarlarını oluşturabilecek bir yapıya sahip olamamaları bu durumda hem dosyalarınız hem se paranız kaptırılmış oluyor.

Şimdiki durumsa biraz daha farklı işlemekte kolay olması için alt satırda ayrıca açıklıyor olacağım.

BAD RABBİT VİRÜSÜ ve ÖNLEMLERİ

Aktarılanlara göre Bad Rabbit’in etkisi ağırlıklı olarak Rusya‘da gerçekleşirken Türkiye, Almanya ve Ukrayna’da da bu yazılımın tehditleri raporlandığı aktarılmakta. Bunlara ek olarak ABD Bilgisayar Acil Durum Hazırlık Ekibi de dünyanın pek çok yerinden Bad Rabbit hakkında raporlar aldıklarını aktarıyor.

Bad Rabbit’in Farkı Ne? Kısa yönteminden bahsedelim; Bad Rabbit virüsü bulaşan bir site size sahte bir exe. uzantılı Adobe Flash güncellemesine ihtiyacınız olduğunu belirterek indirmenize zorluyor. İnen dosyayı tıkladığınızda arka tarafta gizlice kurulan Bad Rabbit sisteminize yerleşmiş oluyor ve şuan komut dosyası alınmış olduğundan dosyalarınızı hızlıca şifreleme işleminide böylece başlatıyor.
Dosyalarınızı geri almak için ise bu sefer mail değil ödeme ara yüzü açarak sizden 0.05 Bitcoin yani yaklaşık 280 Dolar para istendiği belirtilmiştir. Bu ödemenin 48 saat içerisinde yapılması aksi halde dosyalarınızı asla açamayacağınıza karşı uyarıda bulunuyor. Ancak yukarıda da yazdığım üzere ödeme yapmak oldukça riskli bir seçenek.
Yine Virus Total’den aktarılanlara baktığımızda Bad Rabbit’in hali hazırda pek çok anti-virüs programı tarafından saptanamadığı da aktarılıyor.
Yapılan araştırmalara göre Bad Rabbit, Rusya’nın üç internet sitesini şimdiden etkilemiş bulunuyor. Etkilenenler arasında Interfax ve Fontanka.ru’nun da olduğu belirtilirken Rusya merkezli siber güvenlik şirketi Group-IB’nin genel müdürü Ilya Sachkov ise “Bazı şirketlerin sistemleri tamamen kilitlendi. Buna serverlar ve iş merkezleri de dahil” açıklamasında bulundu. Saldırı sonucunda Ukrayna’da ki bir havaalanının ve Kiev metrosunun da etkilendiği aktarılanlar arasında.

Önlem?

• Sisteminize siz istemediğiniz takdirde Bad Rabbit bulaşamaz. Dolayısıyla internet sitelerinde, haber ve medya sitelerinde Adobe Flash Player’ınızın güncellenmesi gerektiği ve İndir gibi bir şey görürseniz kesinlikle tıklamayınız ve dikkatli olunuz.
• Güncel ve güvenilir bir Antivirüs’ünüz olsun neredeyse hepimizin Notebook’ları var. Bir çoğumuz kendi Bilgisayarlarımızı kullanıyoruz. Bildiğim hiçbir şirket Antivirüs alımına gitmeyecektir toplamda 200’ün üzerinde bir sayı var. Unutmayın ki böyle bir tecrübenden sonra yine en çok üzülen ve işleri aksayan siz olacağınızdan ve daha da önemlisi bireysel hatanızdan dolayı bu durumu yaşıyor olmanızdan dolayı kendi güvenlik prosedürlerini olması gerekir. Bireysel Lisanslar sandığımız kadar pahalı değil.
• Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir yerde bir yedeğini daha tutun. (Flash Bellek, Harici Disk, Dvd Cd)
• D bölümüne atılan yedekleriniz hiçbir işe yaramayacaktır. Bu duruma göre kendinizi güvene alınız! Artık herkesin bağımsız taşınabilir bir HDD cihazı olmalı maliyeti ortalama 200 TL.
• Özellikle bilgisayar başında iken uyanık olun, Bir mailin kimden geldiği neden geldiği, ne istediği, Sorgulamasını iyi yapınız!
• Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Yani hiç düşünmeden fişini çekin gitsin! Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır. Tabi bu sadece Crypto Virüsü için geçerlidir (Kaynak : difose) siz yine de çalıştırmadan tarafıma haber verirseniz diski söküp aktif olmayack bir yöntemle dosyalarını taşıyabiliriz.
• Virüs artık her gün malileştiğiniz ve zombi olmuş bir kontağınızdan gelebilir. Bu kişiden gelen mailler güvenlidir nasılsa, düşüncesi kesinlikle yanlış!
• Bilgisayarınızdaki klasör ayarları kısmındaki, dosya uzantılarını gösteriniz sekmesini aktif ediniz ve exe, bat, msi, Zip, rar, vbs, gibi uzantıları bulunan mail eklerini kimden gelirse gelsin açmayınız. Açmak gerekiyorsa da mutlaka konu hakkında açmadan önce bana yada Bilgi İşleminize bilgi geçiniz.
• Eğer bir dosyayı bilgisayarınız açmak istemiyor ve anlamadığınız şekilde uyarılar gösteriyorsa durun ve uyarıları tekrar okuyun. Yada bize haber verin. Ben 24 saat çalışıyorum sıkılmadan arayabilirsiniz.
• Virüs olduğundan şüphelendiğiniz bir maili kendi aranızda ilet yolu ile paylaşmayınız, Biri yanlışlıkla açabilir!
• Ekteki referans maillerimi incelemenizi öneriyorum orada bahsettiğim korunma önerileri ve örnekler halen geçerliliğini korumakta. Üstelik görsel olarak oldukça zengin.
• Zaman bilişim cağı, her gecen gün Bildiğimiz hayatlar sandığımızın aksine dijital ortamda daha çok uyum sağlamakta, nasılsa trafikte, yada gerçek hayatın ticaretinde dikkatli davranıyorsak, burada da yapmamız gereken o, Dijital ortamdaki kimliğimiz sandığınızdan daha fazla gerçek hayatımızı etkilemekte, kısacası eskisi gibi bilgisayarı kapatınca artık olanlar, olaylar orada kalmıyor tam aksine büyüyerek ve hızlanarak devam ediyor.
Üzülerek söylüyorum yukarıdaki kaynakçada da yazdığı gibi özellikle aldığınız virüs Crypto ise kurtarmak diye bir şey hala yok 25.10.2017 Tarihine kadar henüz geliştirilemedi. Geliştirilen her yöntem için hackerler üşenmeden açıklarını kapatarak daha güncelini oluşturdu. Şuan için tek çözüm tıpkı taşıt trafiğindeki gibi uyanık olmaktan geçmektedir. Sizi kandıramazlarsa hiç bir şey yapamazları unutmayalım. Bu sebepten almış oldugumuz güvenlik önlemlerini gözden geçirmemiz çok önemli. Çevremizde bizdeki teknolojik yatırımlarla göre mukayesede edilemeyecek sistemlere sahip bilgi işlem ve Ofis çalışanlarının düşmüş olduğu bu tuzaklara düşmemeniz konusunda sizi özellikle uyarmak istiyorum.
Yukarıda özetlediğim bu makalemin tamamı gerçek ve abartıdan kesinlikle uzaktır. İlk bakışta komplo teorisi gibi dursa da kısa bir araştırmayla daha geniş bilgilere ulaşabileceğinizden şüphem yok Anahtar kelimeler “Cryptolocker, Cryptowall, TeslaCrypt, AxCrypt, TeslaCrypt Petya, Kryto Locker, Wannacry, Arena vb.” çekinmeden araştırabilir hatta eksik yada abartılı bulduğunuz konuları yeniden konuşabiliriz. Aksine konuyla ilgileniyor ve bilinçleniyor olmanız hoşuma gidecektir.
Benim gibi önce sonu okuyorsanız lütfen başa dönüp sakince yazıyı bitirin. Konuları anlaşılır olması amacıyla örnekleyerek kolaylaştırıp elimden geldiğince teknik dilden kaçındım. Sonuçta sizin menfaatinize olduğunu tekrardan belirtmek isterim.

Bu mail ile beraber 25.10.2017 tarihi itibari ile tüm bu yazılanlara ve önlem uyarılarına rağmen başınıza bu duruma benzer bir olay gelmesi durumunda kayıplarınızdan Bilgi işlem departmanı olarak hiç kimse sorumluluk almayacaktır. Gerekli hassasiyeti göstermeniz tamamen sizin menfaatinizedir. Makaleyi okuduktan sonra anlamadığınız yada yapamadığınız bir konu olursa lütfen benimle iletişime geçerek konuyu acınız.