Ransomware Nedir? Nasıl Bulaşıyorlar?

RANSOMWARE (Fidye Yazılımı) NEDİR?

Türkçe adıyla fidye yazılımı olarak bilinen ransomware bulaştığı sistemdeki dosyaları şifreleyerek kurbandan belirli bir ücret karşılığında dosyaların çözümlenmesi için gereken şifreyi ileteceğini belirtir.

Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?

Bu gün para kaynağı olarak görülen şirketleri ana hedef olarak alan bu yazılım çok tehlikeli olmakla beraber çok sessiz bir şekilde çalışabilmektedir. Bulaştığı sistemdeki birçok dosyayı (pdf,doc,docx,png,jpg,jpeg,bmp…) şifreleyerek okunmaz hale getirir ve uzantısını değiştirir. Teknik olarak sistemdeki tüm dosyaları şifreleyebilme potansiyeline sahiptir. Bir arşiv dosyanız olsa bile, 2’lik (binary) tabanda çalıştığı için tüm dosyaları şifreleyebilir.

NASIL ŞİFRELİYOR, ŞİFRE NEYE GÖRE BELİRLENİYOR?

 

Güncel fidye yazılımlarında çok gelişmiş şifreleme algoritmaları (aes256) kullanarak şifrelemenin kaba kuvvet (brute force) ile elde edilmesinin önüne geçmektedir. Bu şifrelemenin gücünü vurgulamak gerekirse, süper bilgisayarlarla bile yüzlerce yıl sürebilecek bir çözüm süreci vardır. Şifreleme yapılırken dinamik parametreler ile şifreleme anahtarı belirlenmektedir, bu anahtar kimi zaman kurban bilgisayardaki belirli bilgilerin karmasından oluşmaktadır. Her zaman bu kadar basit olmayacağı için ransomware bulaşan bir sistem ya istenilen fidye ödenerek kurtarılmak istenebilir ya da gözden çıkarılır. Şifreleme algoritmaları çok gelişmiş matematiksel zorluklara dayandığı için mevcut işlem gücünün bu hesaplamaları tersine çevirmesi onlarca, yüzlerce yıla tekabül etmektedir.

NASIL BULAŞIYORLAR?

Genelde şirketleri hedef aldığı için çoğu zaman sistem açıklarını kullanarak sisteme sızan hacker sistemi inceledikten sonra potansiyel olarak gördüğü sisteme ransomware yazılımını kendi yazmış ise doğrudan değilse gerekli parametrik bilgileri girerek bulaştırır. Sistemdeki dosyaları gizli bir şekilde şifrelemeye başlayan yazılım arka planda fark edilmeden çalışmayı amaçlar. Genelde sunuculara bulaştırıldıklarından, tehlike fark edilemeden sistem hackerin eline geçmiş oluyor. Çoğu niteliksiz güvenlik çalışanı düzenli bakım yapmadığı, yedekleri zamanında almadığı için bu durum çok fazla zararlara yol açabiliyor. Sürekli kullanılan tekniklerden biri rastgele taramalar yapılarak rdp(uzak masaüstü bağlantısı) açık olan sistemlere wordlist (kelime listesi) ile kaba kuvvet (brute force) saldırısı yapılarak sisteme sızılır. Bu aşamada sisteme sızılmasında rol oynayan en büyük unsur zayıf parolalardır. Çalışanlar tarafından bulaştırıldıkları da görülmektedir.

Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?

FİDYE ÖDENİNCE ŞİFRE VERİLİYOR MU?

Hackerler tekinsiz kişiler olduklarından ne zaman ne yapacakları kestirilememektedir. Sisteminize sızıp dosyalarınızı şifreledikten sonra sizden fidye karşılığı dosyalarınızı normale döndüreceğini söylemektedir. Bu durumda başka çareniz olmadığı için istenilen fidyeyi ödediğinizde hacker şifreyi gönderebilir veya bir daha o kişiden haber alamayabilirsiniz. Çoğu olayda şifre gönderildiği görülse de asla kesin bir sonuç elde edilememektedir. Hepsinden önce hackerler güveninizi kazanmak adına birkaç dosyanızı ücretsiz olarak eski haline getirerek iletir. Bu aşamadan sonra kullanıcı parayı ödersem dosyalarım düzelecektir diye düşünecektir fakat her şey o kadar basit değil, çünkü fidyeyi ödediğinizde daha fazlasını isteyebileceği gibi şifreyi de iletmeyebilir. Sonuç olarak sistem güvene dayanmaktadır. Ne kadar öderseniz ödeyin asla şifrenin gönderileceğini garanti edemezsiniz.

NASIL ÖNLEM ALABİLİRİM?

Fidye yazılımları bulaştıkları sistemleri gizli bir şekilde ele geçirdiklerinden aktif olarak koruma sağlayan antivirüs yazılımları tercih edilmelidir. Sürekli olarak alınan yedekler veri kaybını minimuma indirir. Düzenli olarak yapılan yedekleme işlemlerinin yanı sıra sistem geri yükleme noktaları oluşturmak sisteme kendini enjekte eden yazılımın temizlenmesi için köklü bir yöntemdir. Her ne kadar sistem geri yükleme noktaları oluşturulsa da çok ransomware yazılımı, sistem geri yükleme noktalarını silmektedir. Proaktif olarak sistem koruması güncel antivirüs yazılımları ile gelişmekte olup şirketlerin korunması için vazgeçilemez hale gelmektedir. Genel olarak korunmak için şu yöntemler uygulanabilir:

  • Güncel bir antivirüs yazılımı
  • Düzenli yedekleme
  • Aktif Güvenlik Duvarı
  • Uzak Masaüstü Güvenliği için IP filtrelemesi
  • İllegal yazılım ve 3 parti yazılımların yüklenmemesi
  • Düzenli Sızma Testi Yaptırma
  • Güçlü Erişim Parolaları belirleme
  • Harici medya veya çalıştırılabilir ortam diski takmama
  • Güvenli olmayan sistelerin Popup(açılır pencere) engelleme
  • Kritik bilgilerin tutulduğu sistemleri internet erişimine kapama
  • Personellerin işe alımından önce sicillerinin kontrol edilmesi

About The Author

Reply