Ransomware (Fidye Yazılımı) Nedir?
Türkçe adıyla fidye yazılımı olarak malum ransomware bulaştığı sistemdeki dosyaları şifreleyerek kurbandan belirli bir ücret karşılığında dosyaların çözümlenmesi için ihtiyaç duyulan şifreyi ileteceğini belirtir.
Bu gün para deposu olarak görülen şirketleri ana hedef olarak alan bu yazılım oldukça tehlikeli olmakla birlikte oldukça sessiz bir halde çalışabilmektedir. Bulaştığı sistemdeki birçok dosyayı (pdf,doc,docx,png,jpg,jpeg,bmp…) şifreleyerek okunmaz hale getirir ve uzantısını değiştirir. Teknik olarak sistemdeki tüm dosyaları şifreleyebilme potansiyeline haizdir. Bir arşiv dosyanız olsa bile, 2’lik (binary) tabanda çalmış olduğu için tüm dosyaları şifreleyebilir.
Nasıl şifreliyor, şifre neye göre belirleniyor?
Güncel fidye yazılımlarında oldukça gelişmiş şifreleme algoritmaları (aes256) kullanarak şifrelemenin kaba kuvvet (brute force) ile elde edilmesinin önüne geçmektedir. Bu şifrelemenin enerjisini vurgulamak gerekirse, süper bilgisayarlarla bile yüzlerce yıl sürebilecek bir çözüm süreci vardır. Şifreleme yapılırken dinamik parametreler ile şifreleme anahtarı belirlenmektedir, bu anahtar kimi vakit kurban bilgisayardaki belirli bilgilerin karmasından oluşmaktadır. Devamlı bu kadar kolay olmayacağı için ransomware bulaşan bir sistem ya istenilen fidye ödenerek kurtarılmak istenebilir ya da gözden çıkarılır. Şifreleme algoritmaları oldukça gelişmiş matematiksel zorluklara dayandığı için mevcut işlem gücünün bu hesaplamaları tersine çevirmesi onlarca, yüzlerce yıla karşılık etmektedir.
Nasıl bulaşıyolar?
Genel anlamda şirketleri hedef almış olduğu için bir çok vakit sistem açıklarını kullanarak sisteme sızan hacker sistemi inceledikten sonrasında potansiyel olarak görmüş olduğu sisteme ransomware yazılımını kendi yazmış ise direkt değilse lüzumlu parametrik detayları girerek bulaştırır. Sistemdeki dosyaları gizli saklı bir halde şifrelemeye süregelen yazılım arka planda fark edilmeden emek vermeyi amaçlar. Genel anlamda sunuculara bulaştırıldıklarından, çekince fark edilemeden sistem hackerin eline geçmiş oluyor. Bir çok niteliksiz güvenlik çalışanı tertipli bakım yapmadığı, yedekleri zamanında almadığı için bu durum oldukça fazla zararlara yol açabiliyor. Devamlı kullanılan tekniklerden biri rastgele taramalar yapılarak rdp(uzak masaüstü bağlantısı) açık olan sistemlere wordlist (kelime sıralaması) ile kaba kuvvet (brute force) saldırısı yapılarak sisteme sızılır. Bu aşamada sisteme sızılmasında rol oynayan en büyük unsur zayıf parolalardır. Çalışanlar tarafınca bulaştırıldıkları da görülmektedir.
Fidye ödenince şifre veriliyor mu?
Hackerler tekinsiz kişiler olduklarından ne vakit ne yapacakları kestirilememektedir. Sisteminize sızıp dosyalarınızı şifreledikten sonrasında sizden fidye karşılığı dosyalarınızı normale döndüreceğini anlatmaktadır. Bu durumda başka çareniz olmadığı için istenilen fidyeyi ödediğinizde hacker şifreyi gönderebilir yada tekrar o kişiden haber alamayabilirsiniz. Bir çok vakada gizyazı göndermiş olduğu görülse de asla kati bir netice elde edilememektedir. Hepsinden ilkin hackerler güveninizi kazanmak adına birkaç dosyanızı ücretsiz bir şekilde eski haline getirerek iletir. Bu aşamadan sonrasında kullanıcı parayı ödersem dosyalarım düzelecektir diye düşünecektir fakat her şey o denli kolay değil, bu sebeple fidyeyi ödediğinizde daha fazlasını isteyebileceği şeklinde şifreyi de iletmeyebilir. Netice olarak sistem güvene dayanmaktadır. Ne kadar öderseniz ödeyin asla şifrenin gönderileceğini güvence edemezsiniz.
Nasıl önlem alabilirim?
Fidye yazılımları bulaştıkları sistemleri gizli saklı bir halde ele geçirdiklerinden etken olarak koruma elde eden antivirüs yazılımları tercih edilmelidir. Devamlı olarak alınan yedekler veri kaybını minimuma indirir. Tertipli olarak meydana getirilen yedekleme işlemlerinin yanı sıra sistem geri yükleme noktaları oluşturmak sisteme kendini enjekte eden yazılımın temizlenmesi için köklü bir yöntemdir. Her ne kadar sistem geri yükleme noktaları oluşturulsa da oldukça ransomware yazılımı, sistem geri yükleme noktalarını silmektedir. Proaktif olarak sistem koruması güncel antivirüs yazılımları ile gelişmekte olup şirketlerin korunması için vazgeçilemez hale gelmektedir. Genel olarak korunmak için şu yöntemler uygulanabilir:
- Güncel bir antivirüs yazılımı
- Düzenli yedekleme
- Aktif Güvenlik Duvarı
- Uzak Masaüstü Güvenliği için IP filtrelemesi
- İllegal yazılım ve 3 parti yazılımların yüklenmemesi
- Düzenli Sızma Testi Yaptırma
- Kuvvetli Erişim Parolaları belirleme
- Harici medya yada çalıştırılabilir ortam diski takmama
- Güvenli olmayan sistelerin Popup(açılır pencere) engelleme
- Kritik bilgilerin tutulduğu sistemleri web erişimine kapama
- Personellerin işe alımından ilkin sicillerinin kontrol edilmesi
Güncel yazı ve projeleri instagram'da duyuruyorum. Takip et, iletişimde kalalım ✔️@tahamumcu
