Son dönemlerin en bilinen virüsleri olan Ransom Ware yani fidye yazılımları cihazları ele geçiriyor ve cihazı kullanıcıya geri teslim etmek için kullanıcıdan para istiyor. Son olarak Ukrayna ve Rusya'da boy gösteren Bad Rabbit adlı bir fidye virüsüne karşı geçtiğimiz günlerde BTK ile USOM uyarılarda bulundu. Fidye yazılımı şantaj yazılımı veya fidye virüsü olarak bahsedilen yazılımlar ransomware olarak adlandırılan fidye yazılımlarına verilen genel bir addır. Fidye virüsleri bulaştığı bilişim sistemleri üzerinde dosyaları erişimi engelleyerek kullanıcılardan fidye talep eden zararlı yazılımlardır. Fidye virüsü, hedef cihazın "Akıllı Telefonlar, Tablet Pc, Bilgisayar, giyilebilir cihazlar vb." üzerine gizlice kendini yükleyen veya kurbanın verisini şifreleyerek rehin tutan ve fidye ödenene kadar kurbanın verisini yayınlamakla tehdit eden bir sızma ve şifreleme saldırısı başlatan bir bilgisayar zararlı yazılımıdır. Basit bir fidye virüsü, bilgili bir kişinin geriye çevirmesi zor olan bir şekilde işletim sisteminiz içinde bulundurduğunuz dosyalarınızı bir rar ya da zip dosyası gibi ama daha karmaşık bir algoritma ile dosya isimleri ve uzantılarını da değiştirerek şifreler. Dosyaları tekrar açmak için ödeme isteyen bir mesaj gösterir. Bunların şifresini çözmek için bir fidyenin ödenmesini talep eder. Fidye virüsü, bilgisayar sabit diskinin Ana Dosya Tablosu "MFT" veya tüm sabit sürücüsünü de şifreleyebilir. Şifreleme anahtarı olmadan dosyaların şifrelerinin çözülmesine karşı olduğu için, fidye virüsü bilgisayar kullanıcılarının dosyalarına erişimini engelleyen bir erişim dışı bırakma saldırısıdır. Fidye virüsü saldırıları, geçerli bir dosya olarak kendisini gizleyen bir Truva atı kullanılarak yürütülmektedir. Ulusal Siber Olaylara Müdahale USOM ve Bilişim Teknolojileri Kurumu BTK tarafından hazırlanan rapora göre Bad Rabbit virüsü, kendini Windows bilgisayarlarda yaygın olan Adobe Flash Player programının güncellemesi gibi gösteriyor. Bir kez bilgisayar bulaştıktan sonra ağdaki diğer cihazlara da yayılabiliyor.
Sisteminize Nasıl Bulaşıyor ve Sızıyor?
- “Adobe Flash Player” güncellemesi gibi görünen bir uygulama indirilir ve çalıştırılır, çalıştırılan uygulama yetkili kullanıcı hakları talep eder. Onay verildiğinde, 2. “C:Windows” dizini altında “infpub.dat”, “cscc.dat” ve “dispci.exe” dosyaları oluşturulur. Bu dosyalar aracılığı ile hedef sistem üzerindeki tüm dosyalar şifrelenir, 3. Bellek üzerindeki kullanıcı adı ve parola bilgileri elde edilir, 4. SMB "Sunucu İleti Bloğu" servisi üzerinden yayılmak istenen zararlı yazılım, bellek üzerinden elde ettiği kullanıcı ve parola ikilisi kullanılarak diğer bilgisayarlara aktarılmaya çalışılır. Başarılı olunca süreç tekrarlanır, 5. Hedef sistem üzerinde boot başlangıç ayarları değiştirilip uyarı ekranı çıkacak ve “C:” dizininde “Readme.txt, Oku Beni.txt” isimli vb. gibi bir not içerisinde kullanıcıdan fidye istenir.
Bad Rabbit'den korunmak için ne yapabiliriz?
- Güvenli olmayan kaynaklardan “.exe” uzantılı dosyalar başta olmak üzere hiçbir dosya türünü indirmeyin ve çalıştırmayın. 2. Son kullanıcılarda “local admin” yerel yönetici yetkisine sahip kullanıcılar kullanmayın. 3. Basit parola ve kullanıcı isimlerinden uzak durun. 4. İşletim Sisteminizi daima güncel tutmalısınız. 5. Antivirüs yazılımınız daima açık ve gözetlemede olsun. Bazı virüsler bu uygulamaları geçiyor olsa da, sağlam orijinal bir antivirüs yazılımı her zaman önemli bir savunma duvarıdır. 6. Zorunlu kalmadıkça WMIC “Windows Management Instrumentation Command-line” Windows Yönetim Gereçleri Komut satırı kullanımından uzak durun. Bazı sistemler WMI’yı farklı amaçlarda kullanabilir, kapatılması sorunlara yol açabiliyor.
Virüssüz kalın, Hoşça kalın …..
