Fidye Yazılımları

Malesef günümüzde internet kötülüklerle ve yalanlarla dolu. Eminim siz de, mirasını size burakmak isteyen, maddi yardım isteyen yahut olmayan elementten bahseden birçok yazı görmüşsünüzdür. Kendini başkası olarak gösterme, ahlaksız içerik, şiddet görüntüleri veya illegal ürünlerin satışı benzeri pek çok tehdit içermektedir internet.

Son zamanlarda gittikçe yaygınlaşan tehditlerden biri de fidye yazılımlarıdır. Fidyeciler, eskiden çocuklarımızı kaçırıp yüklü paralar istemektelerdi. Günümüz fidyecileri ise bilgisayarımızdaki kıymetli verileri çalıyorlar; yani bilgisayarımızdaki önemli dosyaları şifreleyip, fidyeyi ödeyene kadar bu dosyalara erişmenizi engelliyorlar.

Bilgisayarlardaki dosyaları şifreleyen veya bilgisayarın kendisini şifreleyen ve şifreyi kaldırmak için para isteyen zararlı yazılımlara Fidye Yazılımları (Ransomware) deniliyor. Bu tür yazılımlar gün geçtikçe yaygınlaşıyor. Öyle ki 2016 yılının en büyük bilişim güvenliği tehditlerinin başında da fidye yazılımları geliyor.

Örneğin ülkemizde CrypteLocker virüsü; Turkcell, Türk Telekom Faturası gibi görünerek bir çok kullanıcıya ciddi zararlar verdi ve vermeye devam ediyor.

Dosya şifreleme fidye yazılımlarının çalışma mantığı genelde şu şekildedir: Gönderilen sahte bir maille kurbanın zararlı bir dosyayı yükleyip çalıştırması sağlanıyor. Bu mailler çoğunlukla “Türkcell faturanız”, “Türk telekom faturanız”, “Kargo Bilgileriniz” gibi yaygın içeriklerle merak ve endişe uyandırıp tıklamanızı sağlıyor. Böylece bilgisayarınızda zararlı yazılım devreye giriyor. Devreye giren bu yazılımın içinde çift anahtarlı şifreleme sisteminin anahlarlarından teki (public key) var. Yazılım gelişigüzel yeni bir şifre oluşturuyor ve oluşan bu parola ile sizin dosyalarınızı teker teker şifreliyor. Ardından bu parolayı yazılım içindeki tek parola (public key) ile şifreliyor. Daha sonra ise dosya parolasını ve dosyaların şifrelenmemiş hallerini teker teker siliyor. Bu sayede çift anahtarlı şifreleme sisteminin diğer anahtarı olmadan dosyaların çözülmesi mümkün olamıyor.

İnsanların fark etmeden tıkladığı bu zararlı yazılımlar yüzünden geçtiğimiz yıl birçok kişi ancak fidye ödeyerek bu tür saldırganlardan verilerini geri aldı. Bu sayede 21. yüzyıl fidyecileri iyi paralar kazandılar. Bu fidye kazancının artmasından dolayı benzeri tehditler gittikçe artıyor ve daha da yetenekli hale geliyor.

Tarihçe

İlk bilinen fidye yazılımı 1989 yılında yazılan ve 189$ fidye isteyen “PC Cyborg” isimli yazılımdır.

2005-2006 yıllarında Rusya’da dosya şifreleyen ve 300$ civarında fidye isteyen; DOC, XLS, JPG, ZIP, PDF tarzı dosyaları şifreleyen yazılımlar gittikçe yaygınlaştı. Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive benzeri isimlerle adlandırılan bu zararlılar çift anahtarlı şifreleme algoritmasını kullanmaya başladılar.

2007 yılında SMS atılmasını veya paralı telefon sistemlerinin aranmasını isteyen farklı bir fidye yazılımı görüldü.

2012 yılının başlarında bilgisayarı kilitleyen ve açılması için şifre isteyen bir versiyon oldukça aktif oldu. Bilgisayarlarda “İllegal aktivitelerinizden dolayı FBI bilgisayarınızı kilitlemiştir. Suç işlemektesiniz. Bu kilidin açılması için şu hesaba para ödenmesi gerekmektedir.” benzeri uyarılar görüldü.

Daha çok Rusya’da aktif olan dosya şifreleme yapan fidye yazılımları 2012 Mart ayından sonra diğer ülkelere de sıçradı.

2014 yılından itibaren bu yazılımlar daha da yetenekli hale gelerek gittikçe yaygınlaştı. Yeni versiyon zararlı uygulamalar Windows haricinde MacOS, Android, Web sunucular ve Linux sistemlere de bulaşmaya başladı. Şifreleme algoritması olarak AES, RSA 1024 ve GnuPG gibi daha güçlü şifreleme algoritmaları ve ödeme aracı olarak da Bitcoin, Amazon hediye kartı ve Apple iTunes hediye kartı kullanılmaya başlandı.

Korunma Yolları

Fidye yazılımı veya başka zararlı yazılımlardan korunmak için bilgisayarlarda mutlaka bir Antivirus yazılımı olmalıdır. Bu güvenlik yazılımları çoğu zararlı yazılımları engelleyebilmektedir. Ev kullanıcıları için ücretsiz olan bazı yazılımlar arasında Avira, Avast, FortiClient, Mcafee gibi ürünler de bulunmaktadır. Ücretli, daha profesyonel çözümler için ise bilgisayarcınız ile görüşebilirsiniz.

Ancak çoğu güvenlik yazılımı yeni bir fidye yazılımı çıktığı zaman -zararlı yazılım belirlenip güncellenene kadar ilk birkaç gün- bu zararlıyı tespit edememektedir. Daha profesyonel çözümler olarak ise şunlar kullanılabilir:

Beyaz Liste Yazılımları: Bu uygulamalar güvenilen (beyaz liste) belli yazılımlar haricinde hiç bir yazılımın çalışmasına izin vermezler. Böylece zararlı-zararsız her türlü yazılım engellenmiş olur. Bilgisayarda yüklü ve izin verilen yazılımlar sorunsuz bir şekilde çalışır ama yeni hiç bir şey çalışamaz. Yeni uygulama kurulumu biraz zordur ama bu çözüm (doküman makro virüsleri hariç) tüm zararlıları engeller.

Sandbox (ATP) Çözümleri: Yeni uygulamaları bilgisayarda çalıştırmadan önce ayrı bir sistemde farklı farklı yöntemlerle dener ve yapmaya çalıştığı şeylere göre zararlı olup olmadığını tespit etmeye çalışır. Mesela dosya şifreleme, şifreleri almaya çalışma, sürekli testler yapma gibi davranışlarda bulunan uygulamalar; bu zararlı davranışları ile tespit edilerek engellenir. Bu yöntem, çok farklı yöntemler ile iyi analizler içerdiği için büyük oranda zararlı yazılımlar tespit edilerek engellenir.

Kurumlar için Bütünleşik Çözümler: Fidye yazılımları sürekli yeni yöntemler denemektedir. Maille gelen, sunuculardaki güncelleme açıklarından bulaşan, USB bellek ile bulaşan birçok farklı türleri var. O nedenle kurumlar için EPosta Güvenliği Çözümü, Web Sunucu Güvenliği Çözümü, Kullanıcı Bilgisayarı Güvenliği Çözümü, Beyaz Liste Çözümü, Veri tabanı Güvenliği Çözümü, Ağ geçidinde AntiVirüs, Saldırı Engelleme Sistemi, Yedekleme Çözümü benzeri birçok güvenlik ürününün birlikte kullanılması gerekiyor.

Başınıza Gelirse

Bilgisayarına fidye yazılımı bulaşmış bir arkadaş bulaştıran korsana şüphelenip de “Parayı gönderdiğimizde dosyalarımı açacağınıza nasıl güveneyim?” diye sorunca, korsan; “Beyefendi biz sahtekâr değiliz(!), paramızı verirseniz anlaşmamızın şartına uyup dosyalarınızı açacağız” demiş.

Hâlbuki bu korsanlar aslında hem sahtekâr hem de hırsız. Bunların korsanlıkları onlar para kazandıkça artıyor. Bu yüzden mümkün olduğunca bunlara para vermeyip; dosyaları varsa yedekten dönmek, yoksa tekrardan hazırlamak gerekir. Bu sayede, bu tür zararlı yazılım üretenler para kazanamadıkça bu tehditlerle uğraşmayı bırakırlar.

Ancak verilerinizin kritikliği nedeniyle bir şekilde para vermek zorunda iseniz, size tavsiyemiz para vermeden önce bir tane örnek şifrelenmiş dosya göndererek dosyayı açıp açamadıklarını sormayı deneyin. Gelen dosya açılmışsa ise parayı gönderebilirsiniz. Parayı parça parça gönderip, dosyaları da parça parça almak bu durumda en sağlıklısıdır.

Son olarak!:

Hepimiz bilgisayar ve internete bağımlı bir dünyada yaşıyoruz. Ve birçoğumuz için bilgisayarındaki veriler çok kıymetli. Başımıza bir şey gelmemesi için birçok önlem almalıyız. Şifrelerimiz güvenli olmalı, internetten gelen şeylere şüpheyle yaklaşmalıyız, bilmediğimiz şeylerin peşine düşmemeliyiz, güvenlik yazılımları kullanmalıyız, sistemleri sürekli güncellemeliyiz vs. Ancak yapılması gereken en önemli şey bilgisayarlardaki yedeklerin düzenli bir şekilde alınmasıdır. Ne kadar önlem alınırsa alınsın bilgisayara zararlı yazılımlar bulaşabilir, bilgisayar çalınabilir veya arızalanabilir. Önemli verilerimizin başına bir şey geldiğinde neleri kaybedebileceğimizi bilip ona göre belli periyodlarla farklı bir ortama yedekler almalıyız. Hatta bazen bu yedeklerden geri dönülüyor mu diye de denemeliyiz.

Gerekli önlemleri aldıktan sonra virüslere ve korsanlara hiç bulaşmamak dileğiyle...

Mehmet Fatih ZEYVELİ