Nisan 2016’da genç ve açgözlü CryptXXX isimli şifreliyici trojan piyasaya çıktı. Pek popüler olan Angler ve Neutrino exploit kitleri tarafından dağıtıldı. Yaratıcıları bu zararlı programı dağıttıktan sonra büyük ihtimalle arkalarına yaslanıp zengin olacaklarını düşündüler. Ancak işler bekledikleri gibi gitmedi.
CryptXXX trojanı keşfedildikten birkaç gün sonra, Kasperksy Lab uzmanları şifreleme algoritmasında bir hata keşfetti ve bu hatayı kullanarak çözüm üretti. Ücretsiz aracımız olan Rannoh decryptor, CryptXXX tarafından şifrelenmiş dosyaları çözmek için kullanıldı.
Suçlular rahatlarını bozup ellerindeki yazılımı daha da güçlendirmek için çalışmaya başladılar. Yeni versiyonu dağıtmaya başladılar ancak uzmanlarımızın elinde birkaç gün dayanabilen şifreleyici için ikinci bir çözüm geliştirildi. Rannoh decryptor güncellendi, dosyaları şifrelenen kullanıcılar fidye ödemeden dosyalarını kurtardılar.
Güncelleme: CryptXXX tekrar çözüldü https://t.co/BS00Vptz54 pic.twitter.com/0RXozIweY4
— Kaspersky Türkiye (@KasperskyTR) May 13, 2016
Son sürümü de engellememizden sonra, suçlular rahatlarını tekrar bozup üçüncü versiyonu geliştirdiler ve eminiz ki kimsenin çözüm bulamayacağını düşündüler.
Nerdeyse başarıyorlardı. Uzunca bir süre CryptXXX v.3 global ölçekte insanlar için tehdit oluşturmaya devam etti, kullanıcıların dosyalarını şifreleyip fidye istemeye devam etti. Ayrıca son versiyon farklı uygulamalardan kimlik çalma yetisine de sahipti.
Yeni versiyonun dağıtımı Mayıs ayında başladı ve uzmanlarımız birkaç yüz bin kullanıcının bundan etkilenmiş olabileceğini belirtiyor. Sadece Kaspersky Lab ürünleri bile 80,000’den fazla CryptXXX v.3 saldırısını engelledi. Yapılan her dört saldırıdan biri Amerika’daki kullanıcıları hedef aldı. Rusya, Almanya, Japonya, Hindistan ve Kanada toplamda saldırıların %28’ini aldı.
Fidye talep mesajları CryptXXX trojanının versiyonuna göre değişiyor ancak yukarıdaki örneklere benziyor.
Ancak hiçbir şey sonsuza kadar sürmez. Bugün sizlere araçtırmacılarımızın CryptXXX v.3’ün sebep olduğu .cryp1, .crpyt ve .cryptz uzantılı şifrelenmiş dosyaları açabildiğimizi duyurmaktan mutluluk duyarız! Şifreleri çözmenize yarayacak olan Rannoh Decryptor aracını internet sitemizde ve NoMoreRansom.org internet sitesinde bulabilirsiniz.
Eğer size CryptXXX bulaştıysa – yukarıda belirttiğimiz internet sitelerinden birini ziyaret edin, gerekli dosyayı indirin ve dosyalarınızı geri alın. Tüm araçlarımız ücretsizdir ve şifreleyici trojanların birçoğunu çözmeye yarar, böylelikle fidye ödemek zorunda kalmazsınız.
Kaspersky Lab araştırmacımız Anton Ivanov’un dediğine göre; “Cihazına fidye yazılımı bulaşan kullanıcılara yaptığımız genel öneri şu; eğer dosyalarınızı kurtarabilecek bir çözüm programı mevcut değilse, lütfen suçlulara fidye ödemeyin. Zarar görmüş dosyalarınızı saklayın ve sabırlı olun – büyük ihtimalle yakın bir gelecekte dosyalarınızı kurtarabilecek şifre çözüm anahtarı üreteceğiz. Bu olaya örnek olarak CryptXXX v.3’ü gösterebiliriz. Dünya çevresinden birçok güvenlik uzmanı devamlı olarak fidye yazılımı mağdurlarına yardım etmek için çalışıyor. Er ya da geç sizin yaşadığınız fidye yazılımı sorununa çözüm bulunacaktır.”
Diğer önerimiz ise yarını düşünerek bugün korunmaya başlamanız. Tedbirli olup dosyalarınızın şifrelenmesinin önünde geçmek çok daha iyi olacaktır. Her ihtimale karşı şu iki basit adımı uygulamanızı öneririz:
1. Dosyalarınızı düzenli olarak yedekleyin ve yedekleri harici bir diskte saklayın.
2. İyi bir anti virüs çözümü kullanın. Bu arada son bağımsız çalışmalar Kaspersky Internet Security’nin fidye yazılımlarına karşı son derece başarılı olduğunu gösterdi.