Cryptolocker Virüsüne Karşı Doğru Savunma!

Cryptolocker virüsü, bir süredir ülke gündeminde olan en tehlikeli zararlı yazılımlardan bir tanesi ve maalesef ki farklı varyasyonları ile karşımıza çıkmaya devam ediyor.

Kullanıcılara, özellikle de bilgisiz şirket çalışanlarına e-posta yolu ile gönderilen zararlı yazılım, şirketlerin milyonlarca dolar zarar etmesine neden oldu!

Önceleri Turkcell, Turk Telekom ve TTNET faturaları gibi gönderilen sahte e-postalar şimdilerde daha profesyonelce hazırlanmış ve daha hedefli ataklarla karşımıza çıkıyor. Şu sıralar ise, saldırı yöntemine bir yenisi eklenerek PTT kargodan bir e-posta gelmiş gibi gösterilmeye çalışılıyor.

[kirmizi]PTT Kargo; “Kargonuz ya da gönderiniz belirtilen adrese ulaşmadı!” [/kirmizi]

Şeklinde gelen e-postalar ekinde zararlı yazılım kullanıcılara bulaştırılıyor. Bu e-postaları açan bilinçsiz kullanıcıların tüm verileri, maalesef ki gelişmiş bir şifreleme yöntemi olan 2048 bit RSA algoritması ile geri dönüşü olmaksızın şifreleniyor.

Sonrasında ise dosyaları geri almaları için saldırganlar tarafından bir mesaj gönderilip, fidye isteniyor… Şuraya şu kadar bitcoin transfer etmezsen verilerini alamaz, kurtaramazsın!

Gelişmiş bir şifreleme yöntemi kullanıldığı için maalesef ki dosyaları anahtar olmadan geri alamıyorsunuz. Anahtar ise saldırganlarda, sizden fidye talep ediyorlar!

Ödeme istenilen hesaba talep edilen ücret gönderilse bile veriler eski haline gelmiyor. Kısacası, karşı tarafa güven? Kocaman bir soru işareti olarak akıllarda kalıyor.

Peki IT tarafında neler yapılıyor?

IT uzmanları sürekli olarak virüsü ve varyasyonlarını inceliyorlar. Uzmanlar, Firewall gibi gelişmiş güvenlik sistemlerine virüsün kaynağını ekleyerek bloke etmeye çalışıyorlar. Ancak nafile…

Dün Turkcell adına virüs gönderiliyordu, sonra Turk Telekom oldu, sonra TTNet’e döndü…

Düne kadar sahte bir turktelekom-fatura.xy alan adından yapılan bu saldırı bugün, ttnet-fatura-ode… ett.turktelekomonline.net… gibi bir alan adı üzerinden dağıtılıyor.

Kısacası bunun sonu yok…

IT tarafında uzmanlar tüm İnternet dünyasını bloke edecek değiller ya… Saldırı geldikten sonra güvenlik politikalarına yansıyor… Sonuç olarak saldırı belki biraz erken, belki biraz geç, ancak saldırıldıktan sonra ikinci, üçüncü saldırılara karşı koruma yöntemi gelişiyor.

[sari]Savunma tarafı ne kadar güçlü olursa olsun, saldırganlar da yeni bir yöntemle karşımıza çıkabiliyorlar. [/sari]

Antivirüs üreticileri? 

Onlar da bir adım geriden geliyor. Saldırıları görüp, analiz edip, ona göre güvenlik politikaları geliştirilip güncellemeler yapılıyor. Kısacası uzmanlar…

Birer Black List mantığı ile hareket ediyor ve her yeni saldırıyı bu Black List’lere ekleyerek korunmaya çalışıyorlar…

Çözüm mü?

Maalesef ki çözüm değil…

Çözümü Black List’lerde aramak yerine, çalışanları ve kullanıcıları bilinçlendirerek White List oluştursak daha iyi değil mi?

Yani IT uzmanı arkadaş yine virüsü ve saldırıları izlesin ve sistemleri için ek güvenlik önlemleri alsın, Antivirüs üreticileri analiz etsin ve ona göre korunma yöntemlerini geliştirsin…

Ancak diğer bir yandan da bu saldırının en temel mantığını…

“Güvenlikte En Zayıf Halka İnsandır”

Olgusunu kullanarak, engellemeye çalışmak daha doğru olmaz mıydı? Cryptolocker virüsünün bir sisteme bulaşabilmesi için…

1. Saldırgan sahte bir TTNet, Turkcell, PTT Kargo e-postası oluşturuyor ve içine virüsü yerleştiriyor.

2. Bu e-postayı hedef şirket çalışanlarına gönderiyor.

3. Şirket çalışanı postayı gerçekten de TTNet, Turkcell ya da PTT Kargo’dan geldiğini zannedip açıyor.

4. İçerisindeki .Zip formatındaki sıkıştırılmış dosyayı çift tıklayıp açıyor.

5. Zip içindeki .EXE dosyasını (virüs burada işte) çift tıklayıp çalıştırıyor.

6. Windows onu uyarıyor (uyarmayabilir) ancak kullanıcı meraktan… “Evet” tuşuna basıyor…

7. Virüs sisteme bulaşıyor…

Ya da…

2. E-faturayı indirmeniz için bir bağlantı gönderiyor.

3. Bağlantıya tıklayıp dosyayı indiriyorsunuz indirdiğiniz dosya .Zip formatında oluyor.

4. Fatura numarası adında ve .EXE uzantılı bir dosya içerisinden çıkıyor.

5. Zip formatından çıkardığınız bir EXE dosyasını çift tıklıyorsunuz…

6. Saniyeler içerisinde tüm dosyalarınız *.encrypted olarak şifreleniyor.

7. Saldırganın hazırladığı bir not karşınıza çıkıyor ve bu not içerisinde dosyaları geri almak için fidye ödemeniz gerektiğini görüyorsunuz!

…adımları ile gerçekleşiyor.

Peki bu adımlar virüsün en temel saldırı stratejisi ise, şirket çalışanlarımız veya son kullanıcılarımızın bilinçsiz olmasından, dalgın olmalarından ya da merak etmeleri gibi insan davranışlarındaki açıklıklardan (Sosyal Mühendislik) faydalanıyorsa…

Aslında bu açığı, İnsan davranışındaki açıklıkları, zafiyeti ortadan kaldırarak engellemek daha kolay olmaz mı? 

Aslında yapmamız gerekenler…

1. Şirket çalışanlarının bilinçlenmesi için bir toplantı ayarlanır.

2. IT uzmanı / Güvenlik uzmanı toplantıda virüsün sisteme bulaşması için gerekli koşulların neler olduğunu anlatır.

3. Bu adımları yaparlarsa virüsün bulaşacağını ve neler olabileceğini gösterir.

4. Tüm çalışanlara yapmamaları gereken noktalar altı çizilerek öğretilirse…

…Cryptolocker virüsüne karşı daha da sağlam bir korunma yöntemi geliştirmiş olmaz mıyız?

Eminim birçok akıllı ve uzman IT çalışanı şirket içerisinde, bu virüse karşı sürekli bilgilendirme yapıyordur. Ancak yapılan bilgilendirmeler e-posta gönderip arkadaşlara…

Sakın Turkcell Faturası, TTNet Faturası… başlıklı e-potaları açmayın şeklinde kalıyor…

Toplasak şirketi, saldırının anatomisi, stratejisini masaya yatırsak, ardından da şirket çalışanlarına…

1. Zip formatı budur

2. EXE formatı budur

3. PDF formatı budur

4. Saldırgan dosyanın adını  Fatura.PDF.EXE ya da Fatura.PDF.Zip koyabilir!

5. Hiçbir kurum size .Zip formatında içinde .EXE olan dosya ile fatura göndermez!

6. Faturanız bir bağlantı ile gönderildiği zaman, karşıdan yüklenen Zip dosyası içinde asla EXE olmaz!

7. E-posta ile gelen hiçbir EXE formatındaki dosyayı çalıştırmayın!

…diyerek öğretse, eğitse daha iyi bir korunma yöntemi sağlanmış olmaz mı?

Olur öyle güzel olur ki, saldırıya maruz kaldığınızda zarar görme ihtimaliniz %90’lardan %10’lara karar düşürülebilir. Belki tam bir korunma yöntemi değil, ancak güçlü bir savunma sağlar!

Ne kadar bilinçli kullanıcı, ne kadar bu konuda eğitimli çalışan, o kadar sağlam bir güvenlik değil mi?

Bilinçlenmek ve çalışanlara, arkadaşlarımıza, dostlarımıza ve son kullanıcıya yukarıda saydığım 3-5 maddeyi anlatmak gerekiyor.

Cryptolocker saldırısından bazı ekran görüntüleri;

Aksi takdirde IT uzmanları daha çok sahte domaini, ip adresini Black Liste alır, daha da çok şirketin başı yanar…

Unutmamak lazım güvenlikte en zayıf halka İNSANDIR! Zayıf halkayı güçlü tutmak, her zaman yüz binlerce dolarlık Firewall’dan daha iyi bir koruma sağlar…

“Cryptolocker Virüsüne Karşı Doğru Savunma!” üzerine 9 yorum

  1. tesekkurler.sonuc olarak ben hizlica okudum.ozetle zip formatinda gonderilen exe dosyasinin mantigi yoktur,gonderilmis olsa bile acilmamalidir.

    Cevapla
  2. İyi güzel anlatım olmuş da ülkede herkse şirket çalışanı değil abi ? küçük esnafım okey oynamak için aldığı pc den sabah mailine bakarken karşılaşıp bu tuzağa düşüyor o zaman ne olacak ??? aklımda deli sorular :)

    Cevapla
    • Sabah fırından ıkı pogaca alıp cayını yudumlarken okey oynayan esnaftan ne kadar fıtye ısteyebılırlerkı ?

      Cevapla
  3. Bu işin güvenliğini kullanıcıya bırakmak, nasıl olsa altında su var diye köprüden atlamaya benzer :)
    Zira kullanıcı, acaba nasıl şifreliyor, nasıl olsa biri önlem almış diye merak eder yine o exe’yi çalıştırır.

    Bu tür mailler kullanıcıya hiç düşmemeli, ola ki düştü, o takdirde çalıştırsa dahi şifreleme işlemi başladığında bu analiz ederek işlemi durduran bir işlem gerekli. 1-2 üretici bu konuda çalışıyor. Belli mesafe de aldı.

    Bunun dışında temel problemimiz şu;
    Biz de herşeyi herkesten istemek bir adet. Bilgi teknolojileri uzmanından herşeyi bilmesi isteniyor. Oysa Bilgi Teknolojilerinin altında bir kategori olan güvenlik farklı bir uzmanlık ve farklı bir iş.

    Eğer BT tarafındaki birinden güvenlik işlerini de halletmesini istersen, tamamen üstünkörü bir iş yapacaktır.
    Güvenlik tarafındaki trendleri takip etmek, uygun çözümleri entegre, test etmek başlı başına bir mesai gerektiren bir iş.

    Hal böyle olunca olması gereken, BT tarfındaki güvenliğin güvenlik uzmanları tarafından sağlanmasıdır.
    Böylece tehlikeleri en aza indirgemiş oluruz.

    Cevapla
  4. Guzel atlatmısın da temizlemesi sıkıntılı onuda anlatsan iyi olurdu :) cunku bılındık yontemler bu hıleltten kurtulmanıza yardımcı olmaz shwexp gibişeylerde işe yaramaz

    Cevapla
  5. Degerli ziyaretci,
    Sunu unutma, kimseye herhangi bir on odeme yapma. Senden on odeme isteyen ve eger basaramazsam odemen yanar diyen kisilere guvenme. Basari sansim cok degil ama yinede ode diyen kisilere zinhar guvenme.

    Cevapla
  6. microsoft default olarak en başta dosya isimlerinde uzantıları gizliyor.
    windows browserden klasör seçenekleri “dosya uzantısını göster” demeden bu uzantı, dosya ikonu simgelerine aşinalığı olmayanlar için zaten belli olmuyor değil mi?
    en başta dosya uzantılarının açık olmaması neyin nesidir, niye böyle olması default olarak dayatılmıştır?

    Cevapla
  7. Konuyla alakası yok demeyin lütfen, birileri bu virüsçüleri eliyle koymuş gibi bulup, şimdilik etkisiz hale getirmiş bile, Asıl mevzu ise daha önemli, lütfen alaka buyurun:

    Civcivler gece ve gündüz ışık altında uyutulmadan besleniyor ve iki ay olmadan tavuk halinde Türk milletine sofralanıyor.
    Birileri GDO (genetik manuplasyonlu) mısır ile civciv besledi. Bunu 14 ay boyunca yaptı.
    14 ay sonra GDO mısırı alan yüzlerce civcivden yarısından fazlası kanser oldu.
    GDO mısır verilmeyen kontrol gurubundaki yüzlerce civcivlerden 14 ay sonra sadece bir-ikisi kanser oldu.
    Asıl garipliği söylüyorum:
    Kanserli tavuk yedirilen köpeklerin kimisi de kanser oldu.
    Köpeklere acımadan niye böyle deneyler yapılıyor diye itirazı olanlar şunu düşünsün:

    insanlara acımdan GDO lu tavuk yediren tüm sinsilerin foyalarını ispatlamak için daha iyi bir yöntem biliyorsanız buyrun siz elinizi taşa koyun.

    Turk nüfusu üzerinde teknolojik ve biometrik izleme ile ilgili de haber gördüm:

    Cevapla

Yorum yapın

teakolik hamza şamlıoğlu blog logo

Wordpress altyapısını kullandığımız bu sistem, Sunucu Çözümleri firmasında yüksek performans sağlayan özel sunucularda barındırılmaktadır. Görüntülemek için en iyi Chrome tarayıcı, 1920x1080 çözünürlük ve Full HD Android telefonlarda çalışır. Ayrıca Sitedeki içeriği istediğiniz gibi çarpabilirsiniz. :)