Fidye Yazılımlarda Tehlikeli Değişim

Bulaştığı bilgisayardaki dosyaları şifreleyip kullanıcıdan para isteyen zararlı yazılımlarda tehlikeli bir gelişme tespit edildi. Cisco tarafından incelenen bir fidye yazılımı örneği diğerleri gibi kullanıcıya bir fidye mesajı gösteriyor. Önemli fark ise bu noktada kullanıcının bütün dosyaları şifrelenmiş değil, silinmiş oluyor. Bu nedenle talep edilen ücret ödense bile dosyaları kurtarmak mümkün olmuyor.

“Ranscam” (İngilizce fidye ve dolandırıcılık kelimelerinden türetilmiş) olarak adlandırılan bu yeni fidye yazılım türevi kurbanları ödeme yapmaya ikna etmek için korkutmaya çalışıyor. Kurban ise ödemeyi yapsa bile dosyalarının çoktan silindiğini bilmeden ödemeyi yapıyor.

Aşağıda bu zararlı tarafından gösterilen örnek bir fidye notu var. Görüldüğü üzere zararlı yazılım şifrelediği dosyaları disk içerisinde gizli bir bölmeye taşıdığını iddia ediyor.

RansomNote

 

Gerçekte ise bu aşamada dosyalar çoktan silinmiş oluyor. Zararlı yazılımın bulaştığı sistemden kullanıcı dosyalarının yanı sıra güvenli kipte başlatmayı sağlayan ve görev yöneticisinin kullandığı bazı önemli sistem dosyaları da silinmektedir. Böylece bilgisayar açıldığında sadece sözde fidye notunun görüntülenmesi sağlanıyor.

Daha önce tespit edilen fidye yazılımlarda en kötü senaryo parayı ödeyerek dosyaları kurtarmaktı, bu zararlıda ise dosyaların tamamen kaybolması ihtimali oldukça yüksek.

Bu durumla karşılaşmamak için önceden alınması gereken bazı tedbirler var ancak zararlı yazılım bulaştıktan sonra yapılabilecekler oldukça sınırlı. Bu nedenle, hem normal fidye yazılımlara hem de bu yeni türeve karşı, aşağıdaki 2 basit tedbirin alınmasında fayda var:

  • Dosyalarınızı yedekleyin: Düzenli yedeklerin alınması ve bunların farklı bir ağ üzerinde veya ağa bağlı olmayan bir kaynakta tutulması gerekiyor.
  • Kullanıcılar eğitin: Kullanıcılara belki haftada 1-2 tane hatırlatma e-postası göndermekte fayda var. Bu e-postalarda farklı senaryolara (ödenmemiş GSM operatörü faturası, size ulaşamamış kargo, vb.) değinmek daha etkili olacaktır.

Şimdilik bu yöntemle çalışan fidye yazılımlar diğer türevleri kadar sık görülmedi ancak dosyaları şifrelemek yerine tamamen silme yönteminin daha kolay olması nedeniyle siber suçlular arasında hızlıca yayılabilecek bir yöntem gibi duruyor.

2017-03-16T21:59:14+00:00 July 14th, 2016|InfoSec|