Dikkat Türkçe CryptoLocker !!!

Cryptolocker adlı zararlı yazılımı mutlaka aramızdan duyanlar vardır. Kısaca özetlemek gerekirse akıllıca tasarlanmış bu zararlı yazılım, bulaştığı makinelerde bir kullanıcı için önem arz eden tüm dosyaları kırılması neredeyse imkansız bir anahtar (2048 bit) kullanarak şifreliyor ve sizden dosyalarınıza erişebilmek için gerekli anahtarı paylaşmak üzere 300$ gibi bir ücret talep ediyordu.Bu zararlı yazılımın bugüne kadar bir çok farklı versiyonu bulunuyordu ve genellikle bir telefon faturası veya buna benzer abonelik gerektiren servislerden gönderilen sahte e-postalar ile bulaşıyordu. Ülkemizde ise yabancı servisler pek kullanılmadığı için ve gelen e-postanın zararlı bir yazılım içerdiği açıkça belli olduğu için pek yayılmamıştı.

Bugün bir müşterimde Türkçe Cryptolocker ile karşı karşıya geldim. TTNET faturası görünümünde gönderilen bu e-posta ile ilgili uyarılarımı yapmak istiyorum, zira bulaştıktan sonra şifrelenmiş dosyalara erişmek neredeyse imkansız hale geliyor. Bu da yedeğiniz yok ise o uzun saatler boyu çalıştığınız bilanço dosyasının veya bitirme tezinizin üstüne bir bardak soğuk su içmeniz demek. Bu tarz zararlı yazılımlar her zaman olacağı için önemli dosyalarınızı her zaman yedeklemenizi önererek nasıl bulaştığını resimler ile açıklamak istiyorum.

1) Öncelikle bilgisayarımıza adet olduğu üzere her zaman görmeye alıştığınız şekle bürünmüş olan bir e-fatura geliyor. E-posta’nın konusu “xxxxxxxx Hesap Nolu Kasım 2014 Faturanız” olduğu için ne kadar faturam gelmiş diye merak edip çift tıklıyor ve e- postayı açıyorsunuz.

2) Karşınıza TTNET’ten gelmiş gibi gözüken bir e-posta çıkıyor (itiraf etmeliyim ki çok iyi taklit edilmiş). Bir çok bilgisayarda güvenlik sebebiyle görüntülerin yüklenmesi engellendiğinden ilk olarak odaklandığınız yer elbette faturanın tutarı oluyor. O da ne ? Tam olarak 219,57 TL fatura gelmiş !!! Nasıl olur? Benim faturam hep 69 TL gelirdi dedikten sonra panikle linke tıklıyorsunuz. Link sizi gerçek adrese çok benzeyen bir adrese yönlendiriyor ; “http://efatura.ttnet-fatura.com/GUID#”

3) Karşımıza çıkan ekranda doğayı koruduğumuza (!) dair bir ibare geliyor ve siz faturanın yüksek tutarının paniğiyle hızlıca doğrulama kodunu giriyorsunuz.

4) Hemen gelen dosyayı aç dedikten sonra (download adresine dikkat : mediafire dosya paylaşım sitesi) karşınıza çıkan fatura_GUID.exe dosyasını tıklıyorsunuz ve sisteminize zararlı yazılım bulaşıyor. Sonra ne mi oluyor?

5) Bilgisayarınızdaki tüm önemli dosyalar 2048 bitlik bir anahtar ile şifrelendikten sonra karşınıza neredeyse her klasörde olan “SIFRE_COZME_TALIMATI.html” ekranı geliyor. Bu ekran da diğerleri gibi gayet profesyonel hazırlanmış ve Sıkça Sorulan Sorular bölümü bile eklenmiş şekilde kurbandan ciddi miktarda para istiyor. Bundan sonraki aşamalarda zararlı yazılımın temizlenmesi neredeyse diğer cryptolocker varyantları ile aynı, ancak tek farkla ; neredeyse hiç bir anti-virüs yazılımı bu zararlı yazılımı bulamıyor !!! Bazı anti-virüs programları ise bunun zararlı bir yazılım olduğundan şüpheleniyor ve bir yere kadar bilgisayarımızdan temizleyebiliyor.

Bundan sonraki aşama ise ne yazık ki daha önceden belirttiğim gibi eğer yedekleriniz var ise onları geri yüklemek ve bir daha bulaşmaması için önlem almak.

Ciddi maddi/manevi zarar verebilecek bu yazılımdan korunmak için asla e-posta ile gelen dosyaları açmayın ve gelen e-postalardaki ayrıntılara dikkat edin, ne de olsa şeytan ayrıntıda gizlidir. ..

Emre Özcan 2016-09-15T11:21:57+00:00

About the Author: Emre Özcan

Emre Özcan 1984'de herhangi bir şeye tepki olarak doğdu. İkizler burcu bir bilişim çalışanı. İnsan ilişkileri,futbol,internet,sosyal medya,felsefe ve dini konularla ilgilenmeyi çok seviyor. Şimdilik Ataşehir'de tek başına yaşıyor zengin olunca Cihangir'e taşınacak.

Lütfen yorumlarınızla desteklemekten çekinmeyin

%d blogcu bunu beğendi: