Kamil DEMİRTAŞ

Bilgi Portalı

PDF Yazdır E-posta
Yazar Kamil DEM?RTA?   
Cumartesi, 11 Temmuz 2015 13:00
AddThis Social Bookmark Button

 

bilgiguvenligi

lkemizdeki internet kullan?c?lar?n? hedef alan KriptoKilit sald?r?lar? daha nce de gerekle?mi?ti.[1,2] Fakat bu sefer KriptoKilit gncel srm ile daha byk bir tehdit olarak kar??m?za ?kt?.  Kendini a?k bir ?ekilde CryptoLocker olarak tan?tan bu yeni zararl? yaz?l?m, yine kullan?c?lara ait belli uzant?lara sahip dosyalar?  ?ifrelemekte ve bu verilerin kurtar?lmas? iin kullan?c?lardan?ifre zme yaz?l?m? ad?nda bir yaz?l?m sat?n almalar?n? istemektedir.devamini-oku

Bula?ma ?ekli

Zararl? yaz?l?m fatura epostalar? ?eklinde kullan?c?lara eposta gndermektedir.

 1

 ?ekil 1- CryptoLocker Taraf?ndan Kullan?c?lara Gnderilen Eposta

 

?ekil 1de gsterildi?i zere fatura tutar? yksek bir miktard?r. Faturan?n yksek tutar?ndan tr fatura hakk?nda bilgi almak isteyen kullan?c?lar faturay? grmek istediklerinde ?ekil 2 de gsterilen web adresine ynlendirilmektedirler.

2

 ?ekil 2- Fatura ?ndirme Sayfas?

 

Kapay? girip indir butonuna t?klan?ld???nda .zip uzant?l? bir dosya indirmektedir. Bu dosyan?n iinde ise .exe uzant?l? fatura dosyas? bulunmaktad?r.

(D?KKAT: telefon, internet, banka vb sitelerden hibir zaman .zip uzant?l?  .exe uzant?l? bir dosya ieren mail GELMEZZZZ)

3

 ?ekil 3-?ndirilen Zararl? Dosya

 

?ndirilen bu zararl? yaz?l?m al??t?r?ld???nda ise zararl? yaz?l?m kullan?c?n?n bilgisayar?na bula?makta ve ii bo? olmayan .doc, .docx, .pdf, .txt, .7z, .rar, .zip tipinde olan dosyalar ?ifrelenmektedir. ?ifrelenen dosyalar?n yeni uzant?lar? .encrypted olmaktad?r. ?ekil 4te bu durum gsterilmektedir.

 

4

 ?ekil 4- ?ifrelenen Veriler (Uzant?lar?na bakt???n?zda  .encrypted oluyor)



5

 ?ekil 5- Verilerin ?ifrelenmesinden Sonra Ekrana ?kan Grnt

 

Zararl? yaz?l?m bilgisayardaki verileri ?ifreleme i?lemini bitirdikten sonra ekrana ?ekil 5teki gibi bir sayfa ?karmaktad?r. Grld? zere zararl? yaz?l?m ?ifrelenen veriler kar??l???nda ?ifre zme yaz?l?m? ad? alt?nda bir yaz?l?m?n sat?n al?nmas?n? istemektedir.

 

6

?ekil 6- ?ifre zme Yaz?l?m? Sat?n Alma ?ekli ve Tutar?


?ekil 5 te ?kan grntdeki linke t?kland???nda asl?nda tor a?? zerinde olan fakat bir tor proxy hizmeti veren sunucu zerinden eri?ilebilen ?ekil 6 daki gibi ki?iye zel bir web sayfas?na ynlendirilme yap?lmaktad?r.

?ifre zme yaz?l?m?n?n sat?n al?nmas? konusunda ise 96 saat iinde sat?n al?m? durumunda 2398 liradan 1198 liraya kadar indirim yapmaktad?r.

Zararl? yaz?l?m ilk yay?ld???nda antivirs firmalar?n?n byk bir o?unlu taraf?ndan tan?nmam??t?r. Virustotal sonular? ?ekil 7de gsterilmektedir.

 

7

 ?ekil 7- Antivirs Firmalar?n?n CryptoLocker Sonular?

Dikkat Edilmesi Gerekenler 

CryptoLocker gibi eposta yoluyla gelen zararl? yaz?l?mlardan etkilenmemek iin gelen eposta adreslerine ok dikkat edilmelidir.?ekil 8de gerek bir ttnet fatura eposta adresi ile ?ekil 9da zararl? yaz?l?m?n?n eposta adresleri gsterilmektedir.

 

 

8

?ekil 8- Gerek TTNet Fatura Gnderim Adresi 

(Trkiyedeki kurumsal firmalar?n o?unda web site adresinin sonunda .tr ifadesini grrsnz.



9

?ekil 9- Sahte Fatura Gnderim Adresi



 

TTNet'in fatura grntleme adresi "https//:efatura.ttnet.com.tr" iken zararl? yaz?l?m?n kulland??? ise "efatura.ttnet-fatura.info" ve efatura.ttnet-fatura.biz" adresleridir.

Eposta olarak gnderilen faturalar?n uzant?lar?na dikkat edilmelidir. CyrptoLocker zararl? yaz?l?m? bir .exe dosyas?d?r. Oysaki TTNet faturalar? pdf ?eklinde gstermektedir. Dosyalar?n uzant?lar? bilgisayarlarda normalde grnmemektedir. Dosya uzant?lar?n? grebilmek iin klasr ayarlar?ndan bilinen dosya trleri iin uzant?lar?n? gsterme (Hide extensions for known types) ayar? de?i?tirilmelidir. ?ekil 10da bu ayarlama gsterilmektedir. 

10

 ?ekil 10- Dosya Uzant?lar?n?n Gsterimi ?in Yap?land?rma

Ayn? zamanda Ttnet faturalar? kullan?c?lara faturalar? indirtmek yerine browserda gstermektedir. (?ekil 2de ise sahte sayfa gsterilmi?tir.)

 

(Referanslar: http://www.bilgiguvenligi.gov.tr/ Osman Pamuk, Alican Akyol, TB?TAK B?LGEM SGE)

 

 

BU V?RS B?LG?SAYARA BULA?INCA NE OLUR:

  

 

  • TM SRCLERDEK? al??ma dosyalar?m?z ?ifrelenmi? olur ve ?ifrelerini zene kadar bir daha kullan?lmaz hale gelir.

  • Yede?imiz varsa bilgisayardaki virs temizledikten sonra geri dosyalar?m?z? kopyalayabiliriz.

  • E?er yede?imiz yoksa virs bula?t?ran ki?i zaten mail adresini klasrlere b?rak?yor ve sizden dosyalar?n?z? geri kurtarmas? iin 1.000$-2000$ hesab?na para yat?rman?z? istiyor. Yat?rsan?z bile kurtaraca?? mehul.


HANG? NLEMLER? ALMALIYIZ:


  • Bilmedi?imiz ki?ilerden gelen mailleri amamal?y?z



  • Muhasebe vb. ok nemli bilgi ieren bilgisayardan internete girmemekte fayda var.



  • Antivirs Programlar? Yklemeliyiz. ve Programdan Mail gvenli?ini en st dzeye ?karmal?y?z.


  • Trojan temizleme programlar? yklemeliyiz.


  • Mutlaka EN AZ 2 TANE HAR?C? D?SK?M?Z Olmal? 



  • (2 adet 1TB diske en fazla 300TL-400TL verirsiniz ama birka bin dolar vermekten ve riske atmaktan daha iyidir.)


1. Diske GNLK YEDEK


2. Diske HAFTADA B?R YEDEK ALMALIYIZ.


VE BU D?SKLER? ASLA BA?KA B?R ?? ??N KULLANMAMALIYIZ.


 Yedek sonras?nda ?kart?p ok s?cak ve nem olmayan bir ortamda saklamal?y?z.

 

 Benim Al??veri? sitemden Disk almak isterseniz. www.sehrinfirsatlari.com

(rn hemen elinize gemesi iin ltfen HIZLI GNDER? rnleri seiniz.)

 500gb

 

1tb

Cumartesi, 11 Temmuz 2015 16:37 tarihinde güncellendi