Ana içeriğe atla

Dikkat Faturanızda Virüs Var.

Merhaba
Yaklaşık  3 yıldır takibinde olduğum bir konu hakkında sizi bilgilendirmek isterim. 
İlk olarak muhasebeci bir arkadaşımın bilgisayarına bulaştığını öğrendiğimde ülke gerçekten siber tehdit altında diye düşünmüştüm ama sade sıradan bir muhasebeciden ne isteyebilirdi ki ? 
Kaynağının ne olduğunu anlayamadığımız bir şekilde word ve excel dosyaları bozulmuş ve açılmıyordu. Derinlemesine bir inceleme yaptıktan sonra dosyaların ortak özelliklerinin aynı gün aynı saat aynı dakikalar içerisinde değiştirilmiş olmasıydı. Önce uzantı değişimi gibi düşünüp uzantıları eski haline çekmeye çalışıp durumun şifreleme olduğunu öğrendiğimde biraz daha ciddi bir sorun ile karşı karşıya olduğumuzu anladım. 
Tüm denemelerime rağmen dosyalarına erişmem çok mümkün değildi ama kendisine verdiğim bir backup batch script ile günlük yedeklerini sunucusuna aldırıyordu. Virüs ilk zamanlarda network üzerinden erişi sağlamaya çalışmadığı için şanslıydık çünkü sunucusuna erişmiş olsaydı haftalarca tekrardan veriş girişi yapmak zorunda kalacaktı. 
Neyse ki bu durum yaşanmadı. Sonra bu virüsün nereden geldiğini anlayabilmek için bilgisayarını incelemeye koyuldum. Antivirüs programları ile tarattım manuel olarak registery incelemesi yaptım ve startup da bulduğum bir uygulama ile yola çıktım. Dosya adı çok ilginç ti Turkcellfatura.pdf".exe"
Exe uzantısı uzantılar gösterilmediği için görünmüyordu ve dosya ikonu adobe ikonuydu. Tekrar çalıştırdığımda diskte okuma ve yazma grafiği delirmiş gibiydi. Bütün dosyaları tekrardan şifreliyor bir yandan da "Hacklendiniz" uyarılı bir frame açıyordu. 
Ucuz atlattığımız bu yöntem sadece türkcell faturası ile kalmayıp türk telekom, ttnet, Ptt kargo, Digiturk ve benzeri bir çok firmanın alan adına yakın bir alan adı ile açılmış bir siteden tamamen kullanıcının rızasıyla bilgisayara indirilen bir dosyaydı. 
Şimdi gelelim virüsü müze. Virüsümüzün adı "CryptoLocker" 

CryptoLocker NEDİR?
CryptoLocker; FBI Virus, Police Central e-crime Unit Virus, Department of Justice Virus ve  buna benzer tehlikeli virusleri çıkartan gruba ait oldukça tehlikeli bir virustur. CryptoLocker  kullanıcıların kişisel dosyalarını şifreleyerek kilitler ve şekilde de görmüş olduğunuz gibi fidye  istediklerini belirten bir ekran gelir ekrana. Görmüş olduğunuz gibi belli bir müddet verir  kullanıcılara. Ödeme yapılması durumunda açacaklarını, aksi durumda zaman dolduktan  sonra imha edileceğini belirtir. Peki ne kadar güvenilir parayı yatırdıktan sonra açacaklarına,  bu da şüphelidir.

CryptoLocker NASIL ÇALIŞIR?
Uzmanlara göre bu virus resmi yazışmaları kullanmaktadır. Kullanıcıların kolayça açmasını sağlayacak türden mailler gönderir. Bankanıza ait borç, ödemeler, kargo şirketinizden gelen mail, satın aldığınız siteler vs gibi. Kullanıcı dosyayı açtığı anda dosyaları kilitlenir. Uzman araştırmalarına göre genellikle şu uzantıları etkiler; 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx. Yani Microsoft ürünlerinin dosyaları (word, excel vb), Adobe ürünlerinin dosyaları (ai, eps, psd vb), resim/fotoğrafları (jpg, raw vb), ve çok farklı uzantılarda dosyaları etkilemektedir.
Genellikle pdf görünümlü exe dosyalarından gelmektedir. Eğer uzantı, kurulum sırasında default olarak görünmeyecek şekilde ayarlı ise pdf mi exe mi ayırt edilemeyecektir ve görünümü pdf olduğundan exe olma ihtimali aklımıza bile gelmeyecektir. Pdf zannettiğimiz dosyayı açtığımızda sistemi kilitleyecektir, cryptolocker fidye isteyecektir. Bilgisayarı baştan başlatmak, pdf’i silmek ya da benzeri hareketler işe yaramayacaktır. Bu sırada kesinlikle, harici aparatlar kullanmayın (usb, telefon, harici harddisk vb..)

CryptoLocker’dan NASIL KURTULURUZ?

Kesin çözüm yolu diyerek sizleri heyecanlandırmak istemeyiz ancak işe yaradığını da deneyerek öğrendik;
  • Windows’u “Güvenli Mod”da çalıştırın
  • İnternetten StopZilla, SpyHunter, Malwarebytes AntiMalware programlarından birini indirin (tavsiyem Malwarebytes AntiMalware)
  • Muhtemelen güncelleme yapacaktır (her virüsün ilacı için güncelleme gereklidir)
  • Güncelleme bittikten sonra detaylı tarama yapın
  • Zararlı bulduklarını silin
  • Bilgisayarı sistem geri yükleme noktasında eski bir tarihe çekin
Diğer bir çözüm ise ki yukarıdaki yolla benzerliği vardır;
  • Bilgisayarı “Güvenli Mod”da açın
  • Regedit’i çalıştırın (windows tuşu + R kombinosyonu ile açılan yere regedit yazın)
  • WinLogon Entries bölümünde explorer.exe olmayan ya da blank olmayan dosyaları bulup explorer.exe ile değiştirin. (ya blank olacak ya da explorer.exe olacak. Başka ihtimal yoktur)
  • Yazdığınız dosyaların kayıt bilgilerini (log) bulup silin
  • StopZilla, SpyHunter, Malwarebytes AntiMalware programlarından biri ile tarama yapın

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Facebook ve diğer sosyal uygulamalar bizi dinliyor mu ?

Merhabalar  Bu konuyu Sayın Murat GÖÇE nin twitterda attığı bir gönderiden sonra yazmak istedim. Açıkcası uzun zamandır da gönderi paylaşmadığımı fark ettiğim tekrar bu mecrayı hareketlendirmek istedim.  Öncelikle sosyal medya uygulamalarından ve çalışma mantığından bahsetmek gerekirse; Öncelik olarak sizi yeni kişiler ile tanıştırmaktansa sizin tanıdığınız kişiler ile aynı ortamı kullanmayı hedeflerler. Bunu yapabilmek için kullandığınız sosyal medya uygulaması mobil ise telefon rehberinize yani kişilerinize veya mail adres defterinize erişmek ister. Bu uygulamayı mobil değilde masaüstü kullanmak isterseniz kayıt olurken kullandığınız mail adresinize yada diğer sosyal medya hesaplarınıza erişmek ister.  Ugulama öncelik olarak kendi bünyesinde sizinde iletişim halinde bulunduğunuz kişiler ile ortak alanı oluşturmak ve kendi veri tabanında mail yada telefon numarası olmayan kişileride uygulamayı kullanmak için davet sistemini kullanmanızı sağlamaktır. Çoğunluk olarak bu tü...
Yorum Gönder
Devamı

Girdiğimiz Siteler Takip mi Ediliyor?

Girdiğimiz Siteler Takip mi Ediliyor? Avrupa Birliği, internetin denetimi ile ilgili yakın zamanda uygulamaya giren yeni kurallar getirdi. En çok dikkat çeken maddelerin başında, internet sitelerinin 'cookies' yada 'çerezler' olarak bilinen ve kullanıcılara ait bilgileri kaydeden yazılım programlarını, siteyi ziyaret eden kişilerin bilgisayarlarına yüklemeden önce izin istemek zorunda kalmasını sağlayan madde var. Peki koskoca AB'nin internet sitlerinin çerezleri ile ne işi var da böyle bir zorunluluk getirdi? İnternet siteleri birkaç farklı sebepten ötürü bizim bilgisayarımızda bazı bilgileri tutuyor. Bunların içinde en önemlisi oturum bilgilerini saklamak. Facebook, tweeter veya mail siteleri gibi oturum açılan sitelerde ilk girişte sizden kullanıcı adı ve şifrenizi sorduktan sonra sizin siz olduğunuzu anlayabiliyor. Fakat daha sonraki yaptığınız her işlemde işlemi yapanın siz olup olmadığınızı tekrar sormuyor. Bir session bilgisi oluşturuyor ve bunu size gönderiy...
Yorum Gönder
Devamı

80'lerde reklamlar

Mintaxla Canım Mintaxla:  80'li yıllardaki eğlenceli reklamların kendine has yüzleri, şarkıları, dansları bir döneme damgasını vurdu. 80’lerde reklamların şimdikilere göre daha eğlenceli olduğunu düşünen bir kitle var. Haklılar mı, bilinmez ama kesin olan bir şey varsa o da o devrin reklam filmlerinin oldukça komik oldukları. Markaların ürünlerini tanıtmak için giriştikleri birbirinden ilginç çabalar, 80’li yıllarda çocuk olanların hala zihninde. Kendine has yüzleri, reklam kontrastındaki abartı, reklamlardaki karakterlerin üçte ikisinin bağırarak şarkı söylemesi o dönem reklamlarının olmazsa olmaz özelliklerinden. Fiyatı şöyle, temizliği böyle :) Örneğin o yılların ünlü TV dizisi Kuruntu Ailesi ile başlayan sonrasında Derya Alabora’nın da dâhil olduğu  Mintax  serisi gibi. “ Mintaxla Canım Mintaxla ” sloganı günümüzde bile efsane olmuş bir reklam terimi. Hatta yeni serileri bile çekildi. Bu kez düzenlemiş reklam şarkısı ile birlikte… Yine 80’li yılların en...
Yorum Gönder
Devamı