SEYİTNİZAM KONAKLARI
ELİT YAPI
Aziz Bilgili
Köşe Yazarı
Aziz Bilgili
 

E-Fatura Adı İle Gelen Sahte E-Postalar

"Silah Çıktı Mertlik Bozuldu" demiş atalarımız. Eskiden faturuları getiren postacı amcalar vardı. Onlar bir mahallenin tüm insanlarını bire bir tanır kimi zaman bazı evlere o faturaları belkide götürmek istemezlerdi... Hatta onlar için 9 Ekim günü dünya postacılar günü bile belirlenmişti.Ne zamamki elektronik posta çıktı işte o andan itibaren postacı amcalar sanki orta çağda yaşamış fantastik figürlermiş gibi hatırlanır oldu. Şimdilerde ise sanal dünyanın postacıları boy göstermeye başladı.! ... CryptoLocker,  Türkiye'deki Adı: Fatura Virüsü Bir fidye yazılımı (ransomware) tarafından verileriniz şifrelenirse ki, bu son zamanlarda binlerce kişinin yüz binlerce dolar fidye vermesine sebep oldu. Amacının bilgisayarınıza zarar vermek için değil, tamamen karşı tarafı maddi anlamda zarara uğratmak amacıyla geliştirilmiştir. Bu türden zararlılar bulaştıkları sistemde mevcut bulunan önemli dosyaları kırılması imkansıza yakın bir algoritma ile şifreleyerek sizden verilerinize karşı bir ücret talep etmektedir. Kasım 2014’te yapılan bir araştırmaya göre,  Avrupa genelinde tespit edilen Cyptolocker olaylarının %22’si Türkiye’de olmuştur. Tespit Edildiği Tarih: 2013 Eylül Ayı Bilinen diğer sürümler/isimler: Trojan.Gpcoder.H [Symantec],   CryptLocker.B [Norman], Trojan:Win32/Crilock.A [Microsoft], TROJ_CRILOCK.NS [Trend], Trojan.Ransomcrypt.F [Symantec] Tür: Truva atı (Truva atları, kullanıcı tarafından izin verilmeyen işlemler gerçekleştiren kötü amaçlı programlardır.)  Bu işlemler arasında şunlar bulunabilir; Veri silme, Veri engelleme, Veri değiştirme, Veri kopyalama, Bilgisayarların veya bilgisayar ağlarının performansını düşürme. Etkilenen Sistemler: Windows XP, Windows Vista, Windows 2000, Windows 7, Windows Server 2003, Windows Server 2008, Truva atları, diğer bilgisayar virüsleri ve solucanlarının aksine kendi kendilerine çoğaltmazlar. Cryptolocker Hangi Dosyaları Hedef Alır?  Cryptolock kullanıcı tarafından oluşturulmuş yada kullanıcı için bilgi barındırması muhtemel olan dosya türlerini şifreler. Bunlar şu an için aşağıdaki gibidir; *.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.img, *.indd, *.jpe, *.jpg, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odc, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pdf, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.sr2, *.srf, *.srw, *.tif, *.wb2, *.wpd, *.wps, *.x3f, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx Bu tip dosyaların tamamını şifreleyerek dosya uzantısına “.sifreli” ibaresini eklemektedir. Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir.! Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği gözlemlenmemiştir. Şifreyi çözmek için gerekli olan tekil (“unique” ve “single”) anahtar uzakta bir sunucu üzerinde saklanmaktadır.  Ödeme zamanında yapılırsa bu anahtar ilgili sisteme iletilmekte ve şifre çözülmektedir.  Cryptolocker tarafından istenilen ücret/fidye Bitcoin, MonyPak, Ukash, cashU yada PaySafeCard  gibi, alıcının kimliğini koruyan “kripto para” ile talep edilmektedir. Güncelleme 09.03.2015: Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır. Güncelleme 12.03.2015; TT-Net, Türk Telekom, TurkCell derken en son PTT kurumundanmış gibi geldi. Bunun bir sonrası hangi kurum olur bilinmez ancak lütfen önleminizi şimdiden alın. 1 - Mutlaka Düzenli Yedek Alın...!!! 2 - Alınan Yedeği Aynı Ağ Ortamında Başka Bilgisayarlarca Erişilebilecek Durumda Bırakmayın.!!! 3 - Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu mutlaka yasaklayın. 4 - Yada Ülke olarak tüm Rusya bloklarını engelleyin. 5 - En önemlisi bu konuda bir uzmandan destek alın (sonradan sahtekarlarla muhattap olmayın...!). Her şeye rağmen bu kötü olay başınıza geldi ve bu tip sahtekarlara ücret vermediniz diyelim ama sonuçta dosyalarınızada ihtiyacınız var. Peki şimdi ne olacak? Hiç çözüm yok mu? Şunları yapabilirsiniz; Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz. https://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle Yada, bizzat test ettiğim aşağıdaki yöntemi deneyebilirsiniz. Burada benim kullandığım program Access Data'nın FTK programı. (Bunun için mutlaka bir profesyonelden destek almalısınız.) Şifrelenen diskin özel imaj programlarıyla yedeğini alın. Alınan imajı FTK (yada muadili bir başka program) ile açın. Veri kurtarma (data recovery) ve veri kazıma (data carving) işlemleri için set edin. İnceleme ve kurtarma işlemini başlatın (diskin büyüklüğüne ve makinenin performansına bağlı olarak bu işlem yaklaşık 4-5 saat sürmektedir.) İşlem bitiminde  unallocated clusters, slack space ve file slack gibi alanları inceleyin. Benim test sonuçlarımda tüm resim ve PDF dosyalarım eksiksiz kurtuldu. Bununla birlikte tüm ofis dökümanlarımın  %98'e yakınını da kurtarmayı başardım.! Saygılarımla, @ziz BİLGİLİ Bilgi Teknolojileri Adli Bilişim Uzmanı  
Ekleme Tarihi: 03 Nisan 2015 - Cuma

E-Fatura Adı İle Gelen Sahte E-Postalar

"Silah Çıktı Mertlik Bozuldu" demiş atalarımız.

Eskiden faturuları getiren postacı amcalar vardı. Onlar bir mahallenin tüm insanlarını bire bir tanır kimi zaman bazı evlere o faturaları belkide götürmek istemezlerdi... Hatta onlar için 9 Ekim günü dünya postacılar günü bile belirlenmişti.Ne zamamki elektronik posta çıktı işte o andan itibaren postacı amcalar sanki orta çağda yaşamış fantastik figürlermiş gibi hatırlanır oldu. Şimdilerde ise sanal dünyanın postacıları boy göstermeye başladı.!
...

CryptoLocker,  Türkiye'deki Adı: Fatura Virüsü

Bir fidye yazılımı (ransomware) tarafından verileriniz şifrelenirse ki, bu son zamanlarda binlerce kişinin yüz binlerce dolar fidye vermesine sebep oldu. Amacının bilgisayarınıza zarar vermek için değil, tamamen karşı tarafı maddi anlamda zarara uğratmak amacıyla geliştirilmiştir. Bu türden zararlılar bulaştıkları sistemde mevcut bulunan önemli dosyaları kırılması imkansıza yakın bir algoritma ile şifreleyerek sizden verilerinize karşı bir ücret talep etmektedir. Kasım 2014’te yapılan bir araştırmaya göre,  Avrupa genelinde tespit edilen Cyptolocker olaylarının %22’si Türkiye’de olmuştur.

Tespit Edildiği Tarih: 2013 Eylül Ayı

Bilinen diğer sürümler/isimler: Trojan.Gpcoder.H [Symantec],   CryptLocker.B [Norman], Trojan:Win32/Crilock.A [Microsoft], TROJ_CRILOCK.NS [Trend], Trojan.Ransomcrypt.F [Symantec] Tür: Truva atı (Truva atları, kullanıcı tarafından izin verilmeyen işlemler gerçekleştiren kötü amaçlı programlardır.)  Bu işlemler arasında şunlar bulunabilir; Veri silme, Veri engelleme, Veri değiştirme, Veri kopyalama, Bilgisayarların veya bilgisayar ağlarının performansını düşürme.

Etkilenen Sistemler: Windows XP, Windows Vista, Windows 2000, Windows 7, Windows Server 2003, Windows Server 2008, Truva atları, diğer bilgisayar virüsleri ve solucanlarının aksine kendi kendilerine çoğaltmazlar.

Cryptolocker Hangi Dosyaları Hedef Alır?  Cryptolock kullanıcı tarafından oluşturulmuş yada kullanıcı için bilgi barındırması muhtemel olan dosya türlerini şifreler.
Bunlar şu an için aşağıdaki gibidir;
*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.img, *.indd, *.jpe, *.jpg, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odc, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pdf, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.sr2, *.srf, *.srw, *.tif, *.wb2, *.wpd, *.wps, *.x3f, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx

Bu tip dosyaların tamamını şifreleyerek dosya uzantısına “.sifreli” ibaresini eklemektedir.

Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir.! Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği gözlemlenmemiştir.

Şifreyi çözmek için gerekli olan tekil (“unique” ve “single”) anahtar uzakta bir sunucu üzerinde saklanmaktadır.  Ödeme zamanında yapılırsa bu anahtar ilgili sisteme iletilmekte ve şifre çözülmektedir.  Cryptolocker tarafından istenilen ücret/fidye Bitcoin, MonyPak, Ukash, cashU yada PaySafeCard  gibi, alıcının kimliğini koruyan “kripto para” ile talep edilmektedir.

Güncelleme 09.03.2015: Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır.

Güncelleme 12.03.2015; TT-Net, Türk Telekom, TurkCell derken en son PTT kurumundanmış gibi geldi. Bunun bir sonrası hangi kurum olur bilinmez ancak lütfen önleminizi şimdiden alın.

1 - Mutlaka Düzenli Yedek Alın...!!!
2 - Alınan Yedeği Aynı Ağ Ortamında Başka Bilgisayarlarca Erişilebilecek Durumda Bırakmayın.!!!
3 - Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu mutlaka yasaklayın.
4 - Yada Ülke olarak tüm Rusya bloklarını engelleyin.
5 - En önemlisi bu konuda bir uzmandan destek alın (sonradan sahtekarlarla muhattap olmayın...!).

Her şeye rağmen bu kötü olay başınıza geldi ve bu tip sahtekarlara ücret vermediniz diyelim ama sonuçta dosyalarınızada ihtiyacınız var. Peki şimdi ne olacak? Hiç çözüm yok mu?

Şunları yapabilirsiniz; Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz. https://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle

Yada, bizzat test ettiğim aşağıdaki yöntemi deneyebilirsiniz.
Burada benim kullandığım program Access Data'nın FTK programı.
(Bunun için mutlaka bir profesyonelden destek almalısınız.)

Şifrelenen diskin özel imaj programlarıyla yedeğini alın.
Alınan imajı FTK (yada muadili bir başka program) ile açın.
Veri kurtarma (data recovery) ve veri kazıma (data carving) işlemleri için set edin.
İnceleme ve kurtarma işlemini başlatın (diskin büyüklüğüne ve makinenin performansına bağlı olarak bu işlem yaklaşık 4-5 saat sürmektedir.) İşlem bitiminde  unallocated clusters, slack space ve file slack gibi alanları inceleyin.

Benim test sonuçlarımda tüm resim ve PDF dosyalarım eksiksiz kurtuldu.
Bununla birlikte tüm ofis dökümanlarımın  %98'e yakınını da kurtarmayı başardım.!

Saygılarımla,
@ziz BİLGİLİ
Bilgi Teknolojileri Adli Bilişim Uzmanı


 

Yazıya ifade bırak !
Okuyucu Yorumları (0)

Yorumunuz başarıyla alındı, inceleme ardından en kısa sürede yayına alınacaktır.

Yorum yazarak Topluluk Kuralları’nı kabul etmiş bulunuyor ve zeytinburnuhaber.org sitesine yaptığınız yorumunuzla ilgili doğrudan veya dolaylı tüm sorumluluğu tek başınıza üstleniyorsunuz. Yazılan tüm yorumlardan site yönetimi hiçbir şekilde sorumlu tutulamaz.
Sitemizden en iyi şekilde faydalanabilmeniz için çerezler kullanılmaktadır, sitemizi kullanarak çerezleri kabul etmiş saylırsınız.