Uzmana sorun: Jornt van der Wiel fidye yazılımı açıklıyor

Jornt van der Wiel GReAT’in (Global Research and Analysis Team – Global Araştırma ve Analiz Ekibi) bir üyesi ve bizim fidye yazılım, şifre çözümleme uzmanımız. Hollanda’da yaşıyor ve Kaspersky Lab’da

Jornt van der Wiel GReAT’in (Global Research and Analysis Team – Global Araştırma ve Analiz Ekibi) bir üyesi ve bizim fidye yazılım, şifre çözümleme uzmanımız. Hollanda’da yaşıyor ve Kaspersky Lab’da 2 seneden uzun bir süredir çalışıyor.

Okuyucularımıza Jornt’a fidye yazılım ve şifre çözümleme ile ilgili sorular sorma imkanı verdik, mükemmel geri dönüşler aldık. Aslında, bir blog yazısında hepsine cevap vermek yerine soruları iki gruba ayırdık. Bu gönderide, Jornt fidye yazılımla ilgili soruları cevaplıyor gelecek diğer gönderide ise şifre çözümlemeyi ele alacak.

Trojanlara ve klasik virüslere oranla fidye yazılımın gelecekte bizi daha çok tehdit edeceğini düşünüyor musunuz?

Tabiki evet. Yeni ailelerin güçlenmesini ve kullanıcılara saldırı girişimlerini keşfediyoruz. Tehlike her geçen gün daha da büyüyor. Bu denli büyümesinin nedeni para kazanmanın diğerlerine oranla daha kolay olması. Suçlu bir saldırı yapar, kurban ödemeyi yapar, ödeme yapıldığında kurban anahtarı alarak şifreli dosyalarını açar. Ek olarak başka hiçbir konuşmaya, yönlendirmeye gerek yoktur. Kötü amaçlı yazılımların tam tersi olarak işler. Örnek olarak bir kötü amaçlı yazılım saldırısında suçlular genellikle kurbanlarıyla iletişime geçmek zorundadır.

Fidye yazılımdan nasıl korunurum?

  • Her zaman son güncelleştirmelere sahip olun;
  • Şüpheli e-maillerdeki linklere tıklamayın ve ekleri indirmeyin;
  • Windows’ta dosya uzantılarını aktifleştirin (böylelikle dosya isminin sadece invoice.pdf yerine invoice.pdf.exe olduğunu görebilirsiniz);
  • Anti-virüs çözümünüzü güncel ve özelliklerini açık tutun;
  • Ve işlerin ters gitmesi olasılığına karşın dosyalarınızın yedeklerini bulundurun. Çevrimdışı ya da Cloud sistemi ile dosyalarınızın yedeklerini saklayın (böylelikle bilgisayarınızdaki dosyalarınız şifrelenmiş olsa bile şifrelenmemiş yedek dosyalarınıza erişebilirsiniz).

Birey olarak fidye yazılım için şirketlere oranla daha mı çaresizim?

Fidye yazılım herkesi hedef alır. Bazen belirli şirketler hedef olarak seçilir ancak çoğunlukla herkesi hedef alan devasa bir spamın dolandığını görüyoruz. Diğer taraftan, büyük şirketler şifre ödemeyi bir seçenek olarak görmezler çünkü dosyalarının yedekleri zaten onlarda bulunur. Küçük şirketler fidye ödemeye daha meyillidir çünkü yedek dosyaları saklamak fidye ödemekten daha pahalı olabilir.

Fidye yazılım ile şifrelenmiş dosyaları hangi durumlarda açabiliriz?

Şu durumlarda muhtemelen açabilirsiniz:

  • Kötü amaçlı yazılımın yazılımcıları uygulama hatası yaparlar ve şifreyi çözülebilir kılarlar. Petya fidye yazılımı ve CrpytXXX fidye yazılımlarının başına gelen buydu. Ne yazık ki, size yaptıkları hataların listesini veremem eğer bunu yaparsam, bu hataları bir daha yapmamak için özen gösterirler. Ama genel olarak, şifreleme işleminden kurtulmak kolay değildir. Şifreleme ve insanların yaptığı hatalar hakkında daha çok bilmek istiyorsanız Matasano kripto meydan okumalarını izlemenizi öneririm.
  • Kötü amaçlı yazılım yazılımcıları daha sonra üzgün hissedip, ana anahtarı veya anahtarları paylaşıyorlar aynı TeslaCrypt‘e olduğu gibi.
  • Kolluk kuvvetleri anahtarlı bir servera el koyup, paylaşıyorlar. Geçen sene, kullanılmış anahtarlar Hollandalı polisler tarafından kurtarıldı ve biz de CoinVault kurbanları için bir şifre çözme aracı yapabildik.

Bazen fidyeyi ödemek de işe yarar ancak ödemeyi yapmak dosyalarınızın açılacağı garantisini vermez. Ek olarak, eğer öderseniz, suçluyu desteklemiş olursunuz ve diğer insanların fidye yazılımdan zarar görmesine olanak sağlarsınız.

CryptXXX ile başa çıkabilmek için olan yönergelerde, şifreli dosyalar harici bu dosyaların şifelenmemiş olanlarına ihtiyacımız var. O halde neden yazılıma ihtiyaç duyasınız? Şifrelenmemiş dosyanız olsa, aracımıza ihtiyaç duymazdınız…

Bu gayet güzel bir soru. İleride daha açık olmamızı gerektiriyor. Fidye yazılım tüm dosyalarınızı aynı anahtarla şifreler. Yani, diyelim mi 1,000 şifrelenmiş dosyanız olsun ve bu dosyaların sadece birinin şifrelenmemiş halini bir yerde tutuyorsunuz. Örneğin, bu dosya e-mail ile birine gönderdiğiniz bir fotoğraf. Böylelikle diğer 999 dosyanızın şifresi çözülebilir. Ancak, orijinal dosyaya ihtiyacınız var.

Dosya şifrelemek fidye yazılım tek tekniği mi?

Hayır, bilgisayarınızı kitleyen fidye yazılımları da var. Ancak bu türlerin çözülmesi daha kolay ki bu yüzden bu günlerde o kadar popüler değil. Eğer diğer fidye yazılımlarla ilgili bilgi sahibi olmak ve nasıl savaşacağınızı öğrenmek istiyorsanız şu blog yazımıza bir göz atın.

Haberlerden okuduğum kadarıyla fidye yazılım bir kedi fare oyunu gibi. Siz bir çözüm buluyorsunuz, rakipleriniz bunu kırmaya çalışıyor. Bu gerçekten böyle mi?

Aslında değil. Çalışan süreçlerdeki hareketleri izleyen System Watcher (Sistem İzleyici) eklentimiz hemen hemen tüm yeni fidye yazılım saldırılarını belirler ve durdurur. Bilinmeyen bir fidye yazılım olsa bile. Pekala, System Watcher’ın belirleyemediği nadir örnekler var. Bu gibi durumlarda yeni bir davranış imzası oluşturuyoruz ve bu gibi saldırıların tekrar yaşanmasını engelliyoruz. Tekrar ediyorum, bu çok nadiren olan bir durum.

Suçlular ödemeyi takip etmesi zor olan bitcoinler ile istiyorlar. Suçluları takip edip onlara ulaşmak mümkün olabilir mi?

Aslında bitcoin alışverişini izlemek zor değil. Alışverişler blok zincirinde yapılıyor. Bu Bitcoin’in doğasında var, herhangi bir alışverişi izleyebilirsiniz. Bilmediğiniz şey alışverişin diğer ucunda kim olduğu. Kolluk kuvvetleri alışverişleri izleyip cüzdanı belirleyebilirler ancak bu cüzdanın kime ait olduğunu bulmaları gerekir.

Bitcoin mikserleri onları daha çok takip edilemez yapıyor. Mikseri bitcoinleri birçok kez bir kullanıcıdan diğerine geçiren bir yapı olarak düşünebilirsiniz. Örnek olarak, ben bir kurbanım ve bir cüzdana bitcoin ödemesi yapmam gerekiyor. Cüzdana ödemeyi yapıyorum ve benim ödediğim bitcoin miksere giriyor. Başka birinin bitcoini ile yer değiştiriyor. Sonunda hangi bitcoini takip edeceğimizi anlayamıyoruz tabi. Tahmin edeceğiniz üzere, bu sıklıkla oluyor.

Bu konu üzerinde bazı araştırmalar yapıldı (bir çoğunu Google ile bulabilirsiniz) ve araştırmalar gösteriyor ki takip etmek bazen mümkün. Kısaca: Bazen alışverişi takip etmek mümkün ancak kolay değil. Cüzdanı bulsanız bile, polisler bu cüzdanın kime olduğuna ait kimlik araştırması yapmak zorundalar.

CoinVault ve yaratıcılarını bulmak kaç sene sürdü?

CoinVault hikayesi Panda Güvenlik’ten Bart’ın ekstra CoinVault modelleri bulduğunu tweet atmasıyla başladı. Sonradan anlaşıldı ki o ikisi CoinVault değildiler ama bir ilişkileri olduğu açıkça belli oluyor. CoinVault’un evrimi ile ilgili bir blog yazısı yazmaya kadar verdik. Gönderinin %90’ını bitirdiğimizde onu Uluslararası Yüksek Teknoloji Suçları Ünitesi’ne (NHTCU) yolladık.

Gönderiyi bitirdiğimizde, bizi iki olası şüpheliye götürecek ipuçları bulduk. Doğal olarak, bu bilgiyi NHTCU ile paylaştık. Bu buluşla Bart’ın tweet’i arasında en fazla bir ay vardı ancak tabiki, bütün zamanımızı blog gönderisi yazmakla harcamadık, non-CoinVault’un çalışmasını sağladık. Gönderiyi yayınladıktan sonra, bu konu üzerinde çalışmak NHTCU’nun yaklaşık yarım senesini aldı ve suçlular nihayet geçen sene Eylül ayında tutuklandı.

Siber suçlular fidye yazılım ile ne kadar para kazanıyorlar?

Çok güzel bir soru ancak cevaplaması biraz zor. Ancak takip edebildiğimizde kesin olarak sonuç alabiliyoruz. Örneğin, belli bir cüzdana giden bitcoin miktarı. Ya da polisler emir ve kontrol sunucusunu ele geçirdiğinde içinde olan ödeme bilgileri. Size en azından fikir edindirebilmek için şöyle diyelim, bir suçlu 250,000 kişiye saldırmış olsun (eğer büyük şirketlerden bahsediyorsak bu muhtemelen yaklaşık bir sayı). Ve diyelim ki, şifrelemenin çözülmesi için 200 dolar istiyorlar (genelde gerçek fiyat yaklaşık 400 dolardır). Kurbanlardan sadece %1’i ödeme yapsa bile, suçlunun geliri 500.000 dolar olurdu.

Fidye yazılım bulaşmış bir bilgisayarın bağlı olduğu diğer networklere eğer aynı işletim sistemine sahipseler virüs bulaştırma riski var mı? Bir fidye yazılım farklı işletim sistemlerinde çalışabilir mi?

Sorunuzun ilk bölümü için: Eğer fidye yazılım solucan özelliğine sahipse, network aracılığı ile yayılabilir. Örnek olarak, Zcryptor ve SamSam bu özelliğe sahip olan iki fidye yazılım türü.

Sorunuzun ikinci bölümü için: Web sunucularını hedef alan bir fidye yazılım farklı işletim sistemlerinde çalışabilir. Örnek olarak, PHP dilinde yazılmış korunmasız bir içerik yönetim sistemi fidye yazılım tarafından hedef alınabilir. PHP yüklü bir web sunucusuna sahip ola bir Windows fidye yazılım tarafından saldırıya uğrayabilir. Ve saldırmak üzere bilgisayarın diğer parçalarını tarayabilir. Sıradaki bilgisayar Linux kurulu ancak PHP web sunucusuna sahip bir bilgisayar olabilir. Toplamak gerekirse cevap: Evet, multiplatform fidye yazılımlar var.

Gelecek haftalarda Jornt’un şifreleme üzerine sorulan sorulara verdiği cevapları sizinle paylaşacağız. Takipte kalın!

İpuçları