Hakkımızda

DIFOSE Bilişim Bilgisayar Eğitim Danışmanlık İth. İhr. Tic. Ltd. Şti., bilişim suçları ve adli bilişim...

Devamı

Çözüm Ortaklarımız

Kuruluşumuzla birliktelik yapan firmalar ve firmalara ait bilgiler...

Devamı

Difose Lab

Adli bilişim alanındaki etkinlik ve yeniliklere ait duyurulara ulaşım noktası...

Devamı

Bilirkisilik

Adli bilişim alanında bilirkişilik yapmak isteyenler için paylaşım noktası..

Devamı

Kaynaklar

Üyelerimiz tarfından paylaşılan çeşitli dokümanlara buradan ulaşabilirisniz...

Devamı

CryptoLocker, fidye isteyen virüs kategorisinde (ransomware) bir zararlı yazılımdır. CryptoLocker'ın hâlihazırda 20 den fazla farklı çeşidi olduğu bilinmektedir. Türkiye'de son dönemlerde genellikle e-fatura içeren sahte e-postalar yoluyla yayılmaktadır.

 Virüsü yayan saldırgan genellikle sahte bir e-fatura dosyası oluşturmakta, fatura tutarını oldukça yüksek göstererek kullanıcının dikkatini çekmekte ve e-posta içindeki linke (http/:efatura.ttnet-fatura.com benzeri) tıklamaya yönlendirmekte, linkten e-faturayı "ZİP" uzantılı bir dosya halinde indirilmesini sağlamaktadır.

Kullanıcı, ZİP dosyasını açıp içindeki e-fatura dosyasına tıkladığında virüs çalışmakta ve kullanıcı bilgisayarındaki tüm dokümanlar (Office dosyaları, resim/video dosyaları, pdf dosyalan vb.) virüs tarafından güçlü şifreleme algoritmaları (AES-256 bit vb.) ile şifrelenmektedir. Dosyaların uzantıları sonuna ".encrypted", ".şifreli" vb. kelimeler eklenmektedir (Öm: örnek.docx.encrypted gibi)

Virüs, şifrelediği her bir klasöre ve kullanıcı masaüstüne “sifre_cozme_talimati.html" benzeri bir dosya eklemekte ve içeriğinde, "Uyarı: Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir. Bilgisayarınızda ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde tüm dosyalarınızı kaybedebilirsiniz." benzeri bir açıklama ile şifrenin çözülmesi için kullanıcılardan para talep etmektedir. Virüsün bazı türevlerinde ise, aşağıdaki gibi bir uyan ekranı görünmektedir.

Virüs, genel çalışma mantığında, zarar vereceği dosyanın şifreli yeni bir kopyasını oluşturmakta, sonrasında orijinal dosyayı silmektedir. Bu silme hızlı silme olabildiği gibi, virüsün gelişmiş versiyonlarında güvenli silme (en az 3 kez silme vb.) şeklinde de olabilmektedir

Virüs, %AppData% klasörüne (C:\Users\Kullanıcı Adınız\AppData \Roaming) kendini rastgele bir isim ile kurmakta ve bilgisayarın açılışında çalışmak üzere kayıt defterinde (registry) "HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run" altına, güvenli modda bile çalışabilecek şekilde anahtar oluşturmaktadır. Son olarak şifrelediği her bir dosya için "HKCU\Software\CryptoLocker\Files" altına bir dosya ismini belirten anahtar değeri eklemektedir.

Cryptolocker virüsünün bulaşması durumunda yapılması gerekenler:

Virüsün, ödeme için yönlendirdiği adreslerle irtibata geçilmemeli ve para gönderilmemelidir. Parayı almalarına rağmen şifreyi göndermeyen birçok durum olduğu bilinmektedir.

Virüsten kurtulma işlemi iki adımdan oluşmaktadır: Virüsün bulaştığı sistemin temizlenmesi ve virüsün şifrelediği dosyaların şifresiz hale geri getirilmesi.

Virüs tarafından şifrelenen dosyalan editör yazılımları ile açıp içeriğini değiştirmek vb. işlemler, dosyaların kalıcı olarak bozulmasına sebep olmakta olup, daha sonra bir şekilde şifresi elde edilse bile dosyayı orijinal haline getirmek yani açabilmek mümkün olamayacağından, kesinlikle yapılmamalıdır.

Virüsün temizlenmesi:

Virüsün birçok çeşidi, şu anda çoğu güncel antivirüs yazılımı tarafından tespit edilip temizlenebilmektedir. Dolayısı ile öncelikle virüsün bulaştığı bilgisayar, virüs tespit edilip temizlenene kadar, farklı antivirüsler ile taratılmalıdır.

Ancak, virüsün birçok türevi olduğu ve sürekli olarak şekil değiştirdiği göz önüne alındığında, tespit edilememe ihtimali de oldukça yüksektir. Dolayısı ile tam olarak temizlik için, bulaştığı bilgisayara format atılarak, tekrar işletim sistemi kurulması gerekmektedir.

Virüsün şifrelediği dosyaların şifresiz hale geri getirilmesi:

Yukarıda açıklandığı gibi virüsü temizlemek, virüsün şifrelediği dosyaların şifresini çözmemekte, sadece virüsün daha fazla dosyanızı şifrelemesini engellemektedir.

CryptoLocker virüsü, şifrelediği dosyaları AES-256 benzeri çok güçlü şifreleme algoritmaları ile şifrelemektedir. Dünyada şifre kırma yöntemlerinde gelinen son durumda, belirtilen algoritmanın kaba kuvvet (brute force) yöntemiyle kırılabilmesi için katrilyonlarca yıldan çok daha fazla süre gerektiğinden, söz konusu algoritma kınlamaz kabul edilmektedir.

CryptoLocker virüsünün birçok türevi olması, ayrıca saldırganların her bir bilgisayar için farklı anahtarlara sahip virüsler üretmesi nedeniyle, virüsün şifrelediği dosyaların çözülmesi için bir çözücü yazılım üretilmesi de mümkün olamamaktadır. Dolayısı ile şifrenin çözülmesi günümüz şartlarında şifre anahtarını bilmeden mümkün değildir (CryptoLocker virüsüne karşı çözüm geliştirdiğini ifade eden internetteki birçok hilekâra karşı dikkatli olunmalıdır).

 Hâlihazırda genel şifre çözme amaçlı geliştirilen yazılımlar, maalesef CryptoLocker için kullanmamaktadır çünkü CryptoLocker genellikle her bilgisayar için farklı üretilen bir virüstür.

Denenmesi gereken ilk işlem, virüsün dosyaları şifrelemeyi müteakip orijinal halini hızlı silmiş olabileceği umularak, virüsün bulaştığı sürücülerde veri kurtarma (File recovery) yazılımları ile silinmiş olan orijinal dosyaları geri getirmeye çalışmaktır. Geri getirme ortamı olarak harici USB disk/bellekler tercih edilmelidir.

Yapılabilecek diğer işlem ise, dosyaların virüs tarafından şifrelenmeden önce alınmış bir yedeği varsa, o yedeğin kullanılmasıdır. Bu kapsamda, genel önlemler olarak;

Kritik dosyalarınızın belirli aralıklarla yedeğini bir DVD'ye (tek yazımlık yani DVD-R, DVD+R tipi olmalıdır, DVD-RVV olmamalıdır) almanız tavsiye edilmektedir (Tek yazımlık DVD'lerde bulunan dosyaların, DVD'nin yapısından dolayı virüsler tarafından zarar verilmesi/değiştirilmesi/silinmesi/şifrelenmesi mümkün değildir).

Bilgisayarlardaki işletim sistemlerinde, dosyaların değişmesi (silinmesi, içeriğinin değişmesi vb.) durumunda otomatik olarak bir önceki versiyonunun arşivlenmesini sağlayan imkânlar bulunmaktadır. Bu kapsamda; Windows XP Service Pack 2 ve üstü, Windows Vista ve Windows 7 işletim sisteminde "Shadow Copy", Windows 8 işletim sisteminde ise "File History" işlevleri aktif hale getirilebilir. Bu işlevler açık olan bilgisayara CryptoLocker bulaşsa bile, şifrelenmeden önceki versiyonlara geri dönülmek suretiyle virüsün zararının telafi edilmesi sağlanabilir. Ancak; CryptoLocker'ın bazı gelişmiş versiyonlarında, oturumu açan kullanıcının yetkisi var ise, virüs, işletim sisteminin tuttuğu eski dosya versiyonlarını da silmektedir. Bu durumda bu işlevler maalesef işe yaramayacaktır. Dolayısı ile genel geçer çözüm, kritik dosyalarınızın tek yazımlık DVD-R, DVD+R gibi ortamlara belirli aralıklarla yedeklenmesidir.

Bir dosyanın versiyonlarını görmek için, dosyayı seçip sağ tıkladığınızda aşağıda örneği görülen, "önceki Sürümler" sekmesine bakılabilir. Bu sekmeyi boş görüyorsanız, bilgisayarınızda "Shadow Copy" işlevi pasif veya o dosyanın versiyonu oluşmamış demektir.

Virüsün şifrelediği klasörlerdeki dosyaları, dosyaların versiyonlarından tek tek geri almak uzun zaman alabilir. Bu nedenle, "Shadow Copy" ile tutulan dosya versiyonlarını tarih bazlı görebilmek ve toplu olarak geri yüklemek için, internetler "Shadow Explorer" isimli ücretsiz yazılım indirilmesi tavsiye edilir. Shadow Explorer yazılımının ana ekranı aşağıdaki gibi olup, virüsün bulaşma tarihinden önce bir geri yükleme noktası seçerek dosyalara sağ tık ve "Export" ile güvenli bir ortama şifresiz hallerini almasını sağlayabilirsiniz. Eğer, seçtiğiniz sürücü ("C:" gibi) karşısında kayıt göremiyorsanız gölge kopyanız yok veya virüs tarafından silinmiş demektir. Bu durumda yapabileceğiniz bir işlem kalmamaktadır.

Export ile aldığınız şifresiz dosyaları, bilgisayarınızın virüs temizliğini müteakip bilgisayarınıza geri kopyalamanız önerilir.

Sonuç olarak;

CryptoLocker virüsü, fidye isteyen, bilgisayardaki tüm belge/dokümanları şifreleyen bir yapıda olup, sistemlere bulaşması durumunda uzun süredir üzerinde çalışılan kıymetli bilgi ve dokümanları kaybetmenize neden olabileceği unutulmamalıdır

 Virüsün belgelerinizi kırılması şu an için mümkün olmayan şifreleme algoritmaları ile şifrelediği için, şifre anahtarının bilinmeden verilerin geri getirilmesi mümkün değildir.

 Şifreyi çözebildiğini iddia eden internetteki sahtekarlara aldanılmaması gerekmektedir.

Virüsün bulaşmaması için, internette, web siteleri veya mail üzerinden gelen aldatıcı dosya ve bağlantılara kesinlikle tıklanmamalıdır.

 Kişisel bilgisayarlara veya bir aktif dizine bağlı bilgisayarlara, yönetici (administrator) yetkisine sahip kullanıcılar yerine, sınırlı yetkideki kullanıcılar ile oturum açılması da virüsün bulaşmasına karşı etkin bir tedbirdir.

 Virüse karşı alınabilecek en etkin tedbir, güncel tutulan bir antivirüs yazılımı kullanılması ve yedekleme politikasının uygulanmasıdır, bu kapsamda;

 Kritik verilerinizin, ihtiyaca göre her gün/haftada/ayda bir DVD-R veya DVD+R ortamlara yedeklenmesi.

 Dosya sunucusu olan sistemlerde veya kişisel bilgisayarlarda "Shadow copy" ve "File history" gibi, dosya versiyonlarını muhafaza eden işletim sistemi işlevlerinin aktif edilmesi önerilmektedir.

Virüsün şifrelemeyi yeni isimle yapıp, orijinal dosyayı sildiği umularak, veri kurtarma yazılımları ile silinmiş dosyalar arasında, şifrelenenlerin orijinal halleri aranmalıdır.

Difose Cryptolocker Virüsü tarafından şifrelenmiş dosyalarının orijinallerinin tespit edilmesi konusunda çözüm yöntemleri sunmaktadır.

 

Template Settings
Select color sample for all parameters
Red Green Blue Gray
Background Color
Text Color
Google Font
Body Font-size
Body Font-family
Scroll to top