Geçen sene yaz bu zamanlar ortaya çıktı Cryptolocker denen lanet virüs. Virüs sisteme girdikten sonra çoğu virüsün aksine sistemi çökertmek ya da bilgi sızdırmak yerine bilgisayarınızdaki bütün kişisel dosyalarınızı çözülmesi, kırılması imkansız 256 bitlik bir şifre ile şifreliyor. Yani deyim yerindeyse bütün bilgilerinizi özel bir kasaya koyuyor ve kasayı açmak için şifreyi vereceğini söylüyor ama belli bir bedel karşılığında. Şimdiye kadar gördüğüm 800 ile 1500 tl arasında değişen rakamlar var. Ama bu rakamlar ilk 72 saat içinde ödeme yapılması halinde. İnsaflı arkadaşlar erken ödemede indirim yapıyorlar .Ödemeyi de gerçek para ile değil sanal bir para birimi olan internetin para birimi olarak kabul edilem bitcoin üzerinden alıyorlar.
NASIL BULAŞIYOR ?
Cryptolocker mail üzerinden yayılıyor. İlk başta TTNET faturası şeklinde yayıldı. Kullanıcıya gelen mailde ttnet borcu bulunduğu bir görsel ile gelen mail bilgilerin ekte olduğu söyleniyor. Mail resmi ve bilinen bir kurumdan geldiği sanıldığı ve gönderen kısmına bakılmadığı için mail eki cart diye açılıyor ve buyrun binlerce şifreli dosya karşınızda.
Halbuki gönderen kısmına bakılsa bunun sahte bir mail olduğu apaçık ortada olacak ama gelen mail de insanı bir telaşa düşürüyor. Bana geldiğinde hemen gönderen kısmına baktım ve sacma sapan bir yerden gördüm. Akabinde bütün müşterilerimize maille ve telefonla bilgilendirme yapmamıza rağmen yine de virüs bulaşan müşterilerimiz oldu. Hatta aynı kullanıcıya iki defa bulaştığı bile oldu.
Virüs nadiren Turkcell faturası şeklinde ve en son olarak da PTT kargo dan gelen yerine ulaşmayan gönderi hakkında ekte eksik bilgileri tamamlayın şeklinde bir form olarak geldi.
ÇARESİ VAR MI ?
Dosyalarınıza ulaşmamnın tek çaresi var o da istenen fidyeyi ödemek. Elinizde güncel bir yedek yoksa istenilen tutarı ödemek zorundasınız. İnternette şifreyi çözdüğünü iddia eden yerlere inanmamanızı tavsiye ederim. Bu kişiler de mevcut panik durumundan faydalanan kişiler olup şifreyi çözmemiz için bilgisayarı gönderin diyip bilgisayarları toplamakta ve ortadan kaybolmaktadır. Bunun kesinlikle bir çaresi yok.
Tek çaresi sistemin düzenli bir yedeğinin alınması.Ancak günümüzde hala bu konuda bilinçli olmayan firmalar maalesef bulunmakta.
DOSYALAR NASIL GERİ ALINIR ?
Eğer elinizde bir yedeğiniz yoksa ve dosyalarınızı da geri almak istiyorsanız size verilen linke tıklayarak sizden ne kadar fidye istendiğine bakıcaksınız.
Öncelikle bir bitcoin alım satım yapan bir siteye üye olacaksınız. Orada bir hesap açtıktan sonra hesap sahibiyle aynı kişiye ait olan bir banka hesabından istenilen tutarı önce bu bitcoin sitesine transfer edeceksiniz. Banka hesap bilgilerini üye olduktan sonra bitcoin almak istiyorum dedikten sonra size veriyorlar. Ama şunu bilmelisiniz ki bitcoin alım satım sitelerinin bu virüs olayıyla ilgisi yok. Para transferi için kullanılıyorlar sadece.
Parayı bitcoin sitesine transfer edip para hesaba geçtikten sonra hackerların istediği miktarda tl ile sanal para bitcoin alıyorsunuz. Bitcoin de aynı dolar euro gibi değer yükselebiliyor ve düşebiliyor. Anlıkk değişimleri site ana sayfasında görebilirsiniz.
Ve son aşama. Bitcoin miktarını hackerların hesabına transfer edeceksiniz. Bunu da bitcoin gönder dedikten sonra göndermek istediğiniz hesaba ait bir kod istiyor. Bu kod da size zaten şifre çözme talimatında veriliyor.
Bitcoini transfer ettikten sonra yine talimat ile birlikte gelen web sayfasında parayı ödedim linkine tıklıyorsunuz ve size şifre çözücü programı indirmek için bir link veriliyor. Oradan ufak bir program indirip çalıştırdığınızda program bütün dosyaların şifresini açıyor. Bilgisayarı yeniden başlatmanızı istiyor ve bütün dosyalar açık halde karşınızda. Ayrıca indirdiğiniz program da bilgisayar yeniden başladıktan sonra kendi kendini siliyor.
Bir deneme yaptım ve bilgisayarı yeniden başlatmadan programı usb belleğime alıp başka bir bilgisayarda çalıştırıp şifrelemeyi çözmeye çalıştım ama olmadı. Her bilgisayar için ayrı bir şifreleme kullanıyor , dolaysıyla bu cinlik işe yaramadı. Oysa ki çalışsa bir çok kişiyi kurtarabilirdim 🙂
SONUÇ
Sonuç olarak buradan çıkaracağımız ders net .Yedek!!. Virüs saldırılarının sonu gelmeyeceği için yedekleme çok önemli. Şimdi cryptolocker daha sonra başka bir virüs illa ki çıkacak.
Şirket ortamında yüksek ihtimalle bir server (ana bilgisayar) vardır. Kullanıcılar dosyalarını serverda bulundurmalı ve serverın da günlük olarak yedeklendiği bir sistem kurulmalıdır.
Dosyalar serverda tutulmalı çünkü 20 bilgisayarlık bir firmada her bilgisayarın yedeklemesi için ayrı ayrı bir yedekleme programı lisansı almak ve bu bilgisayarların imaj büyüklükleri için çok daha büyük depolama alanlı yedekleme sistemi kurulmalı ve bu da oldukça maliyetlidir. Dosyalar serverda tutulduğunda , kullanıcının bilgisayarı bozulsa bile başka herhangi bir bilgisayardan dosyalarına tekrar ulaşabilir ve iş akışı kesintiye uğramaz.
Virüssüz günler dileğiyle.
