- CRYPTOLOCKER VİRÜSÜNÜN TANIMI, NASIL YAYILIYOR/ÇALIŞIYOR VE VERDİĞİ ZARAR:
a. Türkiye'de son zamanlarda e-fatura içeren sahte e-postalar yoluyla yayılıyor (ancak saldırganların virüsü yaymak için yeni yöntemler geliştirebileceğini unutmayın, örneğin seçim dönemleri yaklaşırken sahte e-postalar) Yüksek Seçim Kurulu'ndan geliyormuş gibi görünen (sandıkta oy vermek için link sağlayan bir yöntem gibi ama aslında linke tıklandığında virüs bulaşıyor). \Not Virüsü yayan siber saldırgan, genellikle sahte bir e-fatura dosyası oluşturarak kullanıcıyı fatura tutarının oldukça yüksek olduğunu göstererek uyarır ve kullanıcıyı gönderilen e-postadaki bir bağlantıya yönlendirir (örneğin " http:// efatura. ttnet"). -fatura.com/"). Bağlantıdaki e-faturanın "zip" uzantılı dosya olarak tıklayıp indirilmesine yönlendirir.
b. Kullanıcı "*.zip" uzantılı dosyayı açıp tıklarsa İçerisindeki e-fatura dosyasında (etiket *.exe) virüs başlatılır ve kullanıcının bilgisayarındaki tüm belgeler (Ofis dosyaları, resim/video dosyaları vb.) şifreleme algoritmaları () ile virüse karşı korunur. AES-256 vb. dosya uzantılarına ".encrypted" eklenir,".encrypted" vb. kelimeler (örneğin deneme.doc.encrypted) eklenir
c. Virüs, her kullanıcının klasörüne ve masaüstüne "SIFRE_COZME_TALIMATI.html" gibi bir dosya ekler ve bunu "Uyarı: CryptoLocker virüsü dosyalarınızın tamamını şifreledi. Bilgisayarınızdaki önemli dosyalar, fotoğraflar, videolar ve kişisel veriler" içeriğiyle şifreler. ve USB bellekler CryptoLocker virüsü ile şifrelenmiştir. Dosyalarınızı kurtarmanın tek yolu, kullanıcılardan şifreyi çözmelerini istemektir. Virüsün bazı çeşitleri aşağıdaki gibi bir uyarı ekranı gösterecektir.
ç. Saldırganlar, şifreyi çözmek için genellikle kullanıcıları Bitcoin1 gibi izlenmesi zor dijital para birimleriyle (genellikle 100 ila 300 dolar) ödeme yapmaya yönlendirir.
d. Virüs 2013 yılında Amerika Birleşik Devletleri'nde ortaya çıktı ve hızla diğer ülkelerdeki bilgisayarlara yayıldı. CryptoLocker ve benzeri CryptoWall virüslerinin dünya çapında 600.000'den fazla bilgisayarı etkilediği ve 5 milyardan fazla dosyayı şifrelediği tahmin edilmektedir. Virüsün genel olarak en çok ABD'yi etkilediği, ülkemizde ise bu oranın yüzde 3 civarında olduğu biliniyor2.
e. Genel çalışma mantığına göre virüs, zarar görmüş dosyanın şifreli yeni bir kopyasını oluşturur ve ardından orijinal dosyayı siler. Bu silme işlemi hızlı bir silme işlemi olabileceği gibi virüsün bazı varyantları için korumalı bir silme işlemi de olabilir (örn. en az 3 kez değiştirme).
f. Virüs kendisini %AppData% klasörüne rastgele bir adla (C:\Users\USERNAME\AppData\Roaming) yükler ve çalıştırmak için kayıt defterine "HKEY_CURRENT_USER\Software\Microsoft\Windows\" yazar. başladığında, güvenli modda da çalışabilmesi için "CurrentVersion\Run" için bir \ n anahtarı oluşturur. Ayrıca, her şifrelenmiş dosya için "HKCU\Software\CryptoLocker\Files" altındaki dosya adını belirten bir anahtar değeri ekler.
Virüs dosyalarını şifrelemek, dosya sayısına bağlı olarak saniyeler, dakikalar hatta saatler sürebilen bir işlemdir. Kullanıcı bilgisayarda çalışmaya devam ederse virüs, kullanıcının bilgisi olmadan arka planda dosyaları şifreler. Virüs, şifreleme işlemi tamamlandıktan sonra kendisini kullanıcıya gösterir.
g. Şifreleme virüslerinin başta dosya ve veri tabanı sunucuları ve bilgisayarlar olmak üzere tesislere ciddi zararlar verdiği açıktır. Ayrıca virüsün kişisel bilgisayarlarda da ciddi kayıplara neden olabileceğini unutmamalıyız. İnternette kullanıcıların yıllardır bilgisayarlarında biriktirdikleri çevirileri, akademik makaleleri, yüksek lisans ve doktora tezlerini, kişisel fotoğraf ve video arşivlerini artık açamayacak duruma geldiklerine dair pek çok haber var.
2. CRYPTOLOCKER VİRÜSÜNE KARŞI ALINACAK ÖNLEMLER VE BULAŞMA DURUMUNDA ÇÖZÜMLER:
a. Bir virüs dosyaları şifreliyorsa, çok fazla seçenek olmadığından virüsün bulaşmasını önlemek önemlidir. Bu bağlamda, sahte dosyalara, web sitelerine veya e-postalara gönderilen bağlantılara asla tıklanılmamalı ve aşağıdaki önemli noktalara dikkat edilmelidir:
Bitcoin, 2008 yılında "Satoshi Nakamoto" tarafından deneysel olarak piyasaya sürülmüştür ve herhangi bir merkez bankası, resmi kurum tarafından kullanılabilir. . . vesaire. Ticari hiçbir ilişkisi olmayan ve üçüncü bir aracı olmadan aktarılabilen bir dijital para türüdür. BTC, küresel piyasada dolar ve euroya alternatif olarak piyasaya sürülen Bitcoin kelimesinin kısaltmasıdır. Yurt içi ve yurt dışı para transferlerinde pratik ve hızlı olmasının yanı sıra, bu transferlerde gönderici ve alıcının kimliğinin gizli tutulmasına imkan vermesi nedeniyle yasa dışı ve düzensiz para transferlerinde sıklıkla tercih edilmektedir. Bitcoin güvenliği, aynı paranın birden fazla kullanılması ve kimlik doğrulama gibi konular büyük ölçüde kriptografik algoritmalar tarafından ele alınmaktadır. Ülkemizdeki mevzuattaki boşluk nedeniyle Bitcoin kullanımının herhangi bir sakıncası olmadığı yönünde görüşler bulunsa da BDDK'nın 2013/32 sayılı basın bülteninde Bitcoin'in kanunen elektronik para olarak kabul edilmediği ve çoğu zaman yasa dışı faaliyetlerde kullanılabileceği belirtildi. . İşlemlerin tarafları tarafından bilinmeyen bir kişinin bu nedenle Bitcoin'in olası risklerinden korunmak için vatandaşların dikkatli olması gerektiği savunuldu.
(1) Kötü amaçlı bir e-postaya eklenen dosya, "E-Fatura.pdf.exe" veya "E-fatura" örneklerinde olduğu gibi genellikle ".exe", ".scr" gibi yürütülebilir bir dosyadır. pdf.scr. N uzantısına sahiptir. Ancak belgeler genellikle MS Office (*.doc, *.xls, *.ppt vb.), Adobe PDF (*.pdf) ve metin dosyası (*.txt) uzantılarıyla gelir. İndirilen uzantının uzantısına dikkat ederseniz durum kolaylıkla fark edilebilir. (Ancak Windows'ta dosya uzantıları genellikle gizlidir ve görünür olmaları gerekir).
(2) Hiçbir kurum e-faturayı "*.exe" dosya uzantılı ".zip" dosyası olarak göndermemelidir. Bu nedenle bu tür e-postalara şüpheyle bakılmalıdır ve genellikle e-posta "*.exe" dosyaları vb. içermez. \Not uzantılı çalıştırılabilir dosyaya tıklamayın. Ödeme için virüsün belirttiği adreslerle iletişime geçmemeli veya bu adreslere para göndermemelisiniz. Parayı aldıkları halde şifreyi göndermedikleri birçok durum olduğu biliniyor.
c. Düzenleme yazılımı virüs şifreli dosyaları açabilir ve içeriklerini vb. değiştirebilir. Bu eylemler kalıcı dosya bozulmasına neden olur ve şifre daha sonra bir şekilde kurtarılsa bile dosya kurtarılamayacağı için asla yapılmamalıdır. orijinal durumuna, yani aç onu \N Virüsün tüm dosyaları şifrelemesi için zamana ihtiyacı olduğundan, virüsün çalıştığını ve şifrelemeye başladığını fark ederseniz, bilgisayarı hemen kapatmak ve bağlı USB vb. bağlantısını kesmek en mantıklısıdır. tüm anıların silinmesidir. Her zamanki gibi kapatmak yerine, yani. Windows'ta "Bilgisayarı kapat" düğmesine bastığınızda, bunu doğrudan bilgisayarın güç düğmesine birkaç saniye basarak yapmanız gerekir. Her saniye onlarca dosyanın şifrelendiğini unutmayın. Bilgisayar kapatıldığında, henüz şifrelenmemiş dosyalar başka bir veri ortamına (USB bellek vb.) aktarılıncaya kadar bilgisayar normal şekilde açılmamalıdır. Dosyaları güvenli bir ortama aktarmak için bilgisayar konusunda derin bilgisi olan kişilerden teknik yardım almalısınız (Bu süreçte bilgisayar genellikle harici bir depolama ortamındaki (CD, USB bellek) işletim sistemiyle başlatılır ve ardından sabit diskteki sistem). \son. Virüsün kaldırılması iki adımdan oluşur: Virüsün bulaştığı sistemi temizlemek ve virüs tarafından şifrelenen dosyaları şifrelenmemiş bir duruma geri yüklemek.
Virüs Temizleme:
(1) Güncel antivirüs yazılımlarının çoğu, birçok virüs çeşidini tespit edip kaldırabilir. Bu nedenle virüs bulaşan bilgisayar, virüs tespit edilip temizlenene kadar öncelikle çeşitli antivirüs programları ile kontrol edilmelidir.
(2) Ancak virüsün birçok varyantı olması ve sürekli form değiştirmesi nedeniyle tespit edilememe olasılığı oldukça yüksektir. Bu nedenle, virüs bulaşmış bilgisayarı tamamen temizlemek için işletim sistemini geri yüklemeniz ve yeniden yüklemeniz gerekir.
Virüs şifreli dosyaların şifresini çözme:
(1) Yukarıdaki makalede açıklandığı gibi virüsü kaldırmak, virüs tarafından şifrelenen dosyaların şifresini çözmez, ancak virüsün daha fazla dosyayı şifrelemesini engeller.
(2) CryptoLocker virüsü, şifreleme için RSA-4096 / AES-256 gibi çok güçlü şifreleme algoritmaları kullanır. Dünyanın en yeni şifre kırma yöntemlerinde, söz konusu algoritmaların kırılamaz olduğu kabul ediliyor çünkü belirli bir algoritmanın kaba kuvvetle çalıştırılması 4 katrilyon yıldan fazla zaman alıyor.
(3) CryptoLocker virüsünün birçok çeşidi olduğundan ve saldırganlar her bilgisayar için farklı anahtarlara sahip virüsler ürettiğinden, virüsün şifrelediği dosyaların şifresini çözecek bir şifre çözme programı üretmek mümkün değildir. Dolayısıyla mevcut şartlarda şifreleme anahtarı olmadan şifrenin çözülmesi mümkün değildir.
(4) CryptoLocker'ın bilinen 20'den fazla çeşidi olduğundan ve sürekli değiştiğinden, maalesef genel şifre çözme için tasarlanmış yazılım şu anda CryptoLocker'da kullanılamıyor.
(5) Yapılacak ilk şey, virüsün orijinal sürümü hızlı bir şekilde silmesini umarak, virüs bulaşmış disklerden silinen orijinal dosyaları veri kurtarma
(Dosya Kurtarma) yoluyla geri yüklemeye çalışmaktır. Dosyaları şifreledikten sonra. Kurtarma olarak harici USB sürücüler/bellekler tercih edilmelidir.
(6) Yapılabilecek diğer bir şey de, dosyalar virüs dosyaları şifrelemeden önce yedeklenmişse bu yedeği kullanmaktır.
Bu bağlamda genel önlemler şu şekildedir:
(a) Bazen önemli dosyaların yedeklerinin yalnızca yazılabilir CD/DVD'lere kaydedilmesi tavsiye edilir (yazılabilir DVD'lerdeki dosyaların şifrelenmesi virüslerin
DVD- yapısı nedeniyle teknik olarak imkansızdır).
(b) Bilgisayar işletim sistemleri, dosyaların önceki sürümleri değiştirildiğinde (silinmiş, içerik değiştirilmiş vb.) otomatik olarak arşivlenmesine olanak tanıyan işlevlere sahiptir. Bu içerikte; Windows XP Service Pack 2 ve üzeri versiyonlarda, Windows Vista ve Windows 7 işletim sistemlerinde "Gölge Kopya" fonksiyonları, Windows 8 işletim sistemlerinde ise "Dosya Geçmişi" fonksiyonları aktif hale getirilebilmektedir. Bu işlevleri çalıştıran bir bilgisayara CryptoLocker bulaşmış olsa bile, virüsün neden olduğu hasar, bilgisayarın ön şifreleme sürümlerine geri döndürülmesiyle onarılabilir. Fakat; CryptoLocker'ın bazı gelişmiş sürümlerinde virüs, oturum açan kullanıcının yetkilendirilmesi durumunda işletim sisteminde depolanan dosyaların eski sürümlerini de siler. Ne yazık ki bu durumda bu işlevler çalışmayacaktır. Bu nedenle günlük kullanım için minimum (normal) yetkili kullanıcı ile giriş yapmak ve yönetici haklarına sahip kullanıcıları yalnızca yönetici hakları gerektiren durumlarda (yeni yazılım yükleme vb.) kullanmak, virüsün verdiği zararı en aza indirir.
(c) Bir dosyanın sürümlerini görmek istiyorsanız, bir dosyayı seçip üzerine sağ tıkladığınızda aşağıda örneği gösterilen "Önceki Sürümler" sekmesini görebilirsiniz. Bu sekmeyi boş görüyorsanız, bu, bilgisayarınızda "Gölge Kopya" işlevinin devre dışı bırakıldığı veya dosyanın herhangi bir sürümünün oluşturulmadığı anlamına gelir.
(d) Salaam klasörlerindeki dosyaların versiyonlarından tek tek geri yüklenmesi uzun zaman alabilir. Bu nedenle, "Shadow Copy" tarafından kaydedilen dosya sürümlerini tarihe göre görüntülemek ve toplu olarak geri yüklemek için İnternet'ten "ShadowExplorer" adlı ücretsiz bir yazılımın indirilmesi önerilir. ShadowExplorer'ın ana ekranı aşağıdaki gibidir. Virüsün bulaştığı tarihten önceki bir geri yükleme noktası seçebilir, dosyalara sağ tıklayıp "Dışa Aktar" seçeneğine tıklayarak bunları güvenli bir ortamda şifrelenmeden kaydedebilirsiniz. . Seçilen sürücüde bir giriş göremiyorsanız (örneğin "C:"), bu, gölge kopyanızın olmadığı veya bir virüs tarafından silindiği anlamına gelir. Ne yazık ki bu durumda hiçbir şey yapılamaz.
(e) “Export” ile aldığınız şifresiz dosyaları, bilgisayarın virüs temizliğini müteakip bilgisayarınıza geri kopyalamanız önerilir.
(f) “Shadow Copy”, “File History” ve “ShadowExplorer” hakkında detaylı bilgi ve yapılandırma açıklamaları için, 4.maddede yer alan “Faydalı Bağlantılar” bölümüne bakabilirsiniz.
YAPILACAK SUNUMLARDA KULLANILABİLİR BİLGİLER:
(1) Güncel anti-virüs yazılımlarının kullanılması virüs tespiti açısından çok önemlidir ancak şu noktaların bilinmesi gerekmektedir;
(a) Virüs fidyesinin ciddi geliri nedeniyle virüs türleri ortaya çıktı (son zamanlarda taşınabilir türleri bile ortaya çıkmaya başladı) ve CryptoLocker'ın 20'den fazla çeşidi tespit edildi. Bu çeşitlilik etkili bir antivirüs önlemi geliştirmeyi zorlaştırıyor.
(b) Anti-virüs şirketleri virüs tespit veritabanlarını yeni türler için güncelleseler dahi, anti-virüs yazılımı, virüsün kodunda küçük bir değişiklik yapıldığında virüsü tespit edemez.
(c) Anti-virüs yazılımlarında gelişmiş bir tespit yöntemi olan davranışsal (sezgisel) tespit yöntemi maalesef bir virüsü tespit etmek için kullanılamamaktadır. Virüsün yeni dosya oluşturma ve silme işlemi birden fazla dosyanın aktarımı sırasında gerçekleştiği için antivirüsün bu işlemi şüpheli görüp engellemesi durumunda normal dosyalarda da sorunlar yaşanabilir.
(2) İşletim sistemi, yüklü program ve eklentilerdeki güncellemeler kesintisiz olarak yapılmalıdır.
(3) Dosya sunucularının yedeklemeleri daha sık yapılmalıdır.
(4) Dosya sunucularında sürüm oluşturmayı sağlayan "Gölge kopya"işlevi etkin olmalıdır.
(5) Önemli dosyaların bulunduğu dosya sunucularının bulunmadığı bilgisayarlarda verilerin düzenli olarak yalnızca yazılabilir CD/DVD'lere kaydedilmesi gerektiği unutulmamalıdır.
(6) Yazılımın %AppData% klasöründen çalışmasını önlemek için bir politika oluşturulabilir. Grup İlkesi olarak da uygulanabilir. Bu konuyla ilgili detaylı bilgi ve açıklamalar için lütfen "Faydalı Bağlantılar" yazısındaki bağlantılara bakınız.
3. ÖZET:
a. Cryptolocker virüsünün ülkemizde genellikle sahte e-faturalar yoluyla yayıldığı bilinse de saldırganların virüsü yaymak için her zaman yeni yöntemler bulabileceğini unutmamalıyız. \Note
Virüslere karşı genel bir siber güvenlik önlemi olarak internetten gelen dosyalara şüpheyle bakılmalı, dosyanın kaynağı ve türünden kesinlikle emin olmadan dosyalar açılmamalıdır.
b. Yoğunlaştırılmış; Siber güvenlik sorunları genellikle bildirilmediğinden bilgisayarlara kolayca virüs bulaşabilir. Ancak temel siber güvenlik önlemleriyle kendinizi birçok saldırıdan korumanız mümkün. Bu aşamada vatandaşların siber farkındalığının arttırılması ve kurumların siber güvenlik personelinin yetkinliklerinin üst düzeyde tutulması için araştırmalar yapılması oldukça önemlidir.
4. FAYDALI BAĞLANTILAR:
“ShadowExplorer” yazılımı:
ShadowExplorer.com - About
ShadowExplorer is a graphical front end for the Windows Vista Volume Shadow Copy Service (VSS). Easily restore previous versions of deleted files. It works with all editions of Windows Vista.
www.shadowexplorer.com
“%APPDATA%” klasöründen bir dosyanın (exe vb.) çalıştırılamaması için politika oluşturmak:
How Software Restriction Policies Work: Group Policy
technet.microsoft.com
Son düzenleme:
