Yazılar

Fidye için şifrelenmiş dosyaları çözmenin yeni yolu

fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yoluBir süredir çok sayıda abonesi olan firmaların ismiyle gönderilen phishing mailleri dolaşıyordu. Bunlara tıklayanların sistemindeki veriler şifrelenerek para ödemesi isteniyor. Şimdi ortada yeni bir çözüm var.

Saldırılar önce CryptoLocker türevleri ile başladı. Bu furyanın sonu CryptoLocker’ın şifreleme anahtarının keşfedilmesiyle geldi. Sonrasında ise TorLocker türevi zararlı yazılımlarla dosyalar şifrelenerek kullanıcılardan para toplandı. Halen farklı farklı firmaların ismiyle phishing mailleri gönderilerek kullanıcılar tuzağa düşürülüyor. Torlocker yani Ransom.Win32.Scraper halen çok sayıda varyantıyla birlikte yayılım gösteriyor.

Eğer bulaşan TorLocker zararlı yazılımı dosyaları başarıyla şifreledikten sonra bir güvenlik/antivirus yazılımı tarafından silinirse bir anda arka plan değişerek kırmızı bir uyarı mesajı geliyor. Burada bir .exe dosyasının linki var ve parayı ödeseniz bile bunu yüklemeden dosyaları deşifre edemeyeceğiniz söyleniyor. Aynı zamanda bu ekranda ödeme detaylarını da girebiliyorsunuz.fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yolu_2

Zararlı yazılım Office dosyaları, videolar, ses dosyaları, fotoğraflar, arşiv dosyaları, veritabanları, sertifikalar gibi çok tipte dosyayı şifreliyor. Kullanılan şifreleme ise AES-256 ve RSA-2048. Şifrenin çözülebilmesi için kullanıcılardan ortalama 600 TL isteniyor. Fakat şimdi yeni bir çözüm var ve bununla birlikte şifrelenen dosyaların %70’ine yakınını para ödemeden çözme imkanı mevcut.

Kullanılan algoritmada bulunan zayıflık sebebiyle keşfedilmiş olan çözüm, adına “ScraperDecryptor” denilen araçla TorLocker ve bazı türevleri tarafından şifrelenen dosyalarınızı çözmeye yardımcı oluyor. Yazılımı geliştiren firma zararlıyı geliştiren kişilerin ne hata yaptığını açıklamasa da bu hatayı istismar eden bir araç yayınlamayı ihmal etmedi.

TorLocker ile şifrelenmiş dosyaları çözme için kullanılabilecek ScraperDecryptor uygulamasını buradan indirebilirsiniz.

650 bin kullanıcılık fidye pazarlığı

Ünlü hacker grubu Rex Mundi, Domino’s Pizza’nın Fransa ve Belçikadaki müşterilerinin isimleri, adresleri, telefon numaraları ve şifrelerini ele geçirdi. Ele geçirilen 650 bin müşteri bilgisi için ise pazarlık yapılıyor.

650bin-kullanicilik-fidye-pazarligi

Bilgileri ele geçiren grup ise tüm bu bilgileri yayınlamama karşısında Domino’s Pizza’dan 30 bin euro gibi bir fidye talebinde bulundu. Domino’s Pizza ise bu parayı ödemeyeceğini belirterek yasal haklarını kullanma yolunu seçti.

Fakat olay esnasında ihmaller de dikkat çekti. Domino’s Pizza sistemlerinde tutulan şifre bilgilerinin salted veya hashed olarak saklanmadığı, okunabilir formatta korunduğu ortaya çıktı. Bunun anlamı ele geçirilen bilgilerin olduğu gibi rahatça kullanılması mümkün. Olaydan sonra Rex Mundi’nin Twitter hesabı kapatıldı.

Rex Mundi hacker grubu daha önce RSS servisi sunan Feedly’ye DDoS yaptıktan sonra belli bir ücret ödenirse DDoS yapmayı durduracaklarını açıklamıştı. Siber suçlular Türkiye’de de aynı yöntemle çok sayıda kurumu hackleyerek para talep ediyorlar. Bunlar kimi zaman verilerin kurum içerisinde şifrelenmesi ve sonrasında şifre için fidye istenmesi şeklinde yaşanırken kimi zaman da ele geçirilen bilgilerin yayınlanması şeklinde oluyor.

650bin-kullanicilik-fidye-pazarligi-2

Siber suçlular firmalardan fidye istiyor

siber_suclular_para_odemeyen_firmalarin_bilgilerini_yayinliyorHackerlar geçtiğimiz günlerde AmeriCash Advance adındaki online kredi sağlayıcı kuruluşa dair müşteri bilgilerini, para ödemediği için yayınladı.

12 haziranda bir faks alan AmeriCash Advance firmasına söylenen sistemlerinin hack edildiğiydi. Mektupta 15.000 $ ödenmesi isteniyordu. Bu fakstan sonra FBI ile iletişim kuran firma, sistemlerine erişilmiş olabileceği gerekçesiyle yardım istedi. Yapılan araştırmada AmeriCash firmasından ele geçirilen bilgilerin müşteri isimleri, e-posta adresleri, sosyal güvenlik numaraları gibi kritik kişisel bilgiler olduğu ortaya çıktı. Bunlar kritik bilgiler olduğu gibi aynı zamanda hedefe yönelik bir phishing saldırısında rahatlıkla kullanılabilecek bilgiler.

Firma basına yaptığı açıklamada hiçbir zaman şantaja göz yummayacaklarını, suçluları bulmak için yasal kuruluşlar ile birlikte çalıştıklarını duyurdu.

Kendilerine RexMundi adını veren hacker grubu ise bu açıklamadan kısa süre sonra AmeriCash firmasına ait müşteri bilgilerini Twitter’dan yayınladı. RexMundi daha önce Belçika firması AGO-Interim ve Dexia Bank gibi kuruluşlara ait bilgileri de yayınlamıştı. Firmalar şantaj yapılan ücreti ödemedikçe grup yayınladığı verilerin boyutunu arttırırken, diğer yandan istediği fiyatı da arttırıyor. RexMundi hacker grubu aynı zamanda The Twilight film serisinin yıldızı Taylor Lautner’ın e-posta hesabını da hack etmişti.

Siber aktivist grup Anonymous, tüm dünya devletlerinin sırlarını ortaya dökmeye niyetli Wikileaks, sadece eğlence için hack eden LulzSec derken listeye şantaj ile para kopartmak için hack yapan gruplar da eklenecek gibi gözüküyor. Türkiye’de de kısa süre öncesine kadar sirketbilgileri.com adında bir internet sitesinde şantaj sonucu para ödemeyen firmaların bilgileri yayınlanıyordu.