CryptoLocker Saldırısına Dikkat

Merhaba Arkadaşlar son haftalarda çok yaygın olarak bu konu üzerine aşırı soru aldığımdan dolayı bu makaleyi sizlerle paylaşmakta fayda gördüm. Ülkemizdeki internet kullanıcılarını hedef alan KriptoKilit saldırıları daha önce de gerçekleşmişti.[1,2] Fakat bu sefer KriptoKilit güncel sürümü ile daha büyük bir tehdit olarak karşımıza çıktı. Kendini açık bir şekilde CryptoLocker olarak tanıtan bu yeni zararlı yazılım, yine kullanıcılara ait belli uzantılara sahip dosyaları şifrelemekte ve bu verilerin kurtarılması için kullanıcılardan “Şifre çözme yazılımı” adında bir yazılım satın almalarını istemektedir.
Bulaşma Şekli

Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir.

image1
Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta

Şekil 1’de gösterildiği üzere fatura tutarı yüksek bir miktardır. Faturanın yüksek tutarından ötürü fatura hakkında bilgi almak isteyen kullanıcılar faturayı görmek istediklerinde Şekil 2’ de gösterilen web adresine yönlendirilmektedirler.
image2
Şekil 2- Fatura İndirme Sayfası
Kapçayı girip indir butonuna tıklanıldığında “.zip” uzantılı bir dosya indirmektedir. Bu dosyanın içinde ise “.exe” uzantılı fatura dosyası bulunmaktadır.

image3
Şekil 3-İndirilen Zararlı Dosya
İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına bulaşmakta ve içi boş olmayan .doc, .docx, .pdf, .txt, .7z, .rar, .zip tipinde olan dosyalar şifrelenmektedir. Şifrelenen dosyaların yeni uzantıları .encrypted olmaktadır. Şekil 4’te bu durum gösterilmektedir.

image4
Şekil 4- Şifrelenen Veriler

image5
Şekil 5- Verilerin Şifrelenmesinden Sonra Ekrana Çıkan Görüntü
Zararlı yazılım bilgisayardaki verileri şifreleme işlemini bitirdikten sonra ekrana Şekil 5’teki gibi bir sayfa çıkarmaktadır. Görüldüğü üzere zararlı yazılım şifrelenen veriler karşılığında Şifre çözme yazılımı adı altında bir yazılımın satın alınmasını istemektedir.

image6
Şekil 6- Şifre Çözme Yazılımı Satın Alma Şekli ve Tutarı

Şekil 5’ te çıkan görüntüdeki linke tıklandığında aslında tor ağı üzerinde olan fakat bir tor proxy hizmeti veren sunucu üzerinden erişilebilen Şekil 6’ daki gibi kişiye özel bir web sayfasına yönlendirilme yapılmaktadır.

Şifre çözme yazılımının satın alınması konusunda ise 96 saat içinde satın alımı durumunda 2398 liradan 1198 liraya kadar indirim yapmaktadır.

Zararlı yazılım ilk yayıldığında antivirüs firmalarının büyük bir çoğunlu tarafından tanınmamıştır. Virustotal sonuçları Şekil 7’de gösterilmektedir.

image7
Şekil 7- Antivirüs Firmalarının CryptoLocker Sonuçları
Dikkat Edilmesi Gerekenler

CryptoLocker gibi eposta yoluyla gelen zararlı yazılımlardan etkilenmemek için gelen eposta adreslerine çok dikkat edilmelidir. Şekil 8’de gerçek bir ttnet fatura eposta adresi ile Şekil 9’da zararlı yazılımının eposta adresleri gösterilmektedir.

image9
Şekil 8- Gerçek TTNet Fatura Gönderim Adresi

image9
Şekil 9- Sahte Fatura Gönderim Adresi

Eposta olarak gönderilen faturaların uzantılarına dikkat edilmelidir. CyrptoLocker zararlı yazılımı bir .exe dosyasıdır. Oysaki TTNet faturaları pdf şeklinde göstermektedir. Dosyaların uzantıları bilgisayarlarda normalde görünmemektedir. Dosya uzantılarını görebilmek için klasör ayarlarından bilinen dosya türleri için uzantılarını gösterme (Hide extensions for known types) ayarı değiştirilmelidir. Şekil 10’da bu ayarlama gösterilmektedir.

image10
Şekil 10- Dosya Uzantılarının Gösterimi İçin Yapılandırma

Aynı zamanda Ttnet faturaları kullanıcılara faturaları indirtmek yerine browserda göstermektedir. Şekil 11‘ da gerçek Ttnet fatura görüntüleme ekranı gösterilmektedir. Şekil 2’de ise sahte sayfa gösterilmiştir.

image11
Şekil 11- Gerçek Fatura Görüntüleme Sayfası

Sonuç olarak, internetten indirilen dosyalar, epostalar açılmadan önce dikkatle okunmalıdır. Epostayı gönderen adreslere, epostanın içeriğine, indirilen dosyanın uzantısına dikkat edilmeli ve emin olunduktan sonra dosyalar açılmalıdır.

Yazar Hakkında Mustafa KURU


    • huseyin on 24 Mart 2016 at 19:27
    • Cevapla

    merhaba Mustafa bey

    bahsettiğiniz encrypted uzantılı dosyaları bazıları çözebiliyor. bilginiz var mı ? benim dosyalarım şifrelendi. ücret istiyorlar dosyaları çözmek için. makalenizi okudum yardımcı olabileceğinizi düşünüyorum

    Teşekkürler

    1. Merhaba Hüseyin,

      Çözüm yok ama çözebildiğini idda edenler var oda büyük ihtimalle sizin adınıza para yatırıp şifreleme exe sini istiyor tabi sizede 3 katı fiyat söylüyor aslında sizin adınıza 500 dolarını riske atıyor tabi sizden gelecek 1500-2000 dolar için tavuk kaz meselesi yedek yoksa malesef geçmiş olsun.

Bir cevap yazın

Your email address will not be published.