CryptoLocker Eylül 2013 yılından beri Windows işletim sistemlerinin tüm sürümlerini etkileyen bir ransomware (şifreci-fidyeci) yazılımdır.
Yazılımın saldırı vektörü; e-postalar ve web siteleri üzerinden .exe uzantılı dosyanın kullanıcı tarafından indirilerek çalıştırılmasının sağlanmasıdır.
Zararlının sürümüne göre değişmekle birlikte, faturanızı sorgulayacağınız hizmet aldığınız firma ile aynı arayüze sahip bir siteye de yönlendirilebilir veya gönderilen e-posta ekini tıklamanız istenebilir.
Ziyaret etmeniz için yönlendirildiğiniz web sitelerinin alan adı sizin yanılmanızı sağlamak için ilgili firmanın, ürününün alan adı bilgilerini içerecektir… ( efatura-XXXXX-fatura.com değil efatura-XXXXX.fatura.com )
Program çalıştırılmasının akabinde 2048-bit RSA anahtarı ile kullanıcının dosyalarını (ağ üzerindeki ortak kullanım alanları, Dropbox,… da dahil) şifreleyerek parola talep etmektedir.
Zararlı, belirtilen sürede ve belirtilen yöntemle saldırgana ulaşılmasını aksi taktirde şifreleme anahtarının silineceği belirtir. Süre sonunda şifreleme anahtarının silinmesi dosyalara erişimin yapılamayacağı anlamına gelmektedir. Buradaki temel amaç sizi paniğe sürükleyerek inceleme/araştırma yapmanızı engellemektir.
Saldırgana bir Komuta kontrol sunucusu üzerinden (Genellikle Anonim olan Tor ağı üzerinden) web sunucusu veya e-posta erişilir.
private key’in (dosyaların şifrelenmesi sonucu oluşturulan anahtarın) upload edileceği bir web sitesi bağlantısına yönlendirilir.
Saldırgan, akabinde bir CryptoDecrpter aracı ile (.exe) şifrenin çözülmesiiçin bir bağlantı gönderir!
Saldırganın istediği paralar $100 – $300 arasında değişmekte ve para transferini takip edilmesi güç olan Bitcoin veya MoneyPak olarak istemektedir.
Zararlının tipik virüs özellikleri göstermemesi antivirüsler tarafından yakalanmasını güçleştirmektedir.
Görece uygulama kolaylığı saldırının önümüdeki günlerde daha da artacağını göstermektedir.
Şifreli dosyalarının kırılması çok olacağı için kurbanların bir bölümü fidyeyi vererek dosyalarını geri almaktadır,
Ancak bunun suçlulara yardım etmek anlamına geldiği ve yapılan işlemin adli makamlara bildirmenin de gerekli olacağını unutmamak lazım.
Yakın zamanda fireEye firması şifreyi kırabilecek bir web servisini devreye aldı. Bu servis ile şifreleme anahtarın upload edilerek parola alınabilir. Ancak bu servis de her zaman işe yaramayacağı unutulmamalıdır (Çoğunlukla yaramamaktadır…)
https://www.decryptcryptolocker.com/
(Sitenin güvenlik taraması: https://www.virustotal.com/tr/url/aa09d93a9e5b3ed0aa2e68d4da9f778ac474a14c042d4ce5453d8d024404654d/analysis/
https://www.siteadvisor.com/sites/https%3A//www.decryptcryptolocker.com/ )
ÖNLEM:
+ Bilgileriniz doğru olsa dahi E-posta yolu ile gelen E-Fatura,vb. e-postaların eklerini açmayın. Simgesi .pdf,vb dokümanlara benzeyen .exe uzantılı zararlıyı tıklayıp çalıştırdığınızda şifreleme işlemini başlatırsınız!
+ Daha önce almadığınız bir eki açmayıp, göndereni ve içeriği kendi kaynaklarınızla doğrulayın,
+ Şüpheli/Ziyaret ettiğiniz sitelerin adreslerinin domain’inin doğru olduğunu kontrol ediniz;
efatura-XXXXX-fatura.com değil efatura-XXXXX.fatura.com doğru olabilir (Alan adları . ile ayrılır ve sondan başlanarak okunur.)
+ E-Faturaların içerikleri (çok yüksek fatura..) sizi paniğe sevkedip eklere bakmanızı teşvik edecektir. Bu nedenle ilgili doğrulamayı eki almadan hizmet aldığınız kurumu arayarak sorgulayınız.
+ Verilerinizi düzenli olarak yedekleyiniz.
+ Yedekleme ortamlarının her zaman sisteminize bağlı olmasın (Harici harddisk, Taşınabilir Harddisk, NAS, dropbox,…)
+ Lisanslı ve Güncel antivirüs kullanın,
+ Lisanlı ve Güncel işletim sistemi kullanın…
https://www.us-cert.gov/ncas/alerts/TA14-295A
STANDART REFERANS: ISO 27001:2013
A.5.1.1
A.12.3.1
A.12.6.1
A.13.1.3
A.13.2.3