Ransomware nedir?

Ransomware nedir?

Ransom kelimesinin Türkçe karşılığı fidyedir. Ransomware, bilgisayarlara bulaşan, bilgisayardaki dosyaları kullanılamaz hale getiren, dosyalara erişimi engelleyen, şifreleyen  zararlı yazılımlara verilen genel addır. Ransomware Türkçe’ye fidye virüsü olarak çevrilebilir. Ransomware yazılımların büyük çoğunluğu bilgisayardaki dosyaları şifreler. Bazıları ise sadece bilgisayarı kullanılmaz hale getirir. Son dönemde ortaya çıkan Ransomware yazılımların tamamına yakını bulaştığı sistemdeki tüm belgeleri şifrelemektedir.

Ransomware yazılımlar bilgisayara bulaştığında başta belgeler olmak üzere, resimler, filmler, veritabanları ve daha pek çok türdeki dosyayı şifrelerler. Ransomware  daha sonra sizden bu dosyalara erişebilmeniz için para, fidye talep eder.  

Ransomware yazılımlar siber suçlular tarafından sıkça kullanılmaktadır. Fidye genel olarak Bitcoin denilen dijital para birimi ile istenir. Fidyenin tutarı Ransomware geliştiricisi tarafından belirlenir.

Ransomware nasıl bulaşıyor?

Ransomware genelde bilgisayara e-mail yolu ile bulaşır.

Kullanıcı Turkcell  veya TTNET gibi bir kurumdan gelmiş gibi görünen e-postayı açar. E-mail içinde abartılı bir meblağda fatura tutarı görünmektedir. Fatura detayı için mailin ekinde gönderilen genelde .zip uzantılı dosyanın açılması istenir. Kullanıcı ekteki dosyayı açtığında Fidye Virüsü, Ransomware sisteme bulaşır ve arka planda dosyaları şifrelemeye başlar.

Ransomware, fidye virüsünün ikinci en çok görülen bulaşma şekli bilgisayardaki bir yazlımda bulunan güvenlik açığından faydalanmasıdır.

Bu senaryoda kullanıcı bir web sitesini ziyaret eder, örneğin film, dizi siteleri.  Kullanıcı bilgisayarında bulunan Flash Player, Adobe Acrobat gibi yazılımların güncel olmaması, güvenlik açığı barındırmasından faydalana fidye virüsü, kullanıcı ile etkileşime girmeden arka planda bilgisayara bulaşır. Bu senaryoda kullanıcın zararlı içerik bulunan siteye girmesi yeterlidir. Bir dosya indirmesine gerek yoktur.

Ransomware ile şifrelenen dosyaların açılması teknik olarak mümkün mü?

Bu sorunun cevabı bulaşan Ransomware yazılıma göre değişmektedir.  Bazı Ransomware, fidye virüslerinin şifrelediği dosyaları açmak dünya genelinde teknik olarak mümkün değildir.

Örneğin CrytoLocker bunlardan biridir. CryptoLocker virüsü ile şifrelenen dosyalar AES-256 ile şifrelenir. Bu bir şifreleme algoritmasıdır ve AES-256 ile şifrelenen dosyalar normal koşullarda KEY yani anahtar dosya olmadan açılamazlar. Bu durum dünya genelinde geçerlidir. ABD’de pek çok devlet kurumu, askeri kurum verilerini bu standart ile şifreler.

Fakat bazı Ransomware yazılımlar farklı şifreleme algoritmaları kullanır. TeslaCrypt bunlardan biridir. TeslaCrypt ile şifrelenen dosyaların pek çoğu geliştirilen bir teknik ile artık çözülebilmektedir.

Daha önce uzmanim.net'te yayınlanan bazı fidye virüsü çözümleri:

• .vvv uzantılı dosyaların şifresi nasıl çözülür?
• ccc uzantılı dosyaların şifresi nasıl çözülür?

TeslaCrypt gibi kendine has şifreleme yöntemi kullanan fidye virüsleri uzmanlarca analiz edilir ve zaman içinde şifreleme yöntemi deşifre edilebilir.

Ransomware’in şifrelediği dosyaları çözmek için gerekli anahtar nerede saklanıyor?

Bu sorunun cevabı yine Ransomware’in türüne bağlı olarak değişiyor. CryptoLocker türevi bir fidye virüsü dosyaları şifreledikten sonra, dosyaları çözmek için gerekli anahtarı uzak bir sunucuya gönderiyor. Bu sunucu siber suçlulara ait bir sunucu. Bu durumda bu anahtar ele geçirmek imkansız hale geliyor.

Daha önce Hollanda polisi yaptığı operasyonlar ile bu tür birkaç sunucuyu ele geçirip sunucuda saklanan anahtarları paylaşmıştır.

Bazı Ransomware virüsler gerekli anahtarları bulaştıkları sistemde saklıyor. Fakat bunu sistemden çıkarmak oldukça zor. Çünkü yine şifreleme algoritmasını çözmek ve buna uygun anahtar oluşturmak gerekiyor.

Ransomware tek bir virüs mü?

Ransomware genel bir addır. Şuanda yüzlerce Ransomware türü vardır. Bunlardan en çok bilinenleri CryptoLocker, Cryptowall, KeRanger, TeslaCrypt fidye virüsleridir.

CryptoLocker virüsü nasıl temizlenir? Şifrelenmiş dosyalar nasıl açılır?

Ayrıca bu virüslerde kendi içinde farklı sürümlere sahiptir. Örneğin bu yazı hazırlandığı sırada TeslaCrypt virüsünün 4. Sürümü yayılmaya devam ediyordu.

Ransomware tarafından istenen fidye nasıl ödeniyor?

Ransomware yazılımlar, ödemeleri daha önce de belirttiğim gibi Bitcoin denilen sanal para birimi olarak kabul ediyor. İnternet üzerinde kredi kartı ile Bitcoin alınabilecek pek çok site var.

Bazı Ransomware yazılımlar farklı servisler üzerinden de ödeme kabul ediyor. Siber suçlular ödemeleri Tor adı verilen bir tarayıcı üzerinden Deep Web yani derin internet üzerinden kabul ediyorlar. Deep Web takip edilmesi ve izleme yapılması mümkün olmayan bir alan. Bu sebepten tüm işlemler Tor tarayıcı ile Deep Web üzerinden ödeme alacak şekilde yapılıyor.

Ransomware’ın istediği fidyeyi ödemek çözüm mü?

Net bir şekilde söyleyebilirim: Fidyeyi ödediğinizde gerekli anahtarı alabileceksiniz diye bir şey söz konusu değil. Ödeme yapıldıktan sonra siber suçlulara ulaşmak mümkün olmayabilir. 

Daha kötüsü kötü kodlanmış bir Ransomware sizin dosyalarınızı çözmek için gerekli olan anahtarları sunucuya ulaştıramamış, sunucudaki hatalar yüzünden sizin anahtarınız kaydedilmemiş olabilir.

Özet olarak sizin için gerekli şifre çözme anahtarı siber suçluların elinde olmayabilir. Daha önceden bu tür pek çok durumla karşılaştım.

Ransomware’in şifrelediği dosyaları çözmek için gerekli anahtar kişiye özeldir. Yani fidye ödenerek alınan şifre çözme uygulaması sadece sizde çalışır.

Eğer dosyalarınız sizin için çok önemli değilse, teknik bir uzman tarafından sisteminiz incelenmediyse kesinlikle fidye ödemeyin.  Son kararı sisteminizi inceleyen uzmana bırakın.

Fidye ödemek daha fazla fidye virüsünün ortaya çıkması anlamına gelir. Fidye virüsleri artık kendi başına bir sektör olma yolunda ilerliyor.

Google’da arama yaptım. CrytoLocker’ı çözdüğünü söyleyen pek çok kişi var. Bu kişiler dosyaları nasıl çözüyor?

AES 256 ile şifrelenen dosyaları çözmek teknik olarak imkansızdır. Bu dünya genelinde böyle.

Bu dosyaları çözdüğünü iddia eden kişi sizden para talep edecektir. Pek çok kişi bu tür virüsleri çözdüğünü iddia eden kişiler tarafından dolandırılıyor.

Eğer bir kişi bu tür dosyaları çözebildiğini söylüyorsa ve çözebiliyorsa, üç kuruşa dosya çözmek yerine gidip NASA’da çalışabilir. Çok daha fazlasını kazanabilir.

Bu kişilerden bazıları virüsü yazan kişiler ile ortak hareke ediyor. Bu durumda hiç çekinmeden polise bu kişiler hakkında suç duyurusunda bulunabilirsiniz. 

Yine bir grup şark kurnazı, siber suçlular ile pazarlık yapıp, sizin için gerekli anahtarı satın alıp size iki katına satmaya çalışacaktır.

Son olarak, mutlaka virüs bulaşan sistemin bir uzman tarafından analiz edilip bir yol haritası çıkarmakta fayda var.

Ransomware yazılımlardan nasıl korunurum?

Ransomware yazılımlardan korunmak için yapılması gerekenleri daha önce şu yazıda paylaşmıştım:

Fidye virüslerinden nasıl korunurum?

Ransomware zararlı yazılımlar, fidye virüslerindan korunmak için özel programlar geliştiriliyor. Bunlar şuan deneme aşamasında. Yakın zamanda anti-ransomware yazılımlara bolca rastlayacağız. Şuanda piyasada anti- ransomware yazılımlar da mevcut. Bunlardan biri Malwarebytes anti-Ransomware. Şuan beta aşamasında.