29.07.2021

Fidye Yazılımı (Ransomware) nedir? Tanım, önleme ve kaldırma yöntemleri hakkında bilgilendirme

Fidye yazılımları, bilgisayarınızı kilitleyerek eski durumuna getirilmesi için bir fidye talep edebilecek sızdırma amaçlı zararlı yazılımlardır. 

Genel olarak fidye yazılımlarının bilgisayara girişi İlk olarak kötü amaçlı yazılım cihaza erişim kazanması şeklinde olur. Fidye yazılımının türüne bağlı olarak, işletim sisteminin tamamı ya da belirli dosyalar şifrelendikten sonra kurbanlardan bir fidye talep edilir. 

Fidye yazılımı saldırısı sıklıkla içerisinde çalıştırılabilir dosya, arşiv dosyası veya imaj dosyası olan email eklentileri ile iletilir. Eklenti açıldığında, zararlı yazılım kullanıcının sistemine bulaşır. Siber suçlular aynı zamanda zararlı yazılımları web sitelerine de gömebilirler. Kullanıcı farkında olmadan siteyi ziyaret ettiğinde, zararlı yazılım sistemlerine bulaşır.

Bulaşı hemen kullanıcıya belirmez. Zararlı yazılım öncelikle gizli bir şekilde arka planda sistem veya veri kilitleme mekanizması yerleşene kadar çalışır. Daha sonrasında verilerin kilitlendiğini ve fidye talebini belirten bir mesaj kutusu belirir. Bu mesaj görüldüğünde verilerin herhangi bir güvenlik mekanizmasıyla kurtarılması için çok geçtir.

Aşağıdaki video da örnek bir saldırıyı izleyebilirsiniz. 


Fidye Yazılımlarının Tarihçesi

  • 1989: İlk bilinen fidye yazılımı, 1989 AIDS Truva Atı (PC Cyborg olarak da bilinir) Joseph Popp tarafından yazıldı
  • 2005: Mayıs ayında extortion fidye yazılımı ortaya çıktı
  • 2006: 2006 ortalarına kadar, Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, ve MayArchive daha karmaşık RSA şifreleme şemalarını, sürekli büyüyen anahtar boyutlarıyla kullanmaya başladılar
  • 2011: Windows Ürün Güncelleme uyarısını taklit eden bir fidye yazılımı solucanı ortaya çıktı
  • 2013: Stamp.EK sömürü kiti temelli bir fidye yazılımı solucanı ve Mac OS X'e özgü bir fidye yazılımı solucanı ortaya çıktı. CryptoLocker, yılın son dört ayında yaklaşık 5 milyon dolar süpürdü
  • 2015: Farklı ortamlar üzerinde bir çok türev yazılım büyük zarara sebep olur
  • Mayıs 2017'de, ESET tarafından tespit edilen bir fidye yazılım solucanı WannaCryptordiğer adıylaWannaCry kullanarak hızla yayıldı NSA'den sızan EternalBlue istismarcısından yararlanarak Windows işletim sistemlerinin en popüler sürümlerinde bir güvenlik açığından yararlandı. 
  • Haziran 2017'de, ESET tarafından Diskcoder.C veya Petya adı verilen zararlı yazılım tespit edildi. Ukrayna'da dolanmaya başladı, ancak kısa süre sonra ülke dışına çıktı. Daha sonraları, iyi düzenlenmiş bir tedarik zinciri saldırısı olduğu ortaya çıktı. Ukrayna şirketlerine saldırmak ve zarar vermek için popüler muhasebe yazılımlarını kötüye kullandı.

Fidye yazılımı saldırısı riskini azaltmak için;

  • Verilerinizi düzenli olarak yedekleyin ve en az bir tam yedeğinizi çevrim dışı tutun.
  • Tüm yazılımlarınızı - işletim sistemleri dahil - yamalı ve güncel tutun.
  • Bu tür fidye yazılımlarına karşı özel olarak geliştirilmiş modülleri olan bir anti virüs yazılımı kullanmak almanız gereken ilk tedbirler arasında olmalıdır. 
  • Gereksiz servisleri ve yazılımı kaldırarak saldırı yüzeyini azaltın. 
  • Ağınızı zayıf parolalar kullanan açıklar için tarayın.
  • Uzak Masaüstü Protokolü (RDP) protokolünün ağın dışından kullanımını sınırlayın veya yasaklayın veya Ağ Düzeyinde Kimlik Doğrulamayı etkinleştirin.
  • Sanal Özel Ağ (VPN) kullanın.
  • Güvenlik duvarı ayarlarını gözden geçirin.
  • İç ve dış ağ arasında (internet) trafik için ilkelerinizi gözden geçirin. 
  • Güvenlik çözümünüzü yapılandırırken saldırgan tarafından kapatılmaması için parola oluşturun.
  • Yedeklerinizi iki veya çok faktörlü kimlik doğrulaması ile güvence altına alın. 
  • Personelinizi oltalama saldırılarını tanımak ve başa çıkabilmeleri için düzenli olarak eğitin.

Fidye Yazılımı Çeşitleri

  • Şifreleme Fidye Yazılımları (Kişisel dosyalarınızı ve klasörlerinizi şifreler dokümanlar, tablolar, resimler ve videolar. Etkilenen dosyalar şifrelendikten sonra silinir ve genellikle kullanıcılar bu dosyalar ile aynı klasörde içinde ödeme talimatları bulunan bir dosya ile karşılaşırlar. Problemi bu dosyalardan birini açmaya çalıştığınızda fark edebilirsiniz. Hepsi olmasa da bazı şifreleme yazılımları bir 'kilit ekranı' gösterir.)
  • Ekran Kilitleme Fidye Yazılımı - WinLocker (Bilgisayar ekranınızı kilitler ve ödeme talep eder. Diğer tüm pencereleri bloklayan tam ekran bir resim yansıtır. Kişisel dosyalarınız şifrelenmez.)
  • Master Boot Record (MBR) Fidye Yazılımı (MBR Bilgisayar diskinin içinde bir kısım olup işletim sisteminin açılmasını sağlamaktadır. MBR fidye yazılımı bilgisayarın MBR'sini değiştirip açılış işlemini keser. Açılış ekranı yerine bir diye mesajı ekranda gösterilir.)
  • Web Sunucularını şifreleyen Fidye Yazılımları (Bu tip fidye yazılımları web sunucuları hedefler ve sunucu üzerindeki dosyaların bir kısmını şifreler. Fidye yazılımının web servislerine yüklenmesi için İçerik Yönetim Sistemlerindeki bilinen zafiyetler kullanılır.)
  • Mobil Cihaz Fidye Yazılımı (Android) (Mobil cihazlara (çoğunlukla Android) "drive-by indirmeler" yöntemiyle fidye yazılımı bulaştırılır. Aynı zamanda kendini Adobe Flash veya anti virüs yazılımı gibi gizleyen sahte uygulamalar ile bulaştırılırlar.)

Saldırıya uğramışsam fidyeyi ödemeli miyim?

Fidyeyi ödemek problemin çözüleceği garantisini vermeyeceği göz önünde bulundurularak kabul edilmesi tavsiye edilmez. Daha bir çok  bir çok sebepten dolayı çözüme ulaşılamayabilir. Örnek olarak zararlı yazılımın içinde anahtar olsa dahi şifreli verinin geri dönmemesine sebep olacak kodlama hataları olabilir bu sebeple fidye ödense bile geri döndürmek mümkün olmayabilir.

Ayrıca fidye ödendiğinde, siber suçlular fidye yazılımlarının işe yaradığına ve bunun iyi bir pazar olacağının dair kanı oluşmasına neden olmak ile beraber bu iş modelini istemeden de olsa desteklemiş olursunuz ve kısmen de olsa daha çok insanın etkilenmesinden sorumlu olursunuz.

Bu sebeple siber suçlular aktivitelerine hız kesmeden devam ederler ve sistemlere sızmak için yeni yollar geliştirmeye büyük bir hevesle devam edeceklerdir. Bu durumda daha çok zararlı yazılım ve siber suçluların bu işten çok daha fazla para kazanması ile sonuçlanır.  

Fidye yazılımı kurbanları kimlerdir?
Herhangi bir kullanıcı veya işletme fidye yazılımı kurbanı olabilir. Siber suçlular seçici değillerdir ve çoğunlukla en çok karı elde edebilmek için mümkün olan en fazla kullanıcı sayısına erişmeye çalışırlar.

İşletmelere karşı gerçekleştirilen fidye yazılımı saldırıları büyümekte midir?
Evet, çünkü şifrelenen veri çoğunlukla hassas ve işletmeler için hayati olduğundan siber suçlular işletmelerin ödemeye daha yatkın olduklarını bilirler. Buna ek olarak, bazı durumlarda fidye ödemek yedeklerden sistemi geriye döndürmekten daha az maliyetli olabilir.

Neden fidye yazılımlarına karşı tek bir çözüm bulunamıyor?
Fidye yazılımları yükseliştedir - Bu dönemde dolaşımda 50'den fazla fidye yazılımının olduğu bilinmektedir - ve bu yazılımlar çok çabuk evrimleşirler. Her yeni tür daha iyi bir şifreleme yöntemiyle ve yeni özelliklerle gelmektedirler. Bu yok sayabileceğimiz bir gerçek değildir!

Bu probleme tek bir çözüm bulunamama sebeplerinden birisi şifreleme işleminin aslında zararlı bir işlem olmamasıdır. Bir çok zararsız program da kullanmaktadır ve şifreli faydalı bir araçtır.

İlk kripto-zararlı yazılımlar simetrik şifreleme yöntemleri kullanmaktaydı. Şifreleme ve Deşifreleme işlemleri için aynı anahtar kullanılmaktaydı. Bozulmuş veri genellikle güvenlik şirketleri yardımıyla başarıyla açılabilmekteydi. Zamanla, siber suçlular asimetrik şifreleme yöntemleri kullanmaya başladılar. Bu yöntemle biçiminde şifreleme algoritmaları iki anahtar kullanır - şifrelemek için açık-bilinen anahtar ve deşifreleme için gizli-bilinmeyen anahtar.

CryptoLocker Truva Atı en çok bilinen fidye yazılımlarından biridir. O da açık anahtarlı şifreleme yöntemi kullanır. Etkilenen her bilgisayarla birlikte komuta merkezine bağlanıp açık anahtarı indirir. Gizli anahtar ise yalnızca yazılımı geliştiren suçlular tarafından erişilebilmektedir. Genellikle, fidyenin ödenmesi için ve gizli anahtarın tamamen silinmesi için kurbana 72 saatten az bir süre tanınır. Gizli anahtar olmaksızın herhangi bir dosyayı kurtarmak mümkün değildir.

Bu sebeple öncelikle engelleme yöntemleri düşünülmelidir. Çoğu anti virüs sistemi halihazırda fidye yazılımlarının erken aşamalarında iken hassas veriler kaybedilmeden saptayabilecek bileşenler barındırırlar. Kullanıcıların bu özelliklerin açık olduğundan emin olmaları önemlidir.

Kaynaklar;

https://www.kaspersky.com.tr/

https://www.eset.com/tr

https://www.nomoreransom.org/

28.07.2021

Dosya adında karaktere göre arama yapmak

Dosya adında geçen bir karakteri arıyorsanız windows arama alanına eğer işletim sistemi türkçe ise ad:~"*#*" işletim sistemi ingilizce ise name:~"*#*" yazarak dosya adında "#"  bu karakter geçen dosyaları bulabilirsiniz. Eğer dosya adında bu karakter geçmeyen dosyaları aramak isterseniz önüne NOT ad:~"*#*" eklemeniz yeterli olacaktır. Aşağıda örnekleri görebilirsiniz. İlk resimde klasörde toplamda 50 adet resim olduğu görüyorsunuz ikinci resimde aramada resim dosyalarında adının herhangi bir yerinde # karakteri geçenleri aradığımızda 32 adet listelediğini görürken üçüncü resimde # geçmeyen 18 adet resim olduğunu görüyorsunuz.