Cryptolocker, Ransomware virüsü yada daha anlaşılır bir dille belirtmek gerekirse fidye virüsü, bilgisayarınıza bulaştıktan sonra, önce tüm word,excel, ppt, database dosyaları gibi önem teşkil edecek dosyaları listeleyip, tüm dosyaların birer şifreli kopyasını çıkarıp, uzantılarını Encrypted, Enc, arena, exe, cesar, cobra, locky, Zepto, Thor, Axx, Crypted, Crypt, Cerber3, Cerber4, dharma , wallet , india.com , aol.com, spora, hakunamatata, locked, zyka, kraken_cc, mail.cz, fgb45ft3pqamyji7.onion, wcry, wannacry, mole, atlas, master, svn,wlu,jaff, arena, cesar vb… şeklinde değiştirip, asıl dosyaları da geri dönüşümü mümkün olamayacak şekilde silen bir yazılımdır.
Maalesef, ülkemizde şuanda çok etkin ve yoğun bir biçimde bu sorunu yaşayan ve binlerce dolar fidyeler ödeyen firmalar/şirketler bulunmaktadır. Bu noktada kendimize sormamız gereken soru şudur. Verilerimin değeri ne kadar? Onları korumak için neler yaptım? Bu dosya, sisteminize bulaştıysa ve dosyalarınız şifrelendi ise bu sorularında en azından çözüme ulaşana kadar bir anlamı kalmamış demektir.
Bu konuda maalesef Emniyet Güçlerimiz herhangi bir çözümü şuana kadar bulamamıştır. Çünkü kaynağa ulaşılamamış, fidye aktarımı engellenemiştir. Bu aktarım, hiçbir ülkenin engelleyemediği BITCOIN (Sanal Para) yada sanal para üzerinden yapılmaktadır. Bu transfer sanal para cüzdanına yapılmaktadır. Bu cüzdan numarası da 26-35 arası alfa nümerik karakterden oluşan bir diziden oluştuğundan , hiçbir açık bilgi içermemekte, sahibine ulaşmak da şuan için mümkün olmamaktadır. Bu aktarımlarda ne gönderen, ne alan taraf birbirini tanımaktadır. Yanı daha açık ifadeyle minareyi çalan kılıfını hazırlamıştır. Maalesef bu metod’la ülkemizdeki kaynaklar ülke dışına uçup gitmektedir. Üstelik sadece basit bir 30 haneli kod karşılığında…
Neden Anti virüs yazılımım bunu tespit edemedi?
Bu yazılım bir virüs gibi davranmaz. Aslında da bir virüs demek de doğru olmaz. Yapı itibari ile genelde askeri altyapılarda kullanılan bir şifreleme yazılımı olarak kullanılmıştır. Ayrıca her Anti virüs’ün her virüsü tanımayacağını, en güçlü Antivirüs’ün bilinçli kullanım yahut tecrübeli teknik destek olacağını da bilmemiz gerekir.
Nasıl Bulaştı ?
Bu yazılımı yaymak için Sosyal Mühendislik teknikleri kullanılmaktadır. Örneğin bir telefon faturası olarak şirket mailinize düşmüş olabilir, Modem’in açık portları vardı ise bu yolla taranıp bulunmuş olabilir, Torrent dosyalarıyla beraber yahut ne olduğunu bilmediğimiz bir İnternet sitesinden dahi bulaşmış olabilir. En çok kullanılan metot, ülkelerin ip aralıklarına göre tarama yapmak ve açık portları bulunan ip adreslerine bağlanıp zararlıyı sisteme sızdırmaktır. Net olarak hedef gözetmekten çok, rastgele oltalama tekniğiyle hedeflere yönelmektedirler. Amaçları zarar vermekten çok para kazanmaktır. Her ne şekilde olursa olsun eğer sisteminize sızdıysa ve verileriniz şifrelendi ise kesin olan şey sisteminizin korunamadığıdır.
Her yazılımın farklı varyantları olmakla birlikte her varyantında kendine özgü bulaşma şekilleri vardır. Bu varyantların birçoğuna çözüm üretilebildiği gibi maalesef bazılarına hiçbir işlem yapılamamakta ve yazılımı şifreleyen kişiden başka kimse çözememektedir.
Dosyalarım Şifrelendi!!! Ne Yapacağım ?
Yapmanız gerekenden daha çok ne yapmamanız gerektiği önemlidir. Kesinlikle ama kesinlikle panik olmadan sisteminize hiçbir müdahale etmeyin ve sisteminizi kapatın. Kapanmıyorsa fişini çekin. Ağ Kablosunu çıkarın ve sonra ne yapacağınıza odaklanın. Bilgisiz yada eksik bilgili kişilere, bilgisayarınıza kesinlikle müdahale ettirmeyin. Bunun sonucunda şifrelere ulaşsanız da verilerinizi getirememe ihtimali olduğunu unutmayın. Eğer bu konuda bilgili yada yetkin değilseniz şifrelenmiş dosyaların uzantılarını ve adlarını değiştirmeyin.
Bu zararlının şuanda bilinen 284 varyantı bulunmakta ve her geçen gün çoğalmaktadır. Size bulaşan zararlının hangi varyant’ta olduğu, çözümü için nasıl bir yol izlenmesi gerektiği konusunda yardımcı olabilmemiz için bizimle irtibata geçebilirsiniz.
1MB dan küçük şifrelenmiş örnek bir dosyanızı incelenmesi için info@ustafiyatal.com adresine mail atabilirsiniz. Mail içeriğinde zararlının ne zaman sisteminize bulaştığı, izlediğiniz yolları ve yaptığınız işlemleri, fidye isteyen mail adresini, irtibata geçtiyseniz sizlerden ne istediğini yazmanız gerekmektedir.
Ne Yapabiliriz?
Öncelikle göndermiş olduğunuz dosyanın hangi Varyant’ a ait olduğunu, nispeten daha eski ve çözümü bulunanlardan ise dosyaları açmak için üzerinde gerekli işlemlerinin yapılmasını sağlıyoruz. Yaptığımız işlem şifreyi kırmaya yönelik ya da bu yolla değil, zararlı yazılımlardaki geliştirici hataları , algoritma hataları, arka kapılar ve zayıflıklar gibi yöntemlere dayanarak dosyaları eski haline getirmektir. Ama bilinmelidir ki bu işlemlerde şifreyi yazanla anlaşmak dışındaki çözüm oranı %25 ile %30 arasındadır. Bazı zararlılar da ise imkansız olmaktadır. Daha da kötüsü dosyaları şifreleyen kişiye istediği ödemeyi yapsanız da dosyalarınızı açmama, şifreyi göndermeme olasılığını da unutmamak gerekir.