Yeni Baş Belamız “CryptoLocker”

  • Haberin Tarihi: 30/07/2015
  • Bu haber 2350 defa okundu.
  • Bu Haberi Sosyal Medyada Paylaş:
  • Googleda Paylaş
  • Twitterda Paylaş
  • Facebookta Paylaş
Yeni Baş Belamız “CryptoLocker”

Hemen hemen her gün e-posta adreslerimize gelen bir e-postayı açtığımızda ve daha sonra bilgisayarlarımızdaki tüm dosyaların şifrelendiği, şifrenin verilmesi karşılığında ücret talep edildiği şikayetleri gelmektedir. Burada bahsedilen CryptoLocker yeni bir virüs değil, birkaç senedir varlığını sürdüren ve dönem dönem yayılan bir Ransomware (Fidye Yazılımı). Bulaştığı bilgisayardaki verileri çözülmesi imkansıza yakın olan RSA-2048 ile şifreleyen ve yarattığı özel şifre anahtarını vermek için de 100$ ile 500$ arasında paralar isteyen zararlı bir yazılım. Dakikada 5gb’a kadar Data şifreleyen bu zararlı kod, yaklaşık 10 dakika içerisinde sabit diskinizdeki tüm verileri şifreleyebiliyor.

Saldırıya uğradıktan sonra çok da fazla yapılacak bir şey olmadığından,

“Saldırı nasıl gerçekleştirilir?”

“Saldırıdan nasıl korunabilirim?”

“Cryptolocker Gönderici E-postasından Nasıl Tespit Edilebilir?

şeklinde 3 başlık altında topladık.

Saldırı Nasıl Gerçekleştirilir?

1- Öncelikle hedef kullanıcının e-postasına yüksek meblağlı bir fatura(Turkcell, Avea, Vodafone,TTNET,Superonline vb.) gönderilir. Bu sahte e-posta; kullanıcıya gönderilen gerçek fatura e-postasının neredeyse birebir kopyasıdır. Dikkat edilmesi gereken husus, fatura tutarının yüksek gösterilerek kişinin merakını uyandırması ve bu sayede e-postada yer alan ‘E-faturamı Görüntüle’ veya ‘E-fatura Ödeme’ gibi bağlantılara tıklanmasının sağlanması.

Son günlerde karşılaşılan diğer bir yöntem ise PTT posta hizmetlerinin adını kullanarak ‘Kargonuz teslim edilememiştir’ başlığıyla e-posta atmak şeklindedir. Bu yöntemde kullanıcıdan adres bilgilerini güncelleyip kargolarını alabilmeleri için ‘PTT Adres Değişikliği Formu’nu doldurmaları istenmekte ve teslim edilmeyen gün başına ücret ödenmesi gerektiği belirtilmektedir.”

2-Bunu gören kullanıcı boş bulunup, faturayı açarsa, tüm dosyaları kriptolanır.

3-Kullanıcı bu dosyaları açmak istediğinde, “ Şu kadar ödeme yaparsanız, dosyalarınızı açabilirim.” şeklinde bir uyarı mesajı gelir.

4- Hacker’lar ile pazarlık yaptığını iddia eden, ve bunu bir çok medya kanalında reklam eden kişilere kesinlikle itibar etmeyiniz. Zira karşınızda bir hacker değil, bir otomasyon var. Eğer siz bitcoin’den sizin kodunuza denk gelen kod ile karşı tarafa coin gönderirseniz, otomasyon saliseler içinde decrypt yazılımını hazırlayıp kullanmanız üzere indirmeye sunuyor. Fakat bu işlemleri kesinlikle eksiksiz ve hatasız yapmalısınız. Zira eğer bir yanlışlık yaparsanız gönderdiğiniz paranın çöpe gitme ihtimali yüksek.

Technopat Sosyal

Saldırıdan nasıl korunabilirim?

1-Öncelikle Antivirüs programınızın kurulu ve güncel olduğuna emin olun.

2- Kurumsal veya kişisel e-posta adresinize gelen özellikle yüksek meblağlı faturaları açmayın.

3-Bilgisayarınızda Bilinen Dosya Türleri İçin Uzantıları Gizle seçeneği işaretli olmamalıdır.  Klasör Seçenekleri menüsünden bu ayarı değiştirebilirsiniz. Nasıl Yapılır?

4- Verilerinizi sık aralıklarla yedeklemek, muhtemel bir saldırıdan  en az zararla kurtulmanızı sağlayacaktır. Yedekleme Harici Harddisk veya Bulut ortamlara yapılmalı.

 

Cryptolocker Gelen E-postadan Nasıl Tespit Edilebilir?

Gelen sahte e-postanın bir örneği aşağıdadır. Bu örnek üzerinden gidelim.
teknoajans2

1-Gönderen e-posta adresinden tespit etme

Technopat Youtube

From/Gönderen kısmında kişisel bir e-posta adresi var. Kişiyi aldatmak amacıyla, genellikle burada içinde faturanın ait olduğu kurumun ismi yer alan bir e-posta oluyor. ( sedef@turkcell-fatura.org )

Bu da başka bir örnek; gönderici e-posta adresine dikkat. Hemen yakalayabilirsiniz.( bahar@ptt-posta.info )

teknoajans1

Turkcell in resmi adresi http://www.turkcell.com.tr/ dir. Bu sahte bildirimlerde, “turkcell-fatura.org” veya “turkcell-fatura.biz” ve benzeri bir çok sahte adres kullanılabiliyor bu nedenle,  gelen bildirimin ve sizi yönlendirdiği adresin Turkcell in resmi adresi olmasına özenle dikkat etmeniz gerekiyor.

Fatura e-postaları her zaman aynı e-posta adresinden gönderilmektedir. Aşağıda, bazı operatörlerin standart fatura adresleri listelenmektedir. Karşılaştırma yapmanız faydalı olacaktır.

Turkcell:

efatura@haberdaret.turkcell.com.tr

Avea:

e-fatura@bulten.avea.com.tr

Superonline:

digital@fatura.superonline.com

Digiturk:

e-fatura@fatura.digiturk.tv

Cryptolocker gönderen adres, USOM tarafından hemen kara listeye alınmakta ama bu adres sürekli değiştirildiğinden bir fayda sağlamamaktadır.

teknoajans3

2-Hitap cümlesinden tespit etme

Turkcell’den gelen orijinal mailde mutlaka adınız ve soyadınız yer alıyor. CryptoLocker içeren sahte postada ise “Değerli Müşterimiz” gibi genel bir kalıp yer alıyor. Çünkü adınızı ve soyadınızı bilmiyor.

3- Captcha Kodu ile Sayfayı Yenileyerek Tespit Etme

Gelen e-postayı açtığınızda, sizden faturanızı görüntülemek için tıklamanızı isteyecek. Açılan sayfada; Captcha Kodu denilen bir kod var. Normalde bu kod sayfayı her yenilediğinizde değişmelidir. Ama Cryptolocker saldırısında hep aynı kod gelmektedir. Bu da tespit için faydalı olacaktır. Sayfayı yenileyerek kodun değişip değişmediğini mutlaka kontrol edin. Sayfa yenileme; ya sağ tuş ile açılan menüde yenile sekmesine tıklayın, ya da F5 tuşuna basın.

teknoajans4

5- İndir butonuna tıkladığınızda, dosyanın uzantısını kontrol edin. Faturalarımız genellikle .pdf uzantılı gelmektedir. İkon resminin PDF şeklinde görünmesi sizi yanıltmasın. Sadece uzantıyı kontrol etmelisiniz.
teknoajans5

Saldırıların kurbanı olmak istemiyorsanız bunlara dikkat ederek korunmanız mümkün.

Bir Yorum Yazın