Kamil DEMİRTAŞ

Bilgi Portalı

sehrinfirsatlariweb

www.sehrinfirsatlari.com

İndirimler Ayağına Geldi

Eğitimler

Web Bağlantıları(Linkler)

mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterBugün45
mod_vvisit_counterDün430
mod_vvisit_counterGeçen Hafta2976
mod_vvisit_counterTümü948302

IP Adresin: 54.92.211.239
Bugün: 21 Kas 2018
Güncel CryptoLocker Saldırısına Dikkat PDF Yazdır e-Posta
Kamil DEMİRTAŞ tarafından yazıldı.   
Cumartesi, 11 Temmuz 2015 13:00
AddThis Social Bookmark Button

 

bilgiguvenligi

Ülkemizdeki internet kullanıcılarını hedef alan KriptoKilit saldırıları daha önce de gerçekleşmişti.[1,2] Fakat bu sefer KriptoKilit güncel sürümü ile daha büyük bir tehdit olarak karşımıza çıktı.  Kendini açık bir şekilde CryptoLocker olarak tanıtan bu yeni zararlı yazılım, yine kullanıcılara ait belli uzantılara sahip dosyaları  şifrelemekte ve bu verilerin kurtarılması için kullanıcılardan“Şifre çözme yazılımı” adında bir yazılım satın almalarını istemektedir.devamini-oku

Bulaşma Şekli

Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir.

 1

 Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta

 

Şekil 1’de gösterildiği üzere fatura tutarı yüksek bir miktardır. Faturanın yüksek tutarından ötürü fatura hakkında bilgi almak isteyen kullanıcılar faturayı görmek istediklerinde Şekil 2’ de gösterilen web adresine yönlendirilmektedirler.

2

 Şekil 2- Fatura İndirme Sayfası

 

Kapçayı girip indir butonuna tıklanıldığında “.zip” uzantılı bir dosya indirmektedir. Bu dosyanın içinde ise “.exe” uzantılı fatura dosyası bulunmaktadır.

(DİKKAT: telefon, internet, banka vb sitelerden hiçbir zaman “.zip” uzantılı  “.exe” uzantılı bir dosya içeren mail GELMEZZZZ)

3

 Şekil 3-İndirilen Zararlı Dosya

 

İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına bulaşmakta ve içi boş olmayan .doc, .docx, .pdf, .txt, .7z, .rar, .zip tipinde olan dosyalar şifrelenmektedir. Şifrelenen dosyaların yeni uzantıları .encrypted olmaktadır. Şekil 4’te bu durum gösterilmektedir.

 

4

 Şekil 4- Şifrelenen Veriler (Uzantılarına baktığınızda  .encrypted oluyor)



5

 Şekil 5- Verilerin Şifrelenmesinden Sonra Ekrana Çıkan Görüntü

 

Zararlı yazılım bilgisayardaki verileri şifreleme işlemini bitirdikten sonra ekrana Şekil 5’teki gibi bir sayfa çıkarmaktadır. Görüldüğü üzere zararlı yazılım şifrelenen veriler karşılığında Şifre çözme yazılımı adı altında bir yazılımın satın alınmasını istemektedir.

 

6

Şekil 6- Şifre Çözme Yazılımı Satın Alma Şekli ve Tutarı


Şekil 5’ te çıkan görüntüdeki linke tıklandığında aslında tor ağı üzerinde olan fakat bir tor proxy hizmeti veren sunucu üzerinden erişilebilen Şekil 6’ daki gibi kişiye özel bir web sayfasına yönlendirilme yapılmaktadır.

Şifre çözme yazılımının satın alınması konusunda ise 96 saat içinde satın alımı durumunda 2398 liradan 1198 liraya kadar indirim yapmaktadır.

Zararlı yazılım ilk yayıldığında antivirüs firmalarının büyük bir çoğunlu tarafından tanınmamıştır. Virustotal sonuçları Şekil 7’de gösterilmektedir.

 

7

 Şekil 7- Antivirüs Firmalarının CryptoLocker Sonuçları

Dikkat Edilmesi Gerekenler 

CryptoLocker gibi eposta yoluyla gelen zararlı yazılımlardan etkilenmemek için gelen eposta adreslerine çok dikkat edilmelidir.Şekil 8’de gerçek bir ttnet fatura eposta adresi ile Şekil 9’da zararlı yazılımının eposta adresleri gösterilmektedir.

 

 

8

Şekil 8- Gerçek TTNet Fatura Gönderim Adresi 

(Türkiyedeki kurumsal firmaların çoğunda web site adresinin sonunda .tr ifadesini görürsünüz.



9

Şekil 9- Sahte Fatura Gönderim Adresi



 

TTNet'in fatura görüntüleme adresi "https//:efatura.ttnet.com.tr" iken zararlı yazılımın kullandığı ise "efatura.ttnet-fatura.info" ve “efatura.ttnet-fatura.biz" adresleridir.

Eposta olarak gönderilen faturaların uzantılarına dikkat edilmelidir. CyrptoLocker zararlı yazılımı bir .exe dosyasıdır. Oysaki TTNet faturaları pdf şeklinde göstermektedir. Dosyaların uzantıları bilgisayarlarda normalde görünmemektedir. Dosya uzantılarını görebilmek için klasör ayarlarından bilinen dosya türleri için uzantılarını gösterme (Hide extensions for known types) ayarı değiştirilmelidir. Şekil 10’da bu ayarlama gösterilmektedir. 

10

 Şekil 10- Dosya Uzantılarının Gösterimi İçin Yapılandırma

Aynı zamanda Ttnet faturaları kullanıcılara faturaları indirtmek yerine browserda göstermektedir. (Şekil 2’de ise sahte sayfa gösterilmiştir.)

 

(Referanslar: http://www.bilgiguvenligi.gov.tr/ Osman Pamuk, Alican Akyol, TÜBİTAK BİLGEM SGE)

 

 

BU VİRÜS BİLGİSAYARA BULAŞINCA NE OLUR:

  

 

  • TÜM SÜRÜCÜLERDEKİ çalışma dosyalarımız şifrelenmiş olur ve şifrelerini çözene kadar bir daha kullanılmaz hale gelir.

  • Yedeğimiz varsa bilgisayardaki virüsü temizledikten sonra geri dosyalarımızı kopyalayabiliriz.

  • Eğer yedeğimiz yoksa virüsü bulaştıran kişi zaten mail adresini klasörlere bırakıyor ve sizden dosyalarınızı geri kurtarması için 1.000$-2000$ hesabına para yatırmanızı istiyor. Yatırsanız bile kurtaracağı meçhul.


HANGİ ÖNLEMLERİ ALMALIYIZ:


  • Bilmediğimiz kişilerden gelen mailleri açmamalıyız



  • Muhasebe vb. çok önemli bilgi içeren bilgisayardan internete girmemekte fayda var.



  • Antivirüs Programları Yüklemeliyiz. ve Programdan Mail güvenliğini en üst düzeye çıkarmalıyız.


  • Trojan temizleme programları yüklemeliyiz.


  • Mutlaka EN AZ 2 TANE HARİCİ DİSKİMİZ Olmalı 



  • (2 adet 1TB diske en fazla 300TL-400TL verirsiniz ama birkaç bin dolar vermekten ve riske atmaktan daha iyidir.)


1. Diske GÜNLÜK YEDEK


2. Diske HAFTADA BİR YEDEK ALMALIYIZ.


VE BU DİSKLERİ ASLA BAŞKA BİR İŞ İÇİN KULLANMAMALIYIZ.


 Yedek sonrasında çıkartıp çok sıcak ve nem olmayan bir ortamda saklamalıyız.

 

 Benim Alışveriş sitemden Disk almak isterseniz. www.sehrinfirsatlari.com

(Ürün hemen elinize geçmesi için lütfen HIZLI GÖNDERİ ürünleri seçiniz.)

 500gb

 

1tb

Son Güncelleme: Cumartesi, 11 Temmuz 2015 16:37