ttnet virüsüne çözüm

Kullanıcıların cihazlarındaki dosyaları parolaleyerek para karşılığında yeniden kullanıma açan Ransomware ve CryptoLocker adlı kötü programları içeren sahte e-faturalarla, şirketlere yönelik yoğun bir siber saldırılar başladı.

Son zaman bu siber saldırıdan bilinçsiz şirket çalışanları nedeni ile büyük zararlar görülüyor. Bağlı oldukları şirketin bilgisayarında Word, Excel ve fotoğraf gibi dosyalarını parolalemesi şirketler için içinden çıkılmaz hale getirdi.

Kötü niyetli kişiler tarafından gönderilen sahte e-postaların ekinde bulunan sahte faturalarlakandırılan kullanıcılar, faturayı açtıklarında bilgisayarlarına Ransomware yada CryptoLocker adı verilen kötülar ile fidye programı bulaşıyor.

Bahsi geçen saldırı ilk olarak kullanıcıların cihazlarını ve dosyalarını parolaliyor ve kullanıcı direkt olarak ekrandaki mesaja yönlendiriliyor. Ya da şirketlerin ana sistemlerine Server’larına kötü amaçlı hackerlar erişim sağlayarak dosyalarınızı parolaliyor.

Ardından para karşılığında parola çözme programı satın alırlarsa bilgisayarlarının yeniden açılacağı iddia edilerek kullanıcıların para ödemesi misyonleniyor.
Ne yapabilirsiniz?

Mevcut saldırıdan korunmanın en basit yolu, kaynağından emin olmadan bu gibi sahte e-postaların içindeki sahte faturaları açmamak.
Kullanıcılara e-faturanın zip formatında yada exe formatında olmayacağını öğretmek!
Tüm çalışanların bu tarz e-postalara karşı bilinçlendirilmek gerek!.
İyi bir Internet Security programı ile bilgisayarlarını koruma altına almak.
Turk Telekom, TTNet, Turkcell fatura gibi başlıklarla gelen e-postalara uzun bir süre itibar etmemekgerek!
Ayrıca şirketlerin IT yöneticileri aşağıdaki gibi bazı önlemler alabilirler…
IT Tarafında…

MS Office type files (makro içerenler)
Packed executable files (UPX, FSG)
Uzaktan erişim portunu değiştirmek (mümkünse büyük bir port numarası kullanmak gaye zorlaştırmak)
Uzaktan erişen kullanıcılara kısıtlı hesaplar ve güçlü parolaler vermek
Gerek yoksa, serverı uzaktan erişime kapamak
TOR sistemini bloke etmek.
Administrator hesaplarını devre dışı bırakmak
Standart kullanıcılara güçlü parolaler oluşturmak
Zararlının indirildiği alan isimlerini belirleme edip, şirket içinde girişini bloke etmek
Ee-posta sistemlerinde AntiSpam ürünleri kullanmak.
Internet Security programlarını güncel tutmak
Önemli verilerinizin günlük olarak yedeğini almak (En azından 30 günlük geriye dönülebilecek yedekleme)
Yatırım yapabilecek durumdaysanız sağlıklı bir uzmandan destek almak ve sistemi güçlendirmek
Virüsün sisteminize girebilmesi için TTNet Faturanız, Turkcell Faturanız gibi başlıklarla gelen gelen e-postayı kullanıcının açması, içindeki “Faturayı Görmek için tıklayın” bağlantısına tıklaması, son şeklinde de indirmiş olduğu dosyayı çalıştırması gerekiyor.
Diğer bir sürümda ise uzaktan erişim sağlayan kötü amaçlı kişi ya parolanizi tahmin ediyor veya bir güvenlik açığı kullanıyor. Server’a eriştikten sonra verileri parolaliyor.

Bir kullanıcı şayet bilinçsiz ve bu hususta eğitilmemişse maalesef ki bu tuzağa düşüp, birkaç saniye içerisinde bilgisayarındaki bütün belgelerin parolalenip, tuzağa düşmesine neden olabiliyor.

Ya da uzaktan erişime açık bir Server üzerinde verileriniz varsa ve parolaleriniz 123456 gibi kolay parolalerse bu duruma düşmeniz olası bir durum!

Düne kadar çoğu antivirüs programı bu virüsü yakalayamıyordu. Bugün ise birçoğu önlem alarak, bu virüsü analiz etmeye başladı…

Zemana firması da bu virüsü analiz ederek, sonuçları blogunda yayınladı.

Bu virüsü oluşturan kişi veya kişiler antivirüsleri atlatmakta bayağı etkin iş yapmışlar. İlk zaman içinder bir antivirüs programı hariç hiçbir AV üreticisi programı tanımlayamıyordu. Doğal şeklinde de bilgisayarına indiren ve virüsü çalıştıran kullanıcıların karşılarına bir uyarı çıkmıyordu.

Saldırı, çoğu şirketin başına bela oldu! Karşılığında da binlerce lira para ödemek zorunda kaldılar.

İşin hoş tarafı Zemana firmasının AntiLogger programı bu virüsü kullandığı “code injection” prosedürü, vasıtası ile fark edip parolaleme prosedürüne başlamadan durdurabiliyordu.

Söz konusu kötü, daha önce de başımıza bela olmuştu. İlk sürümünda olduğu gibi dosyaları AES ile, anahtarı da RSA ile parolaliyordu. Dosyalarınızın adı hamza.parolali biçimine geliyor ve kullanılamıyordu.

Boşuna parola kırmak gibi bir arayışa girmeyin 10 sene uğraşmanız lazım!

Şimdiki sürümünda ise yine aynı biçimde dosyaları AES ile, anahtarını da RSA ile parolaliyor. Farkı ise biraz daha tasarlanmış ve dosya uzandıları “.encrypted” haline geliyor.

Bu saldırıya maruz kalanların karşısına 1.245BTC (Bitcoin) ödemezlerse (aşağı yukarı bin liradan fazla) dosyalarının geri döndürülemeyeceği mesajı çıkıyor.

Şirketlerin Server’larına bulaşan sürüm da ise, saldırgan daha yüksek ücretler talep edebiliyor. Her iki noktada da paranın takip edilememesi için Bitcoin olarak ödeme yapıyorsunuz ve kötü amaçlı kişinin insafına kalıyorsunuz.
Çözüm;
Kriptolanmış dosyalarınızı sistem geri yükleme ile geri getirmemeniz için virüs, bunun yanı sıra sistem geri yükleme dosyalarını da siliyor! Kısacası sistemi geri yüklemeye çalışmak başarısız olacaktır. Ancak kullanıcılara bulaşan sürümda…

1. Virüsün bulaştığı sistemde işletim sisteminizin “Shadow Copies” özelliği aktifse ve sisteme giriş yaptığınız kullanıcı sınırlı yetkiye sahipse, sistemdeki yedeklerin orjinal sürümlarına ulaşmanız mümkün!

Bunun için http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe adresinden programı indirip bilgisayarınıza kurmanız gerekiyor.

Bundan sonra, program size önceki sürüm sistem geri yükleme dosyalarını çıkartarak, kullanıcı arayüzü içerisinden dosyalarınızı geri alma prosedürü sağlayabiliyor. Tabi ki Login olduğunuz sistemde yönetici haklarınız olmaması gerekli. Eğer yönetici hesabına sahipken virüs bulaştıysa geri dönüş olmayabilir!

Zararlı program, kısıtlı hesaplarla giriş yapıldığı zaman, dosyalarınızı parolalemesine rağmen, geri yükleme noktalarını (kullanıcı yetkisi olmadığı için) silemeyeceği için, yönetici hesabından giriş yaparak parolalenmiş dosyalarınızı kurtarma imkânı var.

2. Zararlı program, MoveFile fonksiyonu kullanarak dosya uzantılarını değiştirdiği ve parolalediği için, (aslında orjinalini silmiyor) dosya kurtarma programları hiçbir işe yaramayacaktır. Ancak geri yükleme noktalarını sildiği için, dosya kurtarma programlarından ShadowExplorer yada aynısı programları ile kurtarmanız mümkün! Sonrasında sistemi geri yüklemek yeterli olabilir.

3. Veri kurtarma ve Adli bilişim firmaları önemli dosyalarınızı kurtarabilir. ZAhmetli, ücretli ve birazcık da uzun süren bu prosedürü son kullanıcı yapamaz. Ancak adli bilişim yada veri kurtarma firmaları bu noktada etkin işler çıkartabiliyor. Fiyatları mı? Birazcık pahalı… Bu noktada fidye ödemeyi tercih edenler bile çıkabilir?