Fidye Yazılımı Saldırıları ve Bu Saldırılarla Baş Etmenin Yolları

Bugünlerde fidye yazılımları ile ilgili birçok haber yapılıyor. Bunun ne anlama geldiğini ve saldırıya uğrandığında neler olabileceğini çok az insanın biliyor olması ise şaşırtıcı bir durum.

İşte kendinizi korumak için alabileceğiniz tedbirlere ve en kötü ihtimal gerçekleştiğinde neler yapmanız gerektiğine dair bir özet.

Fidye Yazılımı Nedir?

Fidye yazılımı, kurbanlardan fidye yoluyla para kazanmaya çalışmak için kullanılan bir kötü amaçlı yazılım çeşididir. Çoğu program, sisteminizde sessizce oturup dosyalarınızı yavaş yavaş şifrelemek üzere tasarlanmıştır. Şifrelemeyi bitirdikten sonra, size ölümcül bir not bırakırlar – fidye ödeyin ya da dosyalarınızı sonsuza kadar kaybedersiniz.

Hiçbir güvenlik sistemi hatasız değildir. Kötü amaçlı yazılım, oyunda bir adım öndedir. Yakalanmanız durumunda, size yardımcı olacak bazı faydalı yönergeler aşağıda belirtilmiştir:

Adım 1: Zararı en aza indirin

Öncelikle, etkilenen sistemi, özellikle de ağınıza bağlıysa izole edin, böylece diğer sistemlere virüs bulaşmasına engel olun.

Bir BT yöneticisiyseniz ve sunucularınıza virüs bulaşmışsa, tüm Ethernet kablolarının bağlantısını kesin.

Dosyaları harici bir diske kopyalayarak yedeklemeye çalışmayın. Henüz şifrelenmemiş dosyaları kaydetmek iyi bir fikir olabilir ancak bu, kötü amaçlı yazılımı yayabilir. Virüs bulaşmış bilgisayara bir disk/USB yerleştirdiğinizde, zararlı yazılım kendiliğinden yeni takılan sürücüye kopyalanabilir.

Bu sürücü/USB başka bir bilgisayara takıldığında, zararlı yazılım bu sistemi de etkileyebilir. Ya da en kötüsü, tüm temizleme çabalarınızdan sonra kendi sisteminizi yeniden enfekte edebilirsiniz. Bu nedenle, etkilenen bilgisayarı karantinaya almak en iyisidir.

Adım 2: Fidye yazılımının türünü tespit edin

Çok sayıda fidye yazılımı türü vardır, bazıları diğerlerine göre daha tehlikelidir ve üstesinden gelinmesi daha zordur. Saldırının türüne ve özelliklerine bağlı olarak kurtulmak için farklı stratejiler kullanabilirsiniz. En yaygın fidye yazılım türleri aşağıdaki gibidir:

  1. Scareware/Sahte antivirüs yazılımı
    Sahte antivirüs yazılımı olarak da bilinen Scareware, kullanıcılara sistemlerinde yanlış bir şey olduğunu düşündüren bir kötü amaçlı yazılım kategorisidir.
    Daha sonra temizlemek için başka bir yazılım satın alınması gerektiğini belirtir. Tabii ki, bilgisayarda yanlış bir şey yoktur ve çoğu zaman, bu yazılımları satın almak gerçek bir enfeksiyonla sonuçlanır.
    Çoğu durumda, bir virüsün bulunması, sistemin yavaşlaması veya ekranın ortasında büyük kalın yazılarda kayıt sorunlarının çözülmesine dair sorunları bildiren bir açılır pencere mesajı göstererek çalışır. Açılır pencere kapatıldığında bile kullanıcıyı kötü amaçlı yazılım web sitesine yönlendiren bir tıklama tuzağı içerebilir. İşte örnek bir resim:
    Scareware, tüm kötü amaçlı yazılımlar arasında muhtemelen başa çıkılabilecek en kolay türdür. Tarayıcı sekmenizi kapatmanız yeterlidir ve açılır pencere kaybolacaktır. Eğer işletim sisteminizde açılır pencereler alıyorsanız, Görev Yöneticisini veya gelişmiş bir işlem gezginini kullanarak suçlu dosyayı belirlemeniz gerekebilir. Ardından, dosyayı silin ve kaldırın. Hala sorun yaşıyorsanız, bir antivürüs veya kötü amaçlı yazılımdan koruma programı ile tarama yapın.
  2. Ekran kilidi fidye yazılımı
    Bu fidye yazılımı kategorisi, bir fidye ödeyene kadar bilgisayarınızı çalıştırmanıza izin vermez. Çoğu durumda, ekranın tamamını kaplayan bir pencerede bir uyarı bildirimi görüntülenir. Yasadışı içerik indirilmesi ile ilgili olarak FBI’dan geldiğini iddia edebilir. Ya da, pornografik bir resim, değiştirilemeyen duvar kağıdı olarak ayarlanır. Kurbanın utanmasını sağlayarak para ödemeye ikna etme fikrine dayanır. Daha gelişmiş programlar birkaç gün boyunca kullanıcı etkinliğini izler ve daha inandırıcı ve korkutucu bir özelleştirilmiş uyarı görüntüler. İşte bir örnek:

    Bunlardan birisi tarafından virüs bulaştıysa, ilk etapta buna neden olan dosyayı bulmaya çalışın. Çoğu durumda, yalnızca CTRL + ALT + DEL tuşlarına basmak sizi Görev Yöneticisine götürecektir ve program kapatılacaktır.
    Dosyayı sildikten sonra bile, kalan izleri kaldırmak için tam bir antivirüs taraması yapmak iyi bir fikirdir. Bu çözümler işe yaramazsa, kötü amaçlı yazılımın bulunmadığı veya aktif olmadığı bir duruma geri döndürmek için Windows’u geri yüklemeniz veya kurtarmanız gerekebilir.
  3. Dosya şifreleyen fidye yazılımı
    Son ve en tehlikeli kategori, tüm dosyalarınızı şifreleyen ve şantajcılara bir fidye ödemediğiniz sürece onları kullanmanıza izin vermeyen programlardır. Genellikle kurbanın sistemine girerler, tüm dosyaları şifrelemeye başlarlar ve onları tamamen kullanışsız hale getirirler.
    İşlem tamamlandığında şifresini çözmek için ödeme talep edeceklerdir. Günümüzde, bitcoin gibi şifreli para birimleri ve sağladıkları anonimlik, saldırganların ödeme alabilmeleri için mükemmel bir yoldur. Aşağıdaki görüntü Wannacry saldırısında kullanılan görüntüdür:

    Ayrıca şifrelemenin nasıl çalıştığını tam olarak anlamak da önemlidir. Bu, dosyalarınızı nasıl çözebileceğiniz konusunda ipucu bulmanıza yardımcı olabilir.
    Çoğu program çalıştırıldıklarında simetrik ve asimetrik şifreleme kombinasyonlarını kullanır (şifreleme türleri hakkında daha fazla bilgi için buraya tıklayın). Simetrik şifreleme yararlıdır, çünkü saldırganın dosyaları asimetrik şifrelemeye göre daha hızlı şifrelemesine izin verir. Bununla birlikte, asimetrik şifreleme, saldırganların yalnızca bir özel anahtarı korumak zorunda oldukları anlamına gelir. Aksi takdirde, tüm kurbanların simetrik anahtarlarını korumak zorunda kalacaklardır.

Komuta ve kontrol sunucuları (C&C) genellikle program iletişimi için kullanılır. Dosya şifreleyen fidye yazılımının, bir saldırı gerçekleştirmek için hem simetrik hem de asimetrik şifrelemeyi kullanma şekli şöyledir:

  • Özel bir genel anahtar, RSA-256 gibi mevcut birçok asimetrik şifreleme algoritmasını kullanarak saldırgan tarafında oluşturulur.
  • Özel anahtarlar saldırgan tarafından korunurken, genel anahtarlar fidye programına gömülmüştür.
  • Kurbana ait sistem fidye yazılımıyla enfekte olur. Bilgiyi, benzersiz sistem kimliği veya kurbanın kimliği ile birlikte C&C sunucusuna gönderir.
  • Simetrik şifreleme algoritmalarından birini (ör. AES) kullanarak sunucu, özellikle kurbanın sistemi için bir simetrik anahtar üretir ve gönderir. Simetrik anahtar daha sonra özel anahtar kullanılarak şifrelenir.
  • Fidye yazılım programı, simetrik dosyanın şifresini çözmek için gömülü olan genel anahtarı kullanır – daha sonra tüm dosyaları şifrelemeye başlar.

Artık, fidye yazılımının nasıl çalıştığını bildiğinize göre, sistemimize virüs bulaştığında başvurabileceğiniz seçeneklerine bir göz atalım.

Adım 3: Stratejinize karar verin

İlk iki kategorideki fidye yazılımının nispeten kolay bir şekilde kaldırılması ile ilgili yöntemleri tartıştık.

Dosya şifreleme programlarını dışarıda tutmak daha zordur. Öncelikle, karşı karşıya kaldığınız kötü amaçlı yazılımın türünü tespit etmeniz gerekir. Her gün yeni programlar yazıldığı için yeni programlar için bilgi az olabilir. Ancak çoğu durumda, küçük bir araştırma ile tespit edebilirsiniz.

Fidye notunun ekran görüntülerini almaya ve sonra fidye yazılımının tam türünü tanımlamak için resimleri geri yönde aramaya çalışın. Not metninde kullanılan cümleleri de arayabilirsiniz.

Fidyeyi ödemek isteyip istemediğinize karar verin. Saldırganlara para ödemeniz onları sadece cesaretlendireceği için bu önerilmese de bazen verileriniz çok hassas veya önemlidir ve kaybolmaması gerekir. Karar yeteneğinizi kullanın ve kesinlikle gerekli olmadığı sürece ödeme yapmayın.

En kötü senaryoda, ödeme yaptıktan sonra bile verilerinizi geri alacağınıza dair bir garanti olmadığını düşünmelisiniz.

Adım 4: Harekete geçin

Bilgisayarınıza bulaşan fidye yazılımının ayrıntılarını tespit edebiliyorsanız, webde bir arama yaparak yazılımı kaldırmanın yollarını arayın. Kötü amaçlı yazılımların kodu her zaman verimsizdir. Geliştirici, şifreleme anahtarını getiren ve dosyaların şifresini çözen şifreleme anahtarını programdan silmeyi unutmuş olabilir.

Eğer fidye yazılımı iyi bilinen bir yazılımsa ve bazı boşluklar varsa, nomoreransom.org gibi sitelerde yazılımı kaldırmak için çevrimiçi öğreticiler ve rehberler bulabilirsiniz.

Birçok fidye programı, kopyalarını şifreledikten sonra orijinal dosyaları basitçe sildiğinden dolayı bunları veri kurtarma yazılımı kullanarak kurtarmak mümkün olabilir. Bir dosyayı sildiğinizde, başka bir dosya onun üzerine yazılmadığı sürece aslında fiziksel olarak diskten silinmez. Bu nedenle, ücretsiz kurtarma yazılımları kullanılarak önemli verileri kurtarmak mümkündür.

Bunların hiçbiri başarılı olmazsa, bir karar verilmelidir. Fidyeyi ödeyin veya verilerinizi kaybedin. Elbette öderseniz bile, verilerinizin geri verileceği garanti değildir. Saldırganların iyi niyetine güvenerek alacağınız bir karardır.

Fidye notunda verilen e-posta adresini kullanarak saldırganlarla pazarlık yapmayı da deneyebilirsiniz. Bunun ne kadar çok kez işe yaradığını görmek sizi şaşırtacaktır.

Fidyeyi ödememeye karar verirseniz, bir sonraki adım PC’nizi temizlemektir, ancak verilerinizi sonsuza kadar kaybedersiniz. Harici bir diskte bir yedeklemeniz varsa, bilgisayarınızı tamamen biçimlendirmeden önce harici diski PC’nize bağlamayın.

Fidye yazılımını temizlemenin en iyi yolu, işletim sisteminizi sabit biçimde biçimlendirmektir. Böyle büyük bir adım atmak istemiyorsanız, fidye yazılımının önyükleme sektörüne bulaşmadığından emin olun. Bununla ilgili internette bilgi bulabilirsiniz.

Sonra, virüsten koruma programınızı güncelleyin ve sisteminizi derinlemesine tarayın. Ayrıca, tam koruma için antivirüs programının bir kötü amaçlı yazılımlara karşı program ile desteklenmesi de iyi bir fikirdir. Bu, fidye yazılımını başarılı bir şekilde kaldıracaktır.

Adım 5: Bilgi

Artık fidye yazılımından kurtulduğunuza göre, ilk başta neden saldırıya uğradığınıza bakmanın zamanı geldi. Akıllı bir adamın söylediği gibi: “Önlem almak tedavi etmekten iyidir” ve bu durum çevrimiçi güvenlik konusunda inanılmaz derecede geçerlidir. Savunma, yalnızca kullanıcı kadar güçlüdür ve uygun önlemler alındığında, herhangi bir zararlı yazılımın saldırması zordur.

Dikkatli olun ve şu noktaları aklınızda bulundurun:

  1. Antivirüs programınızı daima güncel tutun
  2. Ziyaret ettiğiniz web sitesinin URL’sini daima kontrol edin.
  3. Sisteminizde güvenmediğiniz programları çalıştırmayın. Crackler, seri numaraları, yamalar vb. kötü amaçlı yazılımların en yaygın kaynaklarıdır.
  4. Güvenilmeyen sitelerin içerikleri tarayıcınızda çalıştırmasına izin vermeyin.
  5. İşletim Sisteminizi güncel tutun. Fidye yazılımları da dahil olmak üzere kötü amaçlı yazılımlar genellikle eski işletim sistemlerindeki yamalanmamış güvenlik açıkları aracılığıyla yayılır. Bir saldırı Windows RDP yazılımındaki bir hatadan, internete bağlı olan sisteme erişmek ve kötü amaçlı yazılım çalıştırmak için yararlanabilir.
Sizin için faydalı oldu mu? Paylaşın!