|

Bu virüse dikkat: Sabit diskinizi saniyesinde şifreliyor!

Uzun uzadıya yazdık ki aklınızda soru işareti kalmasın. Bizim canımız yandı, sizinki yanmasın.

Yeni Şafak ve
20:53 - 21/01/2016 Thursday
Güncelleme: 21:23 - 21/01/2016 Thursday
Yeni Şafak

Son yılların en tehlikeli virüslerinden birisi olarak gösterilen Cryptolocker yine hortladı! Bundan iki sene kadar önce doğrudan etkilendiğim ve hem sabit diskimi hem de harici diskimdeki tüm verileri yitirmeme sebep olan bu virüsün gönlümdeki yeri de (!) doğal olarak apayrı.



Uzun ve detaylı biçimde yazdık, üşenmeden okuyun deriz.



Olay şu:


Bize Turkcell, Vodafone, TTNet, Uydunet vb. kısacası telekomünikasyon hizmeti veren herhangi bir kurumdan gönderilmişçesine bir e-posta gönderiliyor. PTT Kargo da taklit edilenler arasında mesela. Burada da 'kargonuz teslim edilemedi, adresinizi güncelleyin' gibisinden bir tuzak var. Güncelle bağlantısına tıklarsak olay bitiyor. Yani diyeceğimiz o ki farklı sektörlerden çeşitli firmalardan gelebiliyor. Bankaların taklit edilip edilmediğini bilmiyoruz ama o da ihtimal dahilinde.







E-postanın adresi, bizde sanki gerçekten o firmaya ait izlenimi uyandıracak şekilde, harf değişiklikleri yahut uzantı değişiklikleriyle (örn. vodafone.com yerine vodofone.com vb.) kamufle ediliyor. Hatta güncellenmiş halinde, artık nasıl yapıyorlarsa resmi adresler üzerinden bile (örn. admin@turkcell.com.tr) göndermeye başlamışlar.



Buraya kadar sorun yok yani e-postayı açmamız bir tehlike teşkil etmiyor. Çünkü asıl olay bunun ertesinde başlıyor. E-postanın içeriği değişkenlik göstermekle birlikte ekseriyetle fatura ödemesine yönelik. Yani; 'Sayın x güncel faturanız aşağıdadır, fatura detayı ektedir.' gibisinden bir şeyler yazıyor. Faturanın meblağı ise ne az ne de aşırı fazla. 500, 750 TL vb. gibi rakamlar söz konusu. Bunun sebebi de tahmin edeceğimiz gibi gerçeklik algısını pekiştirmek.







İşte biz eke (örn. telekom fatura.zip, fatura.zip, fatura.rar vb.) tıkladığımız anda virüs bilgisayarımıza bulaşıyor ve disklerimizi şifrelemeye başlıyor. İşlemi arka planda gerçekleştirdiği için fark etme ihtimalimiz çok güç. Eğer diskiniz doluysa bir anda 'tıkır tıkır' diye ses gelmeye başlayacağından duruma uyanabilirsiniz. Örneğin benim başıma gelen olayda sabit diskimi ben fark bile etmeden komple şifrelemiş harici diskime geçtiğinde o epey bir dolu olduğundan ses çıkarmaya başladığı için duruma uyanmış ve USB kablosunu çıkarmış olmama rağmen verileri kurtaramamıştım. Bunun sebebi ise şifrelemeyi sıralı değil rastgele biçimde yapıyor oluşu. Haliyle başlıkta da belirttiğimiz gibi saniyesinde iş bitiyor!







Virüs şifrelemeyi bitirdikten sonra dosyalarımızın uzantısını değiştiğini görüyoruz. En favori uzantı .encrypted olsa da okuduğumuz kadarıyla .ccc , .vvv , .xxx, .ttt, .micro vb. gibi uzantılar da olabiliyor imiş. Keza bazı dosyaların ismi de değiştirilebiliyor.



İşlem tamamlandıktan sonra masaüstümüze ve şifrelenen klasörlerin içerisine SIFRE_COZME_TALIMATI.html başlıklı bir dosyanın geldiğini görüyoruz. Bunu açtığımız vakitse karşımıza aşağıdaki uyarı sayfası çıkıyor:







'Şifre çözme yazılımı satın almak için tıklayınız' bağlantısına gittiğimiz vakitse şunu görüyoruz:








Şimdi olay şu ki, bu şifrelemeyi kırmamız pratikte imkansız. En profesyoneller için dahi durum maalesef böyle. Çünkü açık kaynak kütüphaneleriyle oluşturulmuş ve aşırı kompleks ve güçlü bir şifre. Haliyle tek çözüm 750 doları ödemekten geçiyor ya da diskimizdeki verilere veda ediyoruz.



Virüsü kaldırması çok da zor değil. Ama burada da sorun uzantıya göre çözümün farklılık göstermesi. Haliyle buradan uzun uzun yazacak halimiz yok hepsini ama internette zaten pek çok makale mevcut konuya ilişkin. Tabii virüsü kaldırsak dahi şifreleme sürüyor. Keza Windows'un dahili sistem görüntüsü alma yahut Acronis vb. 3. parti imaj programlarıyla eski kaydettiğimiz sistem görüntüsü yedeğini geri yüklesek bile yine şifrelemenin sürdüğünü görüyoruz ki asıl kötü olan da bu zaten. Yani kısacası kurtuluşumuz yok.



Peki ne yapıyoruz o halde?



Tabii her şeyden önce yukarıda belirttiğimiz gibi dikkatli oluyor ve bilmediğimiz %100 emin olmadığımız hiçbir bağlantıya tıklamıyoruz.



Her ihtimale karşı b planımız ise harici bir diske tüm verilerimizi yedeklemek ve bu diski sadece ihtiyacımız olduğunda sisteme bağlayıp tüm diğer zamanlarda gözümüzde tutmak. En azından böylece bir formatla işletim sistemimizi yeniden kurar ve verilerimiz zaten yedekli olduğundan kaldığımız yerden kullanmayı sürdürebiliriz. Bu arada eğer sabit diskimizi örneğin 2 bölüme ayırmışsak (sistemin kurulu olduğu C ile yedeğimiz D) format atsak dahi D klasöründeki şifrelemeler süreceğini de söyleyelim. Kısacası bitmeyen bir kabus gibi!



Evet; uzun uzadıya yazdık ki aklınızda soru işareti kalmasın. Velhasıl bizim canımız vaktinde yandı, sizinki yanmasın.








#virüs
#güvenlik
#Cryptolocker
#windows
#microsoft
#rusya
#antivirüs
8 years ago