Yazılar

Verileri şifreleyip şantaj yapan TeslaCrypt 2.0 baş belası yeni özelliklerle geliyor

verileri-sifreleyip-santaj-yapan-teslacrypt-bas-belasi-yeni-ozelliklerle-geliyor Verileri şifreleyip şantaj yapan TeslaCrypt 2.0 baş belası yeni özelliklerle geliyorÜlkemizde de organize veya bireysel saldırılarda sıkça kullanılan Ransomware türü zararlı yazılımlardan TeslaCrypt ikinci versiyonuyla yenileniyor.

TeslaCrypt’ın yeni versiyonunda artık oyun dosyaları da şifreleniyor. Fakat asıl yenilik şifrelemede yapılan değişiklikler. Eskiye göre çok daha güçlü bir şifreleme bizi bekliyor. Bu versiyonda artık şifrelenen dosyaları açmak imkansız hale geliyor. TeslaCrypt artık kullanıcıya bildirimde bulunmak için bir arabirim yerine kopyaladığı HTML sayfasını kullanıyor.

Bulaşılan her PC için yeni bir anahtar üretiliyor. Yani eskisi gibi bir “master key” yardımıyla tüm şifrelenen verileri açmak mümkün değil. Elbette eski versiyonda bulunan ve güvenlik uzmanlarının verileri şifrelemesine yarayan açıklıkta giderilerek dosyalar kurtarılamayacak hale getirilmiş.

TeslaCrypt 2.0’ın diğer özelliklerine bakacak olursak;

  • Zararlı yazılım bulaştığı sistemden ödeme isterken her sistem için ayrı bir Bitcoin adresi oluşturuyor. Aynı şekilde her sistem için ayrı bir özel anahtar oluşturularak birbiriyle ilişkilendiriliyor
  • AES-256-CBC algoritmasıyla şifreleme gerçekleştiriliyor
  • 268 MB üzerindeki dosyalar şifrelenmiyor
  • C&C sunucuları Tor ağı üzerinde bulunuyor. Zararlı yazılım C&C sunucularıyla tor2web servisi aracılığı ile iletişim kuruyor
  • Şifrelenen dosyalar bilgisayar oyunları gibi çok sayıda şablona ve uzantıya göre seçiliyor
  • Diskteki Shadow kopyalar siliniyor
  • Kullanıcıya gösterilen pencerede yazılı RSA-2048 şifreleme algoritması aslında hiçbir yerde kullanılmıyor
  • TeslaCrypt 2.0’ın tamamı C++ ile yazılmış ve kripto fonksiyonları için ise OpenSSL kütüphanesi kullanılmış

Fidye için şifrelenmiş dosyaları çözmenin yeni yolu

fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yolu Fidye için şifrelenmiş dosyaları çözmenin yeni yoluBir süredir çok sayıda abonesi olan firmaların ismiyle gönderilen phishing mailleri dolaşıyordu. Bunlara tıklayanların sistemindeki veriler şifrelenerek para ödemesi isteniyor. Şimdi ortada yeni bir çözüm var.

Saldırılar önce CryptoLocker türevleri ile başladı. Bu furyanın sonu CryptoLocker’ın şifreleme anahtarının keşfedilmesiyle geldi. Sonrasında ise TorLocker türevi zararlı yazılımlarla dosyalar şifrelenerek kullanıcılardan para toplandı. Halen farklı farklı firmaların ismiyle phishing mailleri gönderilerek kullanıcılar tuzağa düşürülüyor. Torlocker yani Ransom.Win32.Scraper halen çok sayıda varyantıyla birlikte yayılım gösteriyor.

Eğer bulaşan TorLocker zararlı yazılımı dosyaları başarıyla şifreledikten sonra bir güvenlik/antivirus yazılımı tarafından silinirse bir anda arka plan değişerek kırmızı bir uyarı mesajı geliyor. Burada bir .exe dosyasının linki var ve parayı ödeseniz bile bunu yüklemeden dosyaları deşifre edemeyeceğiniz söyleniyor. Aynı zamanda bu ekranda ödeme detaylarını da girebiliyorsunuz.fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yolu_2 Fidye için şifrelenmiş dosyaları çözmenin yeni yolu

Zararlı yazılım Office dosyaları, videolar, ses dosyaları, fotoğraflar, arşiv dosyaları, veritabanları, sertifikalar gibi çok tipte dosyayı şifreliyor. Kullanılan şifreleme ise AES-256 ve RSA-2048. Şifrenin çözülebilmesi için kullanıcılardan ortalama 600 TL isteniyor. Fakat şimdi yeni bir çözüm var ve bununla birlikte şifrelenen dosyaların %70’ine yakınını para ödemeden çözme imkanı mevcut.

Kullanılan algoritmada bulunan zayıflık sebebiyle keşfedilmiş olan çözüm, adına “ScraperDecryptor” denilen araçla TorLocker ve bazı türevleri tarafından şifrelenen dosyalarınızı çözmeye yardımcı oluyor. Yazılımı geliştiren firma zararlıyı geliştiren kişilerin ne hata yaptığını açıklamasa da bu hatayı istismar eden bir araç yayınlamayı ihmal etmedi.

TorLocker ile şifrelenmiş dosyaları çözme için kullanılabilecek ScraperDecryptor uygulamasını buradan indirebilirsiniz.

650 bin kullanıcılık fidye pazarlığı

Ünlü hacker grubu Rex Mundi, Domino’s Pizza’nın Fransa ve Belçikadaki müşterilerinin isimleri, adresleri, telefon numaraları ve şifrelerini ele geçirdi. Ele geçirilen 650 bin müşteri bilgisi için ise pazarlık yapılıyor.

650bin-kullanicilik-fidye-pazarligi 650 bin kullanıcılık fidye pazarlığı

Bilgileri ele geçiren grup ise tüm bu bilgileri yayınlamama karşısında Domino’s Pizza’dan 30 bin euro gibi bir fidye talebinde bulundu. Domino’s Pizza ise bu parayı ödemeyeceğini belirterek yasal haklarını kullanma yolunu seçti.

Fakat olay esnasında ihmaller de dikkat çekti. Domino’s Pizza sistemlerinde tutulan şifre bilgilerinin salted veya hashed olarak saklanmadığı, okunabilir formatta korunduğu ortaya çıktı. Bunun anlamı ele geçirilen bilgilerin olduğu gibi rahatça kullanılması mümkün. Olaydan sonra Rex Mundi’nin Twitter hesabı kapatıldı.

Rex Mundi hacker grubu daha önce RSS servisi sunan Feedly’ye DDoS yaptıktan sonra belli bir ücret ödenirse DDoS yapmayı durduracaklarını açıklamıştı. Siber suçlular Türkiye’de de aynı yöntemle çok sayıda kurumu hackleyerek para talep ediyorlar. Bunlar kimi zaman verilerin kurum içerisinde şifrelenmesi ve sonrasında şifre için fidye istenmesi şeklinde yaşanırken kimi zaman da ele geçirilen bilgilerin yayınlanması şeklinde oluyor.

650bin-kullanicilik-fidye-pazarligi-2 650 bin kullanıcılık fidye pazarlığı

Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor

Son dönemdeki en ünlü ransomware zararlı yazılımı Cryptolocker popülerliğini devam ettiriyor. Temel özellik olarak daha önce de veri şifreleyip para talep eden zararlı yazılımlarla karşılaşmıştık. Fakat Cryptolocker konuyu bir üst seviyeye taşıyor. Önceki yazılımlar kolayca kırılabilir, kaldırılabilir durumdayken Cryptolocker’da işler o kadar basit değil.

Zararlı yazılım, bulaştığı sistemde ana hedef olarak döküman ve fotoğrafları şifreliyor. Sadece bulaştığı sistem değil aynı zamanda o sistemin bağlı olduğu ağ sürücüleri ve harici diskler de dahil olmak üzere bu işlemi uyguluyor. Kullandığı şifreleme metodu genel, özel anahtar yapısına sahip, oldukça güçlü ve günümüz imkanlarıyla kırılması olanaksıza yakın gözüküyor. Yine de bu durumu garanti altına almak için sizden 72 saat içerisinde verilerinize ulaşmak için parayı yatırmanızı bekliyor.

Cryptolocker’dan korunmak için e-posta ile gelen eklentilere dikkat etmek, webden indirilen dosyaları kontrol etmek gerekiyor. Yine de bu tam olarak bir koruma sağlamıyor çünkü USB, P2P ağlar, E-posta, Web vb. her türlü platformdan zararlı yazılımın bulaşma ihtimali var. Cryptolocker bulaştıktan sonra yapılacak ilk şey ise sistemi tamamen ağdan izole ederek tüm ağ bağlantılarını iptal etmek. Güncel bir antivirus programı zararlı yazılımı temizlemeye yarıyor fakat yine de işletim sistemini yeniden kurmakta fayda var. Diğer yandan yedekleme prosedürlerini sıkı tutup gözden geçirmek gerekiyor.

cryptolocker-malware-zararli-yazilim Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor
“Cryptolocker bulaşarak veri şifreleme işini hallettikten sonra geri sayıma başlıyor”

cryptolocker-malware-zararli-yazilim2 Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor
“Bazı Cryptolocker varyantları masaüstüne ait duvar kağıdını da değiştirerek kullanıcıyı uyarıyor. Antivirusun Cryptolocker’ı verileri şifreledikten sonra yakalaması durumunda verilere ulaşmak için zararlı yazılımın tekrar indirilerek kurulması gerektiğini belirtiyorlar”

Siber suçlular firmalardan fidye istiyor

siber_suclular_para_odemeyen_firmalarin_bilgilerini_yayinliyor Siber suçlular firmalardan fidye istiyorHackerlar geçtiğimiz günlerde AmeriCash Advance adındaki online kredi sağlayıcı kuruluşa dair müşteri bilgilerini, para ödemediği için yayınladı.

12 haziranda bir faks alan AmeriCash Advance firmasına söylenen sistemlerinin hack edildiğiydi. Mektupta 15.000 $ ödenmesi isteniyordu. Bu fakstan sonra FBI ile iletişim kuran firma, sistemlerine erişilmiş olabileceği gerekçesiyle yardım istedi. Yapılan araştırmada AmeriCash firmasından ele geçirilen bilgilerin müşteri isimleri, e-posta adresleri, sosyal güvenlik numaraları gibi kritik kişisel bilgiler olduğu ortaya çıktı. Bunlar kritik bilgiler olduğu gibi aynı zamanda hedefe yönelik bir phishing saldırısında rahatlıkla kullanılabilecek bilgiler.

Firma basına yaptığı açıklamada hiçbir zaman şantaja göz yummayacaklarını, suçluları bulmak için yasal kuruluşlar ile birlikte çalıştıklarını duyurdu.

Kendilerine RexMundi adını veren hacker grubu ise bu açıklamadan kısa süre sonra AmeriCash firmasına ait müşteri bilgilerini Twitter’dan yayınladı. RexMundi daha önce Belçika firması AGO-Interim ve Dexia Bank gibi kuruluşlara ait bilgileri de yayınlamıştı. Firmalar şantaj yapılan ücreti ödemedikçe grup yayınladığı verilerin boyutunu arttırırken, diğer yandan istediği fiyatı da arttırıyor. RexMundi hacker grubu aynı zamanda The Twilight film serisinin yıldızı Taylor Lautner’ın e-posta hesabını da hack etmişti.

Siber aktivist grup Anonymous, tüm dünya devletlerinin sırlarını ortaya dökmeye niyetli Wikileaks, sadece eğlence için hack eden LulzSec derken listeye şantaj ile para kopartmak için hack yapan gruplar da eklenecek gibi gözüküyor. Türkiye’de de kısa süre öncesine kadar sirketbilgileri.com adında bir internet sitesinde şantaj sonucu para ödemeyen firmaların bilgileri yayınlanıyordu.