Fidye Virüslerinden Korunma

Cryptolocker ve Ransomware fidye virüsleri kullanıcıların dikkatsizliği ve zaafiyetinizden faydalanacak şekilde tasarlanmıştır. Cryptolocker ve Ransomware fidye virüsleri sizin dikkatsizliğinizden ve zaafiyetinizden faydalanacak bir sahte e-posta ile geliyor. Bu gelen sahte e-posta bankadan ödeme dekontu veya fatura ödemesi bilgisi gibi görünmektedir.

Bu gelen sahte e-postanın ekinde veya içindeki linkte size bulaşmaya hazır bir virüs bulunmaktadır.

Gelen e-posta profesyonel olarak orijinal gibi hazırlanmıştır. Sizin dikkatinizden kaçacak ve zaafiyetinizden faydalanacak bilgiler bulunmaktadır. Örneğin hesabınızdan yüksek miktarda para havale edildi veya çok yüksek fatura tutarı gibi bilgiler bulunmaktadır. Bu bilgileri görünce işinizin yoğunluğunda dikkatiniz azaldığı için e-posta ekine veya içindeki linke tıklıyorsunuz.

E-posta ekinde zip ile sıkıştırılmış dosya bulunmaktadır. E-posta içindeki linke tıkladığınızda zip ile sıkıştırılmış dosya indirmemizi istiyor. Bazı e-postaların ekinde veya içindeki linkte direk çalıştırmanız .exe dosya bulunmaktadır. Zip ile sıkıştırılmış dosyayı açtığınızda bir .exe uzantılı bir dosya çıkıyor. Bu dosya uzantıları .scr . vbs gibi farkli olabilir.

İşte size bulaşmaya hazır bir virüs.

Bu zararlı .exe uzantılı programı tıkladığınızda, kendini aktif tekrar hale getirmek ve kendini saklamak için işletim sisteminizde bazı değişiklikler yapıyor. Siz normal çalışmanıza devam ederken, Cryptolocker ve Ransomware fidye virüsü arka planda çalışmaya başlıyor. Bilgisayarınızı kapatıp tekrar açtığınızda yine arka planda çalışmaya devam ediyor.

CryptoLocker zararlı programın otomatik çalışma “autorun” registry key kayıtı:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “CryptoLocker”:****.exe

Cryptolocker ve Ransomware fidye virüsü arka planda dosyaları şifrelemeye başlıyor. Şifrelemeyi RSA-2048 and AES-256 gibi güçlü şifreleme yöntemleri ile yapmaktadır. Dosyaları şifrelemesi dosya sayısına ve büyüklüğüne bağlı olarak, bazı dosyaları 1-2 saniyede şifrelerken bazı dosyaları şifrelemesi günler sürmektedir.

Şifreleme işleminde yeni şifreli dosya oluşturup eski dosyayı silme şeklinde olmaktadır.

Şifrelediği dosyaların uzantısı sonuna .encrypted vb. kelimeler eklenmektedir. Şifreleme işlemlerini genellikle kullandığımız Word (.doc), Excel (.xls), Resimler (.jpg) bütün önemli dosyalarımıza sıra ile yapmaktadır.

Bu Cryptolocker ve Ransomware zararlı program şifrelemeyi bitirdiğinde bilgisayarınızın masaüstüne SIFRE_COZME_TALIMATI.html dosyası ekler. Cryptolocker ve Ransomware virüs programı işletim sistemine zarar vermez sadece çok kullanılan 70 farklı uzantıdaki dosyaları şifreler. Yeni oluşturduğunuz dosyaları, sonradan taktığınız usb flash bellekteki dosyalarda şifrelemeye devam eder.

Önemli bütün dosyalarınız şifrelenmiştir. Bu virüs çok güçlü RSA-2048 şifreleme algoritması kullanır. RSA-2048 şifreleme algoritması kırılamaz kabul edilmektedir. Her bilgisayar için farklı anahtarlarla şifrelenen dosyaların çözülmesi mümkün olmamaktadır. Şifrenin çözülmesi günümüz şartlarında şifre anahtarını bilmeden mümkün değildir.

Sizden bu şifrelenmiş dosyaları çözmek için para istemeye başlar. İstenilen paralar 300 Usd, 500 Euro, 100 Bitcoin vb. olabilir. Şuan takibi zorluğu nedeniyle Sanal Para istenmektedir.

1. Bilgisayarlarımızda lisanslı yazılımlar kullanılmalıdır. Lisansız yazılımlar genellikle virüs içermektedir.
2. İşletim sistemi ve kullandığınız programların güncellemeleri yapılmalıdır.
3. Güncel iyi bir internet güvenlikli antivirüs programınız olmalıdır. Antivirüs programları yeni virüslerde tespit sorunları yaşamaktadır.
4. Bilgileriniz düzenli olarak güvenli ve sistem bağlantısı olmayan ortamlara (harici disklere) yedeklenmelidir. Yedekleme amacıyla kullandığınız sabit disklerinizi asla sürekli sisteme bağlı bırakmayınız. Bulut depolama alanlarına ilişkin şifrelerinizi asla bilgisayarınıza kaydetmeyiniz, sürekli el ile giriniz.
5. Yerel ağdaki kullanıcılara ve kendi bilgisayarınıza güçlü şifreler kurunuz.
6. İnternetten indirdiğiniz dosyaları mutlaka antivirüs programı ile tarayınız.
7. Bilgisayarınızdaki diskler için Shadow Copy (Sistem Koruması) veya File History aktif olmalıdır. Virüsün bazı versiyonları işletim sisteminin tuttuğu eski versiyonları silmektedir.
8. Bilgisayarınızdaki Guest ve Administrator kullanıcıları devre dışı bırakılmalıdır.
9. Gelen e-posta adresini ilgili kurum ile aynı adres olduğunu görsel olarak doğrulayın. Linke tıkladığınızda ilgili kurumun resmi sitesi olduğunu doğrulayın.
10. Tanımadığınız, sizinle bir iş iliskisi olmayan kurumlardan gelen mailleri şüpheli olarak inceleyiniz.
11. Virüsün, ödeme için yönlendirdiği adreslerle gidilmemeli ve para gönderilmemeli. Parayı almalarına rağmen şifreyi göndermeyen birçok olay bilinmektedir.

Bilgisayar sistemine asla müdahale etmeyiniz. Uzman bir teknik destek elemanı ile kurtarma planı oluşturup, bu plana göre hareket ediniz.

Cryptolocker ve Ransomware fidye virüslerinden kurtulma 2 aşamalı bir işlemdir. Cryptolocker ve Ransomware fidye virüslerinin temizlenmesi ve virüsün şifrelediği dosyaların şifresiz hale getirilmesi.

1. Cryptolocker ve Ransomware Fidye Virüslerinin Temizlenmesi

   Virüsü temizlemek, şifrelenen dosyaların şifresini çözmez, sadece virüsün daha fazla dosyanızı şifrelemesini engeller.

   Temizleme işlemine başlamadan önce uzman teknik destek elemanından disk yedekleri oluşturmasını isteyiniz. Bir sorun oluştuğunda bu yedeklere dönüş yapılabilmelidir.

   Virüs güncel antivirüs yazılımı tarafından tespit edilip temizlenebilmektedir. Fakat bir çok çeşidi olduğu için farklı antivirüsler ile taratılmalıdır. Tespit edilip temizlenene kadar yapılmalıdır.

   Virüs sürekli olarak şekil değiştirdiği için espit edilememe ihtimali de oldukça yüksektir. Tam olarak temizlik için, bilgisayara format atılarak, tekrar işletim sistemi kurulması gerekmektedir.

2. Cryptolocker ve Ransomware Şifrelerin Çözülmesi

   Cryptolocker ve Ransomware virüsü, şifrelemede RSA-4096 / AES-256 gibi güçlü şifreleme algoritmaları kullanmaktadır. Şifre kırma yöntemleri kullanarak kırmaya çalışmak için bir yıldan çok daha fazla süre gerekir. Şifrenin çözülmesi günümüz şartlarında şifre anahtarını bilmeden mümkün değildir.

   Veri kurtarma yazılımları ile silinmiş olan orijinal dosyaları geri getirmeye çalışılmaktır. Geri getirme ortamı olarak harici disk veya bellekler tercih edilmelidir.

   Dosyaların virüs tarafından şifrelenmeden önce alınmış yedeği varsa, o yedekten dosyalar geri yüklenebilir.

   Shadow Copy ve File History aktif ise versiyon oluşmuş dosyaların bir önceki versiyonlarına dönüş yapılabilir. Bu işlemler biraz uzun sürmektedir.