Son zamanlarda verileri belli bir şifreleme ile kriptolayıp bunlar üzerinden para talep eden Malware kategorisindeki zararlı yazılımlar olan Ransomware virüsleri gün geçtikçe geliştirilip çözülmesi daha zor bir hal alıyor. Özellikle güvenlik firmaları bu konuda yetersiz kalabiliyor.
Türkiye'de fidye virüs olarak da bilinen bu yazılımlar daha önce E-Fatura yemleme yöntemi ile denendi ve başarıya ulaştı. Birçok firma ve şahıs CryptoLocker virüsü ile tanışıp dosyalarını şifrelemek ten kurtaramadı ve verilerini kaybetti. Dosyaları kurtarmak için bazı güvenlik firmaları Decode uygulamalar yapsa bile Virüsü yayan gruplar yazılımı dahada geliştirilerek çözmesi daha zor yapıya dönüştürdü ve bu Malware yazılımları geliştirmeye devam ediyorlar. Bu Decode uygulamalar hakkında TÜBİTAK'ın da çalışması olmuştu.
Petya Ransomware olarak bilinen Petya virüsünü özel yapan ise belli dosyaları şifrelemek yerine Windows işletim sisteminin makine açılış safhasında ön yükleme olarak makinenin hangi işletim sistemini tetiklemesi gerektiğini söyleyen Process, Master Boot Record'da tutulur. Sizin MBR üzerinde yapacağınız müdahale işletim sisteminin başlangıçta açılmamasına sebep olur. Linux ile uğraşanlar init sürecini iyi bilir. İşte virüs tamda bunu yapıyor. Başlangıçta makineye işletim sistemini açtırmıyor ve MBR sürecini değiştirerek makineyi blok ediyor. Bu süreci yaparken Windows dosya sistemi NTFS'nin bileşeni olan Master File Table(MTB) yani dosya yollarınızın bulunduğu bileşeni de ekranda CHKDSK adı altına şifreliyor. Orada kullanıcıya Check Disk yapılıyor ve disk onarılıyor gibi gösterse de arka planda virüs sistemi ele geçiriyor.
Virüsü yazan grup disk kurtarma veya USB ile onarma işlemlerinin bir işe yaramayacağını söylüyor. Verileri geri kurtarmanın tek yolu Key satın alınması gerektiklerini vurguluyorlar. Virüs de ise şifreleme olarak RSA (Cryptosystem) 4096 Bit ve Advanced Encryption Standard (AES) 256 Bit şifreleme kullandıklarını söylüyorlar.
Virüsü yazanlar neden böyle bir şey yaptı?
Öncelikle virüsü yazan grup standart Hacker diye tabir ettiğimiz orta seviye güvenlik işleri ile uğraşan kişilerden öte kurumsal sahada olan bilgili insanlardan oluştuğu kesin. İşletim sisteminin süreçlerinden tutun yaptıkları yazılımın MBR'yi değiştirmesine kadar profesyonel bir ekibin olduğu belli. Uzman sistem yöneticisi, yazılımcı gibi ekipte önemli isimler var.
Zaten ilerleyen günlerde Anonymous gibi gruplar yazılımda da ekiplerine yeni kişiler katarak bu tarz spesifik saldırılar yapması bekleniyor. Saldırılar olumlu olursa ülke bazlı paravan örgütlere hem bilgilerini öğretmek hemde ülkede bu saldırıları denemek onlarında işlerine geliyor.
Daha önceki varyasyonları gibi sadece veriyi şifrelemek bu yöntem gibi saldırganlara kazanç getirmeyebilir. Çünkü siz CryptoLocker virüsü yedikten sonra şifrelenmiş dosyaları bir klasörde tutup bir firmanın Decode uygulama bulmasını bekleyebiliyorsunuz. Bu tip saldırıda ise direk makine kitlendiği için mecburen fidye ödemek zorunda daha çabuk bırakılıyorsunuz. Buda saldırgan grupların işlerine geliyor. Yani veriyi şifreleyip masa üstüne tutacağımıza tüm makineyi açtırmamak daha çabuk reaksiyon verdirecektir.
Petya Virüsü Türkiye'ye Gelecek mi?
Virüs bulaşan kişilere verilen ".onion" uzantılı grubun Deepweb'deki sitesinde Türkçe dil seçeneği ve Türkçe Bitcoin ödeme anlatımı şimdiden yapılmaya başlanmış. Önümüzdeki günlerde Türk firmalarına kendileri veya paravan gruplar tarafından zararlı yazılımın yayılması mümkün olabilir.
Şuan Almanya'de virüsün etkileri başlamış durumda. Almanya'daki firmaların İnsan Kaynaklarının mail adresi hedef alınarak PDF, WORD ikonlu zararlı yazılım bulaştırılmaya çalışılıyor. Zararlı yazılımı yanlışlıkla açtıktan birkaç dakika sonra bilgisayar mavi ekran hatası veriyor ve virüs çalışmaya başlıyor. Peki Türkiye'de olabilecek senaryoları yazarsak;
* PDF şeklinde Fatura dosyası göndermek.
* Türk firmalarının İnsan Kaynakları hedef alınıp PDF ikonlu CV dosyalarının gönderilmesi.
* Banka ekstrası PDF olarak göndermek.
* Hattınızın 4.5G teknolojisine geçirmek için ilgili sözleşmeyi okuyun veya doldurun.
Bunlar karşı tarafı yemlemek için kullanılabilecek bazı yöntemler. Bu tip bir saldırılar Android Telefonlara bile ileride yapılabilir ve Telefon kendini yeniden başlatıp bir daha açılmamak üzere şifrelenebilir.
Petya virüsü bulaşan yerlerden yazılım Bitcoin karşılığında ödeme kabul ediyor. Ekranda size özel çıkan şifreyi virüsü yazan grubun sitesine girerek bir Key ediniyorsunuz ve bu Key bilgisi ile bilgisayarınızı tekrar açabiliyorsunuz. Tabi bunun ücreti 1 Bitcoin olup ödeme sadece Bitcoin olarak alınıyor.
Tabi birçok kişi gibi bende Bitcoin karşılığı bu çözümden yana olmanızda değilim. Mutlaka bilgisayarda bozulan MBR sürecini düzeltecek ve bilgisayarı tekrar açabilecek Decode yazılımlar güvenlik firmaları tarafından geliştirilecektir.
Şuan için yayınlanan kesin bir çözüm yok. İleri de hazırlanmış bir imaj ile Decode ISO dosyası USB'ye yazılarak HDD kurtarılabilir veya işletim sistemine ulaşılıp ham veriler alınabilirse makine daha sonra yeniden kurulabilir.
Veri kurtarma yöntemleri ile diske ulaşılabilir fakat bu hem zaman hemde maliyetli olabilir. Direk ham çözüm olarak sunmam zor olur.
Önlem olarak güncel bir Anti-Virüs dışında Malwarebytes Anti-Ransomware güvenlik programını kullanabilirsiniz. Anti-Ransomware yazılımlar ek güvenliğinizi daha da artıracaktır. Ayrıca bu programlar direk Ransomware tehditlerine yönelik araştırma yapıp veri tabanını güncellediği için Anti-Virüs programları önüne geçebiliyor.
Alınabilecek önlemler ise önemli verilerinizin yedeklerini hem Cloud(E-Depolama) servislerine hemde başka Disklere mutlaka düzenli almanız ve yedekleme yapmanızdır. Bilmediğiniz Mailleri açmayın ve güvenmiyorsanız direk silin. İndirdiğiniz dosyaların ikonlarına ve uzantılarına dikkat edin. PDF ikonlu EXE dosyası ise kesinlikle silin ve açmayın.
Kaynaklar
en.wikipedia.org/wiki/Ransomware
en.wikipedia.org/wiki/Phishing (Yemleme, Aldatma)
en.wikipedia.org/wiki/RSA_(cryptosystem)
en.wikipedia.org/wiki/Advanced_Encryption_Standard (Advanced Encryption Standard AES)
en.wikipedia.org/wiki/Master_boot_record (Master Boot Record)
blog.gdata.de/2016/03/28222-ransomware-petya-verschlusselt-die-festplatte
blog.kaspersky.com/petya-ransomware/11715
blog.malwarebytes.org/tag/ransomware
The Petya Ransomware A Master Boot Record Infection Video
Hiç yorum yok:
Yorum Gönder
Makaleye Yorum ve Sorularınızı Bırakabilirsiniz.