Hakkımızda

DIFOSE Bilişim Bilgisayar Eğitim Danışmanlık İth. İhr. Tic. Ltd. Şti., bilişim suçları ve adli bilişim...

Devamı

Çözüm Ortaklarımız

Kuruluşumuzla birliktelik yapan firmalar ve firmalara ait bilgiler...

Devamı

Difose Lab

Adli bilişim alanındaki etkinlik ve yeniliklere ait duyurulara ulaşım noktası...

Devamı

Bilirkisilik

Adli bilişim alanında bilirkişilik yapmak isteyenler için paylaşım noktası..

Devamı

Kaynaklar

Üyelerimiz tarfından paylaşılan çeşitli dokümanlara buradan ulaşabilirisniz...

Devamı

Son zamanlarda özellikle KOBİ ve kurumsal şirketlerin çalışanlarının e-posta adreslerine sanki Türkiye’deki GSM ve Telekom şirketlerinden geliyormuş gibi gösterilen “***** E-Fatura Servisi” konulu e-postalar gönderilmektedir. E-posta ekindeki dosyada ya da e-posta içerisindeki erişim adreslerinde dosya uzantısı *.exe ve *.scr ve PDF ikonu bulunan dosyalar gönderilmektedir. Bize iletilen bir vakada, zararlı yazılım içeren e-postanın ekran görüntüsü aşağıda sunulmuştur.

NOT: Yukarıdaki fotoğraf temsili olarak konulmuştur.

Yapılan incelemede; kurbanlara ait e-posta adreslerinin şirketlerin web sitelerinden “web crawling” yöntemi ile taranmak suretiyle elde edildiği, şirket web siteleri üzerinden elde edilen bu e-posta adreslerine bir sıra ve plan dâhilinde zararlı yazılım enjekte edilmiş dosyaların bazı senaryolar dahilinde çeşitli sosyal mühendislik teknikleri kullanılarak gönderildiği tespit edilmiştir. Bu yöntemin özellikle, şirketler arasında faturaların tarayıcı ile taranıp gönderilmesi ve ticari işletmelerde faturanın ilgi çeken bir e-posta konusu olması nedeniyle hedef seçilmiş olabileceği değerlendirilmektedir.

“Fatura.exe” ya da “Fatura.scr” isimleri tercih edilen, PDF ikonu kullanılan dosyaların sıkıştırma yazılımları (Winzip ve WinRar) kullanılarak Fatura.rar” ve “Fatura.zip” şekline getirilerek gönderildiği tespit edilmiştir. E-posta ekinde gönderilen dosyanın çalıştırılması neticesinde zararlı yazılım sabit diskin birinci bölümünün C:\Users\Kullanıcı_Adı\AppData\Local\Temp\ yoluna kendisini kopyalamakta ve C:\Windows\Prefetch klasöründe kayıt oluşturmaktadır.

Malware 02

 

Zararlı yazılım çalıştıktan sonra aşağıdaki pop-up penceresi bilgisayarın ekranında belirmekte ve masaüstünü değiştirerek aynı mesajı oraya da kopyalamaktadır.

Zararlı yazılımın sahibi " Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir. " isimli e-posta adresi ile iletişim kurulmasını, aşağıda Encrypted Session Key bölümündeki anahtarın kendisine e-posta yoluyla bildirilmesini istemekte ve neticede dosyaların eski haline getirilmesini sağlayacak anahtarı vermek için kurbandan astronomik rakamlarla para talebinde bulunmaktadır.

Yukarıda ekran görüntüsü bulunan zararlı yazılımın yeni türleri de tespit edilmiş olup, tespit edilen bir örneğe ait ekran görüntüsü aşağıda sunulmuştur:

Sanal makine üzerinde yapılan incelemede; zararlı yazılımın bilgisayara enjekte olmasından hemen sonra bilgisayara ait özel bir anahtar oluşturup, oluşturulan bu anahtara göre dosya sisteminde bulunan ve Windows tarafından o anda kullanılmayan başta Office dosyaları, fotoğraf, video, e-posta, ZIP ve RAR gibi dosyaların tamamını şifreleyerek dosya uzantısına “.sifreli” ibaresini eklemektedir. Uzantısı “.sifreli” olarak değiştirilen dosyaların dosya boyutu aynı kalmakta ve dosya encrypted hale gelmekte ve bu nedenle dosya içeriği görüntülenememekte ve değiştirilememektedir. Yapılan tespite ilişkin ekran görüntüsü aşağıda sunulmuştur.

Yapılan teknik inceleme;

Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır.

Enfekte olmuş bilgisayarda yanlışlıkla tekrar çalıştırıldığında yeniden şifreleme yapmadığı, bunun nedeninin ise daha önceden oluşturulmuş bir registry anahtarının bulunmasından kaynaklandığı tespit edilmiştir.

Zararlı yazılımın bilgisayardaki dosyaların tamamını ya da bir kısmını şifrelemesi durumunda; DiFoSe LAB olarak aşağıdaki belirtilen hususlarla derinlemesine adli bilişim analizi yapılarak kesin sonuç alınabilen çözümler üretebilmekteyiz:

  1. Zarar gören dosyaların bulunduğu sabit disk ya da USB belleğin bire bir kopyasının (imaj) alınması,
  2. Windows işletim sisteminin kurulu olduğu sabit diskin bire bir kopyasının (imaj) alınması,
  3. Windows işletim sistemi ve Registry dosyalarının incelenmesi,
  4. Alınan bire bir disk kopyaları üzerindeki dosya sistemlerinin (FAT32 , NTFS, exFAT, ReFS) incelenmesi ve veri kurtarma (data recovery) ve veri kazıma (data carving) işlemlerinin yapılması,
  5. Disk kopyaları üzerindeki unallocated clusters, slack space ve file slack gibi alanların hex editörü ile incelenmesi ve detaylı veri kazıma (data carving) işleminin yapılması,
  6. Disk kopyası üzerinde Windows’un Volume Shadow kopyalarının tespit edilerek restore edilmesi,
  7. Uzantısı *.sifreli hale gelmiş olan encrypted dosyaların normal halinin disk üzerinde yapılacak inceleme ile tespit edilerek incelenmesi.


DiFoSe Lab olarak, şuana kadar bize iletilen vakalar üzerinde yapmış olduğumuz çalışmalar neticesinde, zararlı yazılım ile şifrelenerek dosya uzantısı *.sifreli yapılan dosyaların tamamına yakınını kurtarıp müşterilerimize teslim ettik. Tahmini çalışma ve teslim süresi, dosya sayısı ve dosya büyüklüğü ile doğru orantılı olarak 3-10 gün arasında sürmektedir.

NOT: Hizmet ve servis kalitemiz gereği, herhangi bir veri kurtarmanın mümkün olmadığında ya da talep edilen hususlar karşılanamadığında herhangi bir ücret talep edilmemektedir.

Konu ile ilgili olarak hizmet almak ya da detaylı bilgi almak için lütfen iletişime geçiniz:

Difose Bilişim Eğitim Danışmanlık Ltd. Şti.
Mustafa Kemal Mah. 2131.Sok. 27/9
06520 Çankaya-Ankara

Tel : +90 312 219 56 16 (pbx)
Faks : +90 312 219 46 05
Gsm : +90 532 786 43 99
E-mail : Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir.
Web Site : www.difose.com
Blog : www.difose.com/blog

Template Settings
Select color sample for all parameters
Red Green Blue Gray
Background Color
Text Color
Google Font
Body Font-size
Body Font-family
Scroll to top