Cryptolocker Virüsü Nedir? İşletmeler için Büyük Tehlike
Cryptolocker virüsü bilgisayara bulaştığı takdirde bütün verileri çekebilecek bir güce sahiptir. Tüm işlemlerini kullanıcıya fark ettirmeden yapabilmektedir. AES-256-bit şifreleme yöntemi ile dosyalarınız şifrelenir. Bu şifreleme kırılması imkânsız denecek kadar güçlüdür.
Virüs, bilinçsiz kullanıcıyı çok sever. Sosyal mühendisliği kullanarak size ait bir borç ya da fatura iletisi gibi görünüp, virüslü dosyayı çalıştırmanız halinde saniyeler içinde sisteminize bulaşır ve çok kullanılan tüm dosyaları (pdf, jpg, mp3, xlsx, docs, dwg, pst) şifrelemiş olur.
İlginizi Çekebilir: Sosyal Medya Dolandırıcılığından Nasıl Korunabilirsiniz?
Cryptolocker Virüsü Tarihçesi
Cryptolocker virüsü Türkçeye fidye virüsü olarak çevrilebilir. Bu virüs bulaştığı sistemdeki tüm dosyalara erişim sağlar. Genel bir tabirle belirtmek gerekirse o bilgisayar üzerindeki her bilgi artık kopyalanmış ve başka kişilerin eline geçmiştir.
Cryptolocker virüsü aslında son derece yeni bir virüstür. İlk olarak 2014 yılında İngiltere’de ortaya çıkan bu virüs ilk etapta çok ciddi bir zarara neden oldu. Bilgisayar, tablet ya da telefonlardaki bilgileri şifreleyen virüs birçok kullanıcıyı ve firmayı gafil avlamış, hackerlar tarafından birçok güncelleme almış ve kullanıcı dosyalarını ele geçirmeyi başarmıştır. 2014 yılında adını duysak da virüsün 2013 yılında üretildiğini ve kısa sürede olsa test aşamalarının olduğunu söyleyebiliriz. Bu virüs çıktığı ilk günden bu yana kesinlikle etkili olmayı başarmıştır. Bu virüs ilk etapta Rusya’da popüler olmayı başarmıştır. Fidye virüsü daha sonraları ise evrensel bir hale gelerek Dünya genelini etkilemeyi başarmıştır. Öyle ki 2013 yılının ilk çeyreğinde 250 bin Cryptolocker virüsü tespit edildi. O dönemdeki verilere göre sadece 2013 yılında 3 milyon dolarlık bir hasılat elde edilmiştir. 2015 yılı Haziran ayı itibariyle de bu rakamlar resmi ve kesin olmamakla birlikte 18 milyon doları aşmayı başarmıştır.
Virüs dosya kurtarma işlemleri içinde fidye talep etmektedir. O dönemlerde Ukash, Bitcoin ya da farklı ödeme yöntemleri ile şifre talep etmekteydi. Birçok işletme de özel bilgilerinin farklı kişilerin eline geçmemesi amacıyla ödeme yaparak kendilerine ait dosyaları kurtarıyordu.
İşletme olarak ya da bireysel kullanıcı olarak Cryptolocker virüsünden korunmak mümkündür. Alınacak özel yazılımlar ve antivirüs koruma programları ile bilgisayarınızı güven altına alabilirsiniz.
Özellikle işletmelerin sistem güvenliğini koruması için profesyonel destek alması gerekmektedir. Bu tarz zararlı yazılımlar her daim olacaktır. Bu nedenle de işlerini aksatmak istemeyen her işletme ya da bireysel kullanıcı öncelikli olarak antivirüs yazılımlarını, sonrasında ise gerekli güvenlik yazılımlarını edinmelidir. Cryptolocker ne yazık ki sistem içerisindeki tüm dosyaları şifreleyen bir virüs türüdür. Bu nedenle tedbiri elden bırakmamak gerekiyor.
Cryptolocker Virüsü Nasıl Temizlenir?
Virüs truva atı olarak bilgisayarınıza girer. Silme işlemi yapılamaz ve bilgisayar her açıldığında otomatik olarak çalışmaya ve bilgileri karşı tarafa aktarmaya devam eder. Bilgisayarlarınızda Your files are encrypted mesajını gördüyseniz sisteminize bu virüs bulaşmış olabilir.
Önemli dosyalar ile çalışıyor ve pek bilgi sahibi değilseniz profesyonel destek almanız gerekebilir. Öncelikle ağ bağlantınızı kopartınız. Bilgisayarınıza bağlı harici tüm sürücüleri çıkarmaya çalışınız. Bilgisayarınızı yeniden başlatıp güvenli modda çalıştırarak etkilenmeyen dosyalarınızı harici sürücüye aktararak kurtarmayı deneyiniz. Bilgisayarınızda geri yükleme noktasını kontrol ediniz. Bazı gelişmiş virüsler geri yükleme noktalarını da silerek arkada hiç bir iz bırakmayarak daha fazla hasar verebilmektedir. Yine de şansınızı deneyip geri yükleme noktasındaki yedekleme ile masaüstü ve diğer sürücüdeki dosyalarınıza erişerek hasarı en aza indirme şansınız olabilir.
Your personal files are encrypted!
Your important files encryption produced on this computer: photos, videos, document, etc. Here is a complete list of encrypted files, and you can personally verify this.
(…)
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 100 USD / 100EUR / similar amount in another currency.
(…)
Any attempt to remove or damage this software will lead to immediate destruction of the private key server.
Sisteminize giren virüsü kaldırmak için birkaç yol bulunmaktadır. Öncelikle sık sık "Your files are encrypted" uyarısı verecektir. Bu uyarıları dikkate almıyoruz.
Cryptolocker’ın şifrelediği dosya kategorileri;
Doküman dosyaları: doc, docx, pdf, ppt, pptx, rtf, odt, ods, djvu
Sıkıştırılmış dosyalar: rar, zip, gz, tar, 7z
Veritabanları: sql, 1cd, sqlite, mdb
Oynatıcılar: avi, wav, mp3, mkv, flac, mp4, wmv, mov
Görüntüler: jpg, jpeg, 3ds, max, dwg, cdr, psd, png, bmp, gif
Diğer dosyalar: kwm, torrent, php, c, cpp, iso, cer, pas, pst, lnk, key.
Manuel olarak "Your files are encrypted" virüsünü kaldırabilirsiniz.
- "Safe mode with command prompt" bilgisayarı yeniden başlatıyoruz ve tüm dosyaları devre dışı bırakıyoruz.
- Regedit’i çalıştırıyoruz.
- WinLogon girdilerini kontrol ediyoruz. Burada Explorer.exe ya da blank olmayan tüm dosyaları bulup kaydediyoruz. Bu dosyaların tamamını Explorer. exe ile değiştiriyoruz.
- Ana dosyaların kayıtlarını bulunuz ve siliniz.
- Son aşama olarak bilgisayarınızı yeniden başlatınız.
- Yeniden başlama tamamlandıktan sonra Reimage veya SpyHunter 5 programları ile virüs olup olmadığını kontrol ediniz.
İşletmeler Cryptolocker Virüsünden Nasıl Korunabilir?
Temelde zaten işletmeler hedef alındığı için bireysel kullanıcılardan ziyade işletme ve oluşumların kendilerini Cryptolocker virüsünden koruması gerekmektedir. Bu nedenle de dikkat edilmesi gereken birkaç konu vardır.
İşletmelere ait tüm elektronik cihazlarda, antivirüs yazılımı olmalıdır. Hatta siber güvenlik için teknik destek almak çok daha akıllıca olacaktır. Siber güvenlik için ödenecek cüzi ücretler Cryptolocker virüsünün bulaşması ve oluşacak maddi manevi zararlara oranla çok daha ufak boyutlardadır.
İşletmenizi ve İtibarınızı Siber Tehditlere Karşı Korumak İçin Berqnet Firewall Teklifi Alın
Sonuç
Virüs her ne kadar belirli yollar ile bulaşsa da zamanla virüsü yayacak yeni yöntemlerin olabileceğini söylemekte yarar vardır. İnternetten gelen ve emin olunmayan hiçbir dosyayı açmamak gerekir.
Hem bireysel hem de kurumsal düzeyde kalıcı önlemler alınmalıdır. Mutlaka her bilgisayarda bir antivirüs yazılımı lisanslı şekilde yer almalıdır. Olası tehditlere karşı da mutlaka siber güvenlik için garantili firmalar ile çalışmak mümkün olacaktır. Olası Cryptolocker virüsü bulaşma durumlarında da ne yapacağınızı bilmiyorsanız mutlaka bu alanda uzmanlaşmış kişilerden destek almanız gerekir. Karşı tarafın istediği ödemeyi yapmayın. Her şeyden önce sistemlerin özellikle kurumsal yapıların siber güvenliğe karşı daha fazla yatırım ve önem göstermeleri gerekmektedir.
Sıkça Sorulan Sorular
Türkçe karşılığı “Fidye Virüsü” olan Cryptolocker virüsü sızdığı tüm sistemlerde bulunan dosyalara erişimi sağlar. Bilgisayarınıza Cryptolocker virüsünün yerleşmesi halinde, cihazda bulunan tüm bilgileriniz artık farklı kişilerin kontrolünde demektir.
Tablet, telefon, bilgisayar gibi elektronik cihazların bünyesinde yer alan bilgileri şifrelemek suretiyle ele geçiren Cryptolocker virüsü ile birçok firma ve kullanıcı bilgisi hacker’lar tarafından ele geçirilmiştir. Bu virüs saldırısında sıklıkla kullanılan yöntemler ise şunlardır:
Phishing yöntemi: Phishing yönteminde saldırıyı gerçekleştiren kişiler sahte bir web sitesi ya da e-posta oluşturur. Kullanıcının olası bir dikkatsizliği veya korkusunu kullanan hacker’lar, kullanıcıları belirli bir dosyaya tıklamaya yönlendirir. Kişi, ilgili dosyayı bilgisayarına indirdiğinde bu virüs aktif hale gelir. Bu yöntemde önemli unsur kullanıcının ilgisini ve dikkatini çekmeyi sağlamaktır.
RDP hack saldırı yöntemi: Bu yöntemi kullananlar, ülkelere göre IP aralıklarını tarar. Bu tarama sonucunda o saatte aktif olan sunucular tespit edilir. Deneme yanılma yöntemiyle sisteme giriş yapılmaya çalışılır. Bu yöntemden en az etkilenenler ise uzak masaüstü bağlantı portları açık olanlar ya da şifre ve port bilgileri standart olan sunucu ile bilgisayarlardır. Genelde müdahalenin en az olabileceği saatlerde, yani geceleri harekete geçerler.
Sosyal mühendislik yöntemi: Genellikle kullanıcıya gönderilen e-posta ile onu korkutarak yönlendirmek amaçlanır. Gönderilen e-postalar genel olarak tedirgin olmanızı sağlayacak isim ve içerikler kullanılarak oluşturulur. Örneğin, yüksek fatura bildirimi gibi içerikler gönderilerek merak ve endişe duygusu uyandırabilir, maili ya da SMS yoluyla gelen mesajı açmanız sağlanabilir.
E-posta yoluyla sahte fatura gönderimi: Siber saldırıda Cryptolocker yöntemini kullanan kişiler, fidye yazılımlarını e-postaya ekleme yoluyla diğer kullanıcılara gönderebilir. Bunu yaparken genelde kurumsal davranarak kullanıcıyı yanlış yönlendirirler. Bu yöntemde karşılaşabileceğiniz dosya türleri ise aşağıdaki gibidir:
- Hat
- WSF, JSE, JS
- Docm, Docx, Doc
Kullanıcı, gelen bu dosyayı indirmeye kalktığında Cryptolocker virüsü dosya ile birlikte bilgisayara yüklenir ve aktif hale gelir.
Cryptolocker virüsü bilgisayarınıza girip sisteminizde çalışmaya başladığında verilerinizin tümü şifrelenir. Bu tip bir saldırıyı yapan kişinin amacı, şifreleme yoluyla önemli bilgilerinizi ele geçirip sizden talep ettiklerini yapmanızı sağlamaktır. Verilerinizin üzerindeki şifreleri kaldırmak için talep ettikleri genellikle Bitcoin para birimi üzerinden yapacağınız ödemeler, yani fidyedir. Talep edilen tutarları ödemeniz halinde şifreyi verilerinizin üzerinden çekeceklerini beyan edebilirler.
Şifreleme virüsü, hacker’lar tarafından kullanıcıların verilerini şifrelemek yoluyla ele geçirdikleri bir siber saldırı yöntemidir. Virüs, sisteme sızdığı anda hızlı bir şekilde tüm verileri şifrelemeye başlar. Saldırıyı gerçekleştiren kişiler, verileri şifreleyerek kullanıcıların bu verilere ulaşmasını önler. Şifreleme işlemi sona erdiğinde ise yeni bir pencere açılır ve kullanıcıdan ödeme talep edilir. Paniğe kapılan kullanıcılar bu ödemeyi yapmak zorunda hissedebilir.
Virüsü temizlemek ile virüsün şifrelediği dosyaları geri getirmek farklı kavramlardır. Virüsü sistemden temizlediğinizde şifreleme işleminin devam etmesini engellersiniz. Ancak Şifrelenmiş dosyaları geri getirmek için farklı işlem gerekir. Virüsün şifrelediği dosyaları geri getirmek için yapılabilecekler aşağıdaki gibidir:
İlk olarak, virüs hangi sürücüye bulaştıysa bunun tespit edilmesi ve veri kurtarma yazılımları ile silinen orijinal dosyaların geri getirilmesi gerekir. Bu geri getirme işlemini harici bir belleğe yapmanız çok daha sağlıklı bir tercih olur.
Farklı bir yöntem olarak, virüs ile şifrelenmiş olan verilerinizi daha önce yedeklediyseniz bu yedek verileri kullanabilirsiniz. Örneğin, önemli dosyalarınızı CD’ye yedekleyebilirsiniz. Tek yazımlık DVD’lerde yer alan dosyalar şifrelenemez. Bunun sebebi, DVD’nin yapısıdır.
Shadow Explorer yazılımını indirerek shadow copy ile tutulan dosyaların tüm versiyonlarını tarihleriyle görüntüleyebilir, bu dosyaları geri yükleyebilirsiniz. Shadow Explorer yazılımı, virüsün cihazınıza bulaşma tarihinden önceki bir tarihte geri yükleme noktası seçebilir, dosyaya sağ tıkla “Export” komutu vererek güvenli bir ortama şifresiz dosyanın versiyonunu gönderebilirsiniz. Bilgisayarın virüs temizliğini yaptıktan sonra bu şifresiz dosyaları cihaza kopyalayabilirsiniz.
