abd ve avrupa'nın ardından türkiye'de de çok sayıda internet kullanıcısını hedef alan cryptolocker virüsü, her gün yeni mağduriyetler yaratıyor. botnet veya e-posta uzantısı yoluyla bulaşan cryptolocker, hızla büyüyen bir piyasa haline gelen siber suçların en yeni ve sık rastlanan saldırılarından biri.

ilk olarak eylül 2013'te tespit edilen cryptolocker, bilgi çalmaya odaklanan kötü amaçlı yazılımlara (malware) kıyasla, hedef aldığı kişi ve organizasyonlara para amaçlı şantaj uyguluyor. truva atı sınıfına giren cryptolocker, bu özelliğiyle 'fidye yazılım' (ransomware) olarak tanımlanıyor.

cryptolocker, ortaya çıktığı dönemlerde en zararlı botnet'lerden biri olan zeus tarafından hızla yayıldı. fbi, 2010 yılında zeus'u ağırlıklı olarak doğu avrupalı hacker'ların kullandığını tespit etmişti. zeus sayesinde hacker'lerın 2007'den bu yana kazandığı para ise 70 milyon doların üzerinde.

cryptolocker'ın ilk versiyonu, bilişim uzmanı emre tınaztepe tarafından deşifre edilmişti. ancak fidye yazılımın 2014 sonundan itibaren yayılmaya başlayan güncellenmiş hali, çok daha güçlü ve henüz kırılamamış durumda. güvenlik uzmanları cryptolocker'ı deşifre etmeye çalışırken, internet kullanıcılarının dikkatli olması gerektiğini vurguluyorlar.

nasıl çalışıyor?

Süleyman Özarslan, Picus Security Ar-Ge Yöneticisi.

cryptolocker saldırıları genel olarak oltalama (phishing) e-postaları aracılığıyla yayılıyor. bu tür sahte e-postalar 'ttnet@turktelecom.org' veya 'ttnet@turktelekomfatura.info' gibi adreslerden gönderiliyor. türk telekom faturasının yanı sıra, türk hava yolları veya çeşitli bankalardan gönderilen e-postalar içinde de gizlenebiliyor.

'1984324329 nolu hesabınıza ait aralık-2014 dönemi türk telekom faturanız' gibi başlık taşıyan e-postalar, okuyan kişide şüphe yaratmayacak şekilde hazırlanıyor. e-postanın içeriği gerçek bir fatura izlenimi sunuyor.

dikkat edilmesi gereken husus, fatura tutarının yüksek gösterilerek kişinin merakını uyandırması ve bu sayede e-postada yer alan 'e-faturamı görüntüle' veya 'e-fatura ödeme' gibi bağlantılara tıklanmasının sağlanması.

kullanıcı e-postadaki bağlantıya tıkladığında, aşağıdaki gibi özenle hazırlanmış bir web sitesine yönlendiriliyor. cryptolocker, sadece windows işletim sistemlerini etkilediğinden, başka bir işletim sistemi kullanıyorsanız bu web sitesine giremiyorsunuz.

sayfaya girdiğinizde sizden gelen http isteğindeki user-agent (tarayıcı bilgileri) alanı kontrol ediliyor. eğer cep telefonu ya da windows dışındaki mac os x ve linux gibi işletim sistemlerini kullanıyorsanız yeniden yönlendiriliyor ve sayfayı göremiyorsunuz.

sayfa açıldığında captcha kodu veya gösterilen sayıyı girmeniz isteniyor, ardından indir butonuna bastığınızda 'efatura_1984324329.zip' gibi adlandırılan .zip uzantılı dosya iniyor. dosyayı açtığınızda, 'efatura_1984324329.pdf.exe' gibi ismi olan ve asıl zararlı yazılımı içeren dosya çıkıyor.

bu dosyayı çalıştırdığınızda, cryptolocker bilgisayarınızda bulunan dosyaları şifreliyor ve masaüstünüze bir not bırakıyor. bu notta dosyalarınızın cryptolocker tarafından şifrelendiği, dosyaları tekrar açabilmeniz için belirtilen miktarda parayı belli bir zaman içinde ödemeniz gerektiği yazıyor.

ödeme yapmak için 'click here to pay for recovery files' bağlantısına tıkladığınızda aşağıdaki sayfa açılıyor. bu sayfada 498 abd doları veya eşdeğerde bitcoin ödemeniz gerektiği, bu ücreti belirli bir sürede ödemezseniz, ücretin iki katına çıkacağı belirtiliyor. ayrıca, dosyaların şifresini gerçekten çözebildiklerini göstermek için size sadece bir dosyayı ücretsiz olarak eski haline getirebilmeniz için gerekli bilgiyi veriyorlar.

ankara merkezli bir medikal firmasında çalışan zeynep demirel, cryptolocker saldırısına maruz kalmalarının ardından bilgilerini hacker'la uzlaşarak kurtarabildiklerini söyledi. demirel, uzun süre pazarlık yaptığını belirttiği hacker'ın karakteri hakkında da bilgiler verdi: 

"hacker ofisin sunucuları ve tüm bilgi ağını ele geçirdi. pazarlığı 20 bin euro'dan açtı ve büyük bir firma olduğumuzu, bu parayı rahatlıkla ödeyebileceğimizi söyledi. kendisine belirttiği miktarda ödeme yapamayacağımızı belirtip uzun bir uzlaşma sürecine girdim. diyaloglarımızın büyük kısmı güven unsuruna dayalıydı. parayı ödememiz halinde bilgileri geri vermeyeceği konusunda şüphe duymamam gerektiğini belirtti. bana düzgün iş yaptığını, bir itibarı olduğunu, sahtekarlık yaparsa kendisine bir daha iş verilmeyeceğini, sözünün eri olduğunu söyledi."

demirel, bir siber suç örgütüne bağlı olduğu sinyalini veren hacker'ın diyalog uzadıkça tavrını yumuşattığını ifade etti:

"hacker şifrelediği bilgilerin içeriğine ve son yedeklemelere kadar bakmış. uzun süredir yedekleme yapmadığımız için elinde koz vardı. yedekleme görevinin bana ait olduğunu ve istediği parayı ödemek zorunda kalırsak işimden olacağımı söyledim. dahası, kadın olduğumu da öğrenince yumuşadı ve 1000 euro'da anlaştık. anlaştıktan sonra ukash üzerinden ödeme kodu gönderdi. ödemeyi yapmamızın ardından hem deşifre kodunu verdi hem de tüm güvenlik açıklarımızı listeledi."

'yazılım çok daha akıllı hale geldi'

cryptolocker üzerinde türkiye'de ilk araştırmaları yürüten isimler arasında yer alan emre tınaztepe, fidye yazılımın ikinci versiyonunda daha da güçlendiğine dikkat çekti:

Zemana Baş Yazılım Mimari Emre Tınaztepe.

cryptolocker saldırıları neden arttı?

hacker'ların büyüyen bir iş sektörü haline gelen siber suçlar arasında cryptolocker'ı tercih etmelerinde önemli sebepler yatıyor. kötü amaçlı yazılımlarla kontrol edilen bilgisayarların oluşturduğu botnet'ler, aynı anda birçok hedefe saldırı düzenlenmesini sağlıyor. bu sayede hacker'lar hem zamandan kazanıyor hem de saldırıların maliyeti düşüyor.

cryptolocker ile saldırı düzenleyen hacker'ların neredeyse tümü, yabancı ülkelerdeki şirket ve internet kullanıcılarını hedef alıyor. yakalanma riski de neredeyse sıfıra iniyor.

hacker'lar genelde istenen ücret gönderildiği zaman dosyalar üzerindeki şifreyi kaldırıyor ancak mağdurların hacker'a güvenmesini sağlayacak hiçbir geçerli sebep bulunmuyor.

nelere dikkat etmeli?

süleyman özarslan ve emre tınaztepe, internet kullanıcılarının hem önemli bilgilerini kaybetmemek hem de yüksek meblağlarda fidye ödememek için dikkat etmeleri gereken hususları şu şekilde sıraladı:

- e-postaların hangi adresten gönderildiği kontrol edilmeli ve bağlantılara tıklamadan önce iki kere düşünmek gerekiyor,

- her gün güncellenen bir antivirüs yazılımı bulundurmak önemli. kurumsal firmalar anti-spam veya anti-phishing gateway ismi verilen güvenlik ürünleriyle e-posta üzerinden gelecek tehditlerden kullanıcılarını korumalı.

- bilgisayarınızda 'dosya uzantılarını göster' seçeneği aktif hale getirilmeli (denetim masası>görünüm ve kişiselleştirme>gizli dosya ve klasörleri göster),

- e-posta yoluyla gelen dosyaların ikonları ne olursa olsun, çalıştırılabilir olması durumunda kesinlikle açılmaması gerekiyor,

- önemli veriler düzenli bir şekilde yedeklenmeli. bunun için verilerinizin bir yedeğini bilgisayarınıza takılı olmayan bir hard diskte saklamanız veya bulut depolama hizmeti kullanmalısınız.

kaynak: al jazeera