İlk önce şunu söylemem gerekir ki CryptoLocker bir virüs değildir. CryptoLocker Truva atı (Trojan) dır. Trojan ise kısaca, zararlı yazılım ve proğram barındıran, sızdığı bilgisayarda extra proğram çalıştıran yazılımlardır. Bu yüzden de virüs proğramları bu yazılımı bulamıyorlar. (Bir kaçı hariç) Şu an CryptoLocker yazılımının en az 120 farklı çeşidi bulunmaktadır.
CryptoLocker bir fidye yazılımıdır. Bu yazılımın amacı adı üstünde fidye para talep etmektir. Dosyaları şifrelenen kişiden para, internet siteleri aracılığıyla yada Garanti Cep Bank gibi yöntemler ile istenmektedir. Önceden Western Union ve Moneygram gibi para transferi sistemleri kullanılmaktaydı. Şu an ise takip edilmesi zor olan Bitcoin (elektronik para) olarak paranın buraya yatırılması istenmektedir. CryptoLocker en çok e-postalardan kullanıcı bilgisayarlarına ulaşmaktadır. Ulaştığı bilgisayarlardan da o ağda olan bilgisayarlara sıçrayarak dağılan bir sistemdir.
Korsanlar kullanıcıları ağlarına düşürmek için mail içeriğini yüksek gelen faturalar, değerli kargo gönderileri gibi e-mailler gönderirler. Örnek olarak turkcell den 400 tl lik borcunuz olduğuna dair bir e-posta aldığınızı düşünün. Yada Ptt kargo da kargonuz var gibi. Kargo içerigi için tıklayınız, gibi maillere dikkat ! E-postalarda genellikle ttnet fatura, turkcell fatura, ptt kargo gibi mail başlıklarıyla kullanıcıların mail adreslerine gelmektedir. Burada dikkat edeceğimiz nokta mailin geldiği adrese bakmaktır. Gelen mailin adresi genellikle xxxttnet@xxxnet.com gibi güven vermeyen bir adres ismiyle gelmektedir. Gelen maillerinizde sadece buraya bakarak kimden geldiğini görmemiz güvenilir olup olmadığı konusunda size yardımcı olacaktır.
Ttnet firması CryptoLocker yazılımının popüler olmasından sonra bir açıklama yaparak faturahatirlatma@ttnetbilgilendirme.com.tr adresinden başka adreslere güvenilmemesi konusunda bilgi verdi. Borç ve fatura hatırlatmalarını sadece bu mailden bilgi verildiğini duyurdular.
CryptoLocker mailini tıkladığınızda rar yada zip uzantılı bir dosya bilgisayarımıza iniyor ve hemen devreye giriyor. Bilgisayarınızdaki dosyalar aes 256 bit gibi oldukça güçlü bir şifreleme agoritması ile dakikalar içerisinde şifreleniyor. Şifrelenen dosyalar genellikle Word, excel, database ve pdf dosyaları oluyor. Videolar ve slayt gösterileri (.pst) ler genellikle şifrelenmiyor. Dosyaların bir yedeği şifreleniyor bir yedeği ise siliniyor. Bazı CryptoLocker yazılımları silinen dosyayı bir kereden fazla silerek dönüşü olmayan yollar yapmaktadırlar. Bazıları ise fast silme hızlı silme yapıyor. Şifrelenen her klasörün içine ve masaüstüne şifre çözme talimatı yada read me adlı bir yazı dosyası atılıyor. Şifrelenen dosyaların uzantısı Encrypted yada dxxd olarak değişiyor. Bu da Encrypted adlı bir yazılımla açılacağı anlamına geliyor. Tüm dosyalar şifrelendikten sonra kullanıcının bilgisayarının ekranına bir Wordpad dosyası açılıyor. Wordpad dosyasının içinde bilgisayarda bulunan tüm dosyaların şifrelendiği yazıyor. Şifreleme olarak en kuvvetli olan aes-256 bit şifreleme agoritmasının kullanıldığı yazıyor. Bu şifreleme mantiğiyla şifrelenen dosyaların açılmasının çok zor olduğu yazılıyor. Şifrelenen dosyaların çözülmesi için gereken tek şart fidye isteyen korsanın hesabına para yatırıp gerekli yazılımı almak olduğu söyleniyor. Para yatırma süresi için ise 1 ila 5 gün arasında sınır koyanlarda mevcut. Bu süre içerisinde para yatırılmaz ise kullanıcının dosyalarına bir daha hiç bir şekilde ulaşamayacağı bilgisi veriliyor. İstenen fidye miktarı minimum 2000 ile 5000 tl arasında değişiyor. Korsanın istediği fidye hesaba yatırılsa bile ne bir proğram veriliyor kullanıcıya nede şifreli dosyalar çözülüyor.
Yazılım, %AppData% klasörüne (C:\Users\Kullanıcı Adınız\AppData \Roaming) kendini rastgele bir isim ile kurmakta ve bilgisayarın açılışında çalışmak üzere kayıt defterinde (registry) “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run” altına, güvenli modda bile çalışabilecek şekilde anahtar oluşturmaktadır. Son olarak şifrelediği her bir dosya için “HKCU\Software\CryptoLocker\Files” altına bir dosya ismini belirten anahtar değeri eklemektedir. Registry kayıtları her bir CryptoLocker yazılımı için farklı reg kayıtları tutmaktadır.
Böyle bir yazılımın sisteme bulaşması durumunda ne yapmalıyız ?
Şu ana kadar bir kaç kişi biliyorum parayı gönderen ve parayı göndermemesi hakkında ne kadar ısrar etsemde ikna edemedim. Ve gönderilen para boşa gitti. Korsanlar dosyalar şifrelendikten sonra karşınıza öyle bir yazı çıkartıyor ki kullanıcılar caresiz kalıyor.Piyasada para gönderenlerin de bir hayli fazla olduğu bilinen bir gerçektir. Kesinlikle fidye isteyen korsanlara itibar edilmemesi gerekiyor. Aynı zamanda internet aleminde dosyalarınızı biz kesinlikle kurtarırız diyen bir çok kişi türemiştir. Bu kişilere de dikkat etmek gerekiyor. Dosyalarınızı getireceğini vaad eden kişilerin referanslarına bakmakta fayda var. Şifreyi çözebilen firmalar sizden bir örnek dosya isteyecektir. Sonrasında şifrelenmiş dosyanın şifresini sıfırlayıp size dosyanızı gönderecektir. Eğer dosyanız çalışıyor ve eksiksiz ise o firma ile çalışabilirsiniz.
İkincisi ise yazılımın bulaşmış olduğu bilgisayarda dosyalar kurtarılacak ise kesinlikle uzman bir kişi tarafından ilk müdahale edilmesi çok önemlidir. Çünkü dosyalara yapılan ilk müdahale data kurtarma (veri kurtarma) da olduğu gibi çok önem arz ediyor. Kurtarılacak dosyaların yeri ve konumu kesinlikle değiştirilmeden işleme başlanmalıdır. Dosyaların olduğu sürücüye herhangi bir dosya yazılıp silinmemesi gerekiyor. Bir kere bile müdahale edilen diskten veriyi getirmek imkansız hale gelebiliyor. Yani dosyanın orijinal hali çok önemlidir. Bunu söyle bir örnekle açıklamak gerekirse, bir tane boş a4 sayfasına kurşun kalemle ali ata bak yazıyoruz. Sonra onun yanına Emel süt iç yazıyoruz. Şimdi elimizde iki tane yazı cümlesi var. Sonra Ali ata bak cümlesini silgi ile silip üstüne Ali gel Ali yazıyoruz. Sonrasında ise tüm yazıları siliyoruz. Şimdi karşımızda boş bir a4 kağıdı var. Silinen yerlere gözümüzle dikkatlice baktığımızda ilk yazdığımız ve Ali ata bak yazısının üstüne Ali gel Ali yazdığımız için tam belli olmayan bir yazı göreceğiz. Birde Emel süt iç yazısına baktığımızda bir kere sildiğimiz için ve üstüne bir kelime cümle yazmadığımız için yazının gölgesi rahat bir şekilde görünecektir. Bu yüzden ilk mudahale uzman kişiler tarafından komplike işlemlerle yapılmalıdır. Dosyaların geri getirilmesi editör ve diğer yardımcı proğramlar ve yazılımlar aracılığıyla sağlanmaktadır. Ve orijinal Windows yazılımına sahipseniz dosyalarınızın kurtarılma ihtimali daha da yüksek oluyor.
Dosyaları geri getirme
Bu işlem dosyalarınızın boyutuna göre zaman alacaktır. Dosyalarınız çok ise uzun az ise kısa zaman sürecektir. Burdaki kısa zaman süresini tam bir gün olarak düşünebilirsiniz. CryptoLocker ile şifrelenmiş dosyalar eğer basit versiyonda şifrelendi ise ilk önce data kurtarma yazılımlarıyla taramadan geçirilmesi gerekiyor. Tarama yaptıktan sonra kurtardığımız dosyaları kesinlikle başka bir diske kopyalamamız gerekiyor. Dosya üstüne dosya yazmak dönülmesi imkansız sonuçlara neden olmaktadır. Windows işletim sistemi dosyaların zaman zaman bir gölge kopyasını shadow kopyasını tutmaktadır. Kimi işletim sisteminde aktif kiminde pasif olarak bu sistem kendini göstermektedir. Bu sadece bir tane kurtarma yöntemidir. Ve bunu gibi onlarca kurtarma yöntemi bulunmaktadır.
Kullanıcıların dikkat etmesi gereken durumlar !
Her zaman dosyalarınızın bir yedeği bir kopyası başka bir yerde bulunması gerekmektedir.
Bilmediğiniz, tanımadığınız, güven vermeyen mail adreslerine tıklamayınız. Faturanız yada kargonuz mailinize geliyor ise zip li yada sıkıştırılmış dosya olarak mailinize gelmez.
Kullandığınız bilgisayarlarda antivirüs ve antitrojan yazılımlarının kurulu ve güncel olması.
İnternette girdiğimiz sitelerde gezerken dikkatli olunmalı.
Yine internet de gezerken karşımıza çıkan evet hayır butonlarına okumadan cevap verilmemelidir.