“Türkiye dijital saldırı fırtınası altında”
Uzun süredir, hemen hemen her gün farklı türevleriyle, bir takım firmaların e-fatura şablonları taklit edilerek kullanıcıları yanıltan sahte e-postalar gönderilmektedir. Özellikle trojanın türevlerinin devamlı değişmesi, kısa sürede birçok kullanıcıya aynı anda ulaşabiliyor olması ve yerel olarak (sadece Türkiye’de) yayılması anti virüs programlarının işini zorlaştırıyor.
Son olarak firmamın da yakalandığı bu trojan türevi olan “Ransomware” yani fidye trojanı sisteminizi çökertmek yerine tüm dosyalarınızı dakikalar içerisinde kırılamaz bir şifreleme(AES-265, RSA-2048) ile şifrelemektedir.
Örnek vermek gerekirse; 5000 parçalık puzzle da oluşturduğunuz muhteşem tablonun tam ortasını oluşturan O tek parçanın hırsızın elinde olup sizden fidye istediğini hayal edin.(puzzle ile uğraşanlar iyi bilir ki ruh sağlığımızı bozan bir eksikliktir O tek parça )
“Cryptolocker” şifrelediği tüm dosyaların hemen altına “ŞİFRE ÇÖZME TALİMATI” adında html ve txt olmak üzere iki adet dosya yaratır. Dosyada sadece sizin sisteminize özel yaratılmış bir kullanıcı adı ve şifre olan linke tıkladığınızda, yatırmanız gereken para miktarını “bitcoin” cinsinden çeviren transfer bilgileri yer almaktadır. Herkesin düşündüğü “parayı yatırırsam şifreyi verecekler mi?” kaygısını bir nebze olsun dindirmek isteyen bu “dürüst hırsızlar!” işlemin işe yarayıp yaramadığını kanıtlayan ve sadece tek bir dosyaya izin veren şifre çözme işlemini sunup ağzımıza bal çalmaktadırlar(gerçekten çözüyor). Bu işlemleri yerine getirmeniz için belirtilen süre 96 saattir.
Gelelim bu beladan kurtulma yöntemine. Uzun uzun anlatmama gerek kalmadan “TÜBİTAK” ve dünyaca ünlü anti virüs markalarının da belirttiği gibi KURTULUŞ YOK!!!
“Cryptolocker” ın ilk versiyonlarında birçok sistem uzmanın sistem performansını etkilediği düşüncesiyle kapattığı “Shadow Copy Service” sayesinde bu beladan datanın büyüklüğüne göre kısa sürede kurtulabiliyordunuz. Ama son versiyonlarında akıllanan bu “dürüst hırsızlar!” önceliği backup ve shadow copy servislerini bertaraf ederek başlıyorlar. Dosyaların şifrelenme önceliği ofis dokümanları olup(doc,xls,ppt vb.) tüm dosyaları “*.encrypted” olarak açılamaz hale getirmektedir.
Yaptığım araştırmalarda yayılmanın kısa sürede fark edilip sistemin izole edilmesini müteakip sistemin restart yapılmasının ardından yayılma durmaktadır. En azından şifrelenmemiş dosyaların toplanıp sistemden çıkartılması yaşanan zararın en aza indirilmesi için büyük bir başlangıç olur. Sisteminizde aldığınız yedeklerin düzenli olarak ağdan ulaşılmayacak şekilde dışarı çıkartılması da alınabilecek önlemlerden birisidir.
Tüm meslektaşlarımın da benle hem fikir olacağına inandığım önlem ise “BİLİNÇLİ KULLANICI” dır. Evet ne kadar kaliteye ve dünya standartlarına uyarsak uyalım ve en son güvenlik protokolleri ile kendimiz donatırsak donatalım kullanıcının “phishing” yöntemine merak ve korku sebebiyle kanacağını unutmayalım(merak kediyi öldürür). İyi bir oryantasyon, düzenli eğitimler bu tür güvenlik açılarını kapatmakta en iyi araçlardır.
Bir çivi yüzünden bir nal, bir nal yüzünden bir at, bir at yüzünden bir atlı gidiverir. (Benjamin Franklin)