İnternet kullanıcılarını hedef alan ve geçtiğimiz aylarda uzun süre internet kullanıcılarına musallat olan KriptoKilit saldırıları, bertaraf edildikten sonra güncel sürümü ile daha büyük tehdit olarak karşımıza çıktı.
Kendini açık bir şekilde CryptoLocker olarak tanıtan bu yeni zararlı yazılım, yine kullanıcılara ait belli uzantılara sahip dosyaları şifreliyor ve bu verilerin kurtarılması için kullanıcılardan “Şifre çözme yazılımı” adında bir yazılım satın almaları isteniyor.
Kullanıcının bilgisayarına bulaşıp, kullanıcılara ait verileri şifreleyen ve verilere ulaşım için para isteyerek kullanıcılara şantaj yapan zararlı yazılım, normal bilgisayar kullanıcılarını ciddi bir şekilde tehdit ediyor.
Zararlı yazılımın görevi tamamlandıktan sonra, şifrelenen verilere, saldırganın yardımı olmadan ulaşmanın bir yolu maalesef henüz bulunmuyor.
Fakat şifreleme işlemi bitmeden önce zararlı yazılımın varlığı anlaşılabilirse gerekli şifrelere ulaşıp, şifrelenmiş verileri açmak mümkün olabiliyor.
İşte şantajcı-zararlı yazılıma karşı adım adım yapmanız gerekenler...
1- Bulaşma Şekli: Zararlı yazılım "fatura e-postaları" şeklinde kullanıcılara "yüksek fatura tutarı" olan e-posta gönderiyor.
2- Faturanın yüksek tutarından ötürü fatura hakkında bilgi almak isteyen kullanıcılar faturayı görmek istediklerinde şekilde gösterilen web adresine yönlendiriliyorlar. Kapçayı girip indir butonuna tıklanıldığında “.zip” uzantılı bir dosya indiriliyor. Bu dosyanın içinde ise “.exe” uzantılı fatura dosyası bulunuyor.
3- İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına bulaşıyor ve içi boş olmayan .doc, .docx, .pdf, .txt, .7z, .rar, .zip tipinde olan dosyalar şifreleniyor.
4- Şifrelenen dosyaların yeni uzantıları .encrypted oluyor.
5- Zararlı yazılım bilgisayardaki verileri şifreleme işlemini bitirdikten sonra ekrana şekildeki gibi bir sayfa çıkarıyor. Görüldüğü gibi zararlı yazılım şifrelenen veriler karşılığında Şifre çözme yazılımı adı altında bir yazılımın satın alınmasını istiyor.
6- Şekil 5` te çıkan görüntüdeki linke tıklandığında aslında tor ağı üzerinde olan fakat bir tor proxy hizmeti veren sunucu üzerinden erişilebilen Şekil 6` daki gibi kişiye özel bir web sayfasına yönlendirilme yapılıyor.
Şifre çözme yazılımının satın alınması konusunda ise 96 saat içinde satın alımı durumunda 2398 liradan 1198 liraya kadar indirim yapmaktadır.
7- Zararlı yazılım ilk yayıldığında antivirüs firmalarının büyük bir çoğunlu tarafından tanınmamıştı. Virustotal sonuçları Şekil 7`deki gibiydi.
8- CryptoLocker gibi eposta yoluyla gelen zararlı yazılımlardan etkilenmemek için gelen eposta adreslerine çok dikkat edilmeli. Şekil 8`de gerçek bir ttnet fatura eposta adresini görüyorsunuz.
9- Şekil 9`da ise zararlı yazılımının eposta adreslerini...
10- TTNet'in fatura görüntüleme adresi "https//:efatura.ttnet.com.tr" iken zararlı yazılımın kullandığı ise "efatura.ttnet-fatura.info" ve “efatura.ttnet-fatura.biz" adresleridir. Eposta olarak gönderilen faturaların uzantılarına dikkat edilmelidir. CyrptoLocker zararlı yazılımı bir .exe dosyasıdır. Oysaki TTNet faturaları pdf şeklinde göstermektedir. Dosyaların uzantıları bilgisayarlarda normalde görünmemektedir. Dosya uzantılarını görebilmek için klasör ayarlarından bilinen dosya türleri için uzantılarını gösterme (Hide extensions for known types) ayarı değiştirilmelidir. Şekil 10`da bu ayarlama gösterilmektedir.
11- Aynı zamanda Ttnet faturaları kullanıcılara faturaları indirtmek yerine browserda göstermektedir. Şekil 11'de gerçek Ttnet fatura görüntüleme ekranını görmektesiniz.
12- Sonuç olarak, internetten indirilen dosyalar, epostalar açılmadan önce dikkatle okunmalıdır. Epostayı gönderen adreslere, epostanın içeriğine, indirilen dosyanın uzantısına dikkat edilmeli ve emin olunduktan sonra dosyalar açılmalıdır.