Marsjoke: Fidye yazılımı ve çözümü

Hemen hemen her gün yeni bir fidye yazılımı türüyor. Fidye yazılımlarını yapanlar kolluk kuvvetlerinin dahi bu konuda fazla dikkat etmesine rağmen hala bu şekilde kolay para kazanabileceğini düşünüyorlar. Aslına bakarsanız

Hemen hemen her gün yeni bir fidye yazılımı türüyor. Fidye yazılımlarını yapanlar kolluk kuvvetlerinin dahi bu konuda fazla dikkat etmesine rağmen hala bu şekilde kolay para kazanabileceğini düşünüyorlar.

Aslına bakarsanız şu an piyasada çok sayıda fidye yazılımı var. Bu sebeple fidye yazılımları kendilerini tekrar etmeye ve diğer yazılımlara benzemeye başladılar. Örnek olarak, son keşfedilen fidye yazılımı Trojan-cryptor Polyglot ki biz ona MarsJoke diyoruz, ünlü CTB-Locker‘ın tam anlamıyla ‘çakması’.

Polyglot’ta CTB-Locker’ın birçok izini görebilirsiniz. Arayüzü anlamsız şekilde eski trojana benziyor. Kurbanın ekran görüntüsünü aynı şekilde değiştiriyor. Tıpkı CTB-Locker’ın yaptığı gibi, kurbanın 5 dosyasının şifresini çözerek bu işi yapabildiğini gösteriyor.

Polyglot’un kurbanları yönlendirdiği bilgilendirme ekranları da CTB-Locker’ın aynısı. Yazılı metinler kopyala yapıştır yapılmış gibi duruyor. Hatta internet bağlantısı bulunmadığı zaman verdiği hata ekranı da aynı.

polyglot-comparison-screen

İki şifreleyici de aynı algoritmayı kullanıyor – tabi Polyglot’un algoritması biraz daha güçlü.

Polyglot genellikle spam mailler aracılığıyla dağıtılıyor – önemli bir dosya gibi gözüken bir mail olarak geliyor. Ama tabi, anladığınız üzere ortada önemli bir dosya yok – sadece çalıştırılabilir zararlı yazılım var. Polyglot bilgisayara yüklendiğinde kontrol ve yönetim paneline bağlıyor bulaştığı bilgisayar hakkında bilgi veriyor. Bizim denememizde 0.7 bitcoins istedi (Bu yaklaşık 320$ ediyor, bu da yaklaşık 971 TL ediyor).

CTB-Locker ile Polyglot arasındaki belki de tek görsel uyuşmazlık, CTB şifrelediği dosyaların uzantısını genellikle .ctbl ya da .ctb2 yaparken MarsJoke/Polyglot uzantılarını olduğu gibi bırakıyor.

Polyglot ve CTB-Locker arasındaki bu kadar benzerliğe rağmen, her ikisi de tamamen farklı fidye yazılımı çeşitleri. Neredeyse hiç ipucu bırakmıyorlar. Uzmanlarımız CTB-Locker’ın görünüşü taklit etmesinden dolayı, Polyglot’un yapımcılarının araştırmacıları ‘aynı kişilerin’ yaptığını düşündürmeye çalıştıklarını düşünüyor.

polyglot-comparison-screen2

Bildiğiniz gibi, CTB-Locker’ın şifrelediği dosyaları fidye ödeme harici bilinen bir çözüm yöntemi yok. Bu yüzden Polyglot ve CTB-Locker aynı şekilde değerlendirilemez. Polyglot’un yazılımcıları, anahtar oluşturucu (key generator) bölümünün yazılımında hata yapmışlar, bu hata da Kaspersky Lab araştırmacılarının çözüm oluşturmasına sebep oldu – şifrelenmiş dosyalarınızın hepsini çözebileceğiniz ücretsiz bir araç.

Polyglot/MarsJoke tarafından şifrelenmiş dosyalarınızı açmak için, ücretsiz RannohDecryptor aracınını (version 1.9.3.0 ya da daha yeni) noransom.kaspersky.com adresinden indirin, dosyalarınızı kurtarın.

Dürüst olmak gerekirse, Polyglot/MarsJoke konusunda biraz şanslıydık. Fidye yazılımı yaratıcıları sürekli olarak yazılımlarını geliştirir ve günceller. Örneğin; Biz CryptXXX‘i 3 defa çözdükten sonra, program yazılımcıları algoritmayı öyle değiştirdiler ki, oluşturduğumuz araçlar şifrelerini çözemedi. Belki Polyglot’un yaratıcıları da aynı şeyi yaparlar. Yani bu olay da şu anlama geliyor: bunları çözen ücretsiz araçlarımızın olması sizi güvende tutmaz, her an gelişebilirler.

Fidye yazılımlarına karşı güvende kalmanın en iyi yolu, bilgisayarınıza bulaşmadan önce engellemektir. Bunu da yapabilecek Kaspersky Internet Security gibi güvenilir bir anti virüs çözümüne ihtiyacınız var.

Ayrıca güvenliğinizi arttırmak için, sıkça verilerinizi yedekleyin ve şüpheli linklere, dosyalara, sitelere tıklamayın.

İpuçları