Ransomware nedir?

Ransomware: Fidye yazılımlar

Ransomware, sistemini ve verilerini ele geçirerek bu siber saldırıyı gerçekleştirenlere ödeme yapmadan tekrar verilerine erişim izni vermeyen kompleks yapıdaki "Malware" yazılımlara verilen isimdir. Şifreleme algoritmaları kullanılarak oluşturulan bu yazılımlar oldukça kompleks yapıda olup, bu karmaşık yapı aslında sistemi nasıl etkilediği ile ilgilidir. Yüzyılın tehtidi olarak tanımlanan ransomware sisteme genelde truva atı programları, adware veya spyware gibi programlar veya spam e-posta aracılığıyla enjekte edilir.

Ransomware = Siber Şantaj

En basit haliyle Ransomware

Ülkemizde fidye yazılımlar olarak adlandırılan bu kötü amaçlı yazılımların sisteme en sık bulaşma şekli spam e-posta veya yükleme istekleriyle oluyor. Ransomware sistemine bulaştıktan sonra cihazına tekrar erişim sağlayabilmen için senden fidye talep ediliyor ve bu fidyenin verilen süre içinde ödenmesi isteniyor. Fidyenin ödenmeme durumuna karşı saldırıya maruz kalan kişi, sisteme erişimin geri verilmemesiyle veya kişisel verilerin internete sızdırılmasıyla tehdit ediliyor. Ransoware sistemde nasıl ilerler, çeşitleri ve bu yazılımlardan korunma yöntemlerine geçmeden, fidye yazılımlar nasıl ortaya çıktı biraz ondan bahsedelim.

AIDS Truva olarak bilinen ilk ransomware ABD'de ortaya çıktı. Diğer fidye yazılımlarla benzer yayılma stratejisi gösteren bu program siber saldırıya maruz kalan kişinin sistemini şifreleyerek bildirim ekranında software lisansının kullanım süresinin sona erdiğini ve sisteme tekrar erişim için "PC Cyborg Corporation"a 189$ ödeme yapılması gerektiğini söylüyordu. 1989'da ortaya çıkan ve ilk fidye yazılımı olarak bilinen AIDS Truva'dan sonra bu tip yazımlar 2005 yılından itibaren başta Rusya olmak üzere tüm dünyada hızla yayılmaya başladı. Ve 2013 senesinde internet dünyası yüzyılın tehditi olarak bilinen CryptoLocker ismi verilen ransomware ile tanıştı. Para transferinin takip edilmesini imkansızlaştırmak için fidyenin Bitcoin veya PayPal ile ödenmesini talep eden CryptoLocker sayesinde hackerlar sadece ABD'de 27 Milyon $ topladılar. CryptoLocker'in bu başarısı modern fidye yazılımlarının kullanımının hızla artmasına sebep oldu.

Fidye yazılımlar

Ransomware farklı amaçlar için programlanabilir

Ransomware programlar sisteme genellikle e-posta veya kötü amaçlı web sayfaların ziyareti sırasında bulaşır. Sisteme eklenen fidye yazılımlar 2 türlü hareket eder.

1) Sisteme bulaşan ransomware cihazı kitledikten sonra ekranda fidye talebini belirten bir bildirim görüntülenir ve fidye ödenene kadar sisteme erişimin izin verilmeyeceği belirtilir. Normal şartlarda talep edilen fidye ödendiği takdirde sistem erişime açılır ve ransomware cihazdan hacker tarafından kaldırılır. Ancak gerçek şu ki bu güne kadar bu tip siber saldırılara maruz kalan çok az sayıda kişi sistemini veya verilerini kurtarabilmiştir.

2) Ransoware programların sistemde izledikleri ilkinden daha ürkütücü yöntem ise dosya ve sistemle birlikte dosya isimleri ve uygulamaların da (iCloud gibi) şifrelenerek erişime kapatılması. Fidye yazılım tarafından şifrelenen dosya isimlerinin orijinal adlarını tekrar bulmak neredeyse imkansız olduğundan dosyaların kurtarılması da hayal oluyor. Yine fidye ödense dahi dosyaların ve uygulamaların maalesef %100 kurtarılabileceğinin bir garantisi yok.

Şifreleme ve Ransomware arasındaki ilişki

İlerleyen teknoloji ransomware yazılımları daha da güçlendiriyor

Hızla gelişen teknoloji güçlü şifreleme yöntemi kullanılarak geliştirilen ransomware programların artmasına sebep oluyor. Yazılım geliştiriciler farklı şifreleme yöntemleri kullanarak daha kompleks kötü amaçlı yazılımlar oluşturabiliyor. Şunu kolaylıkla söyleyebiliriz ki fidye yazılımların şifrelediği dosyaları açmak veya kurtarmak teknik olarak imkansıza yakın. Ransomware yazılımlarda RSA, AES veya her iki şifreleme algoritması aynı anda kullanılabiliyor. Kullanıcı kendisine gönderilen dosyayı açıtığı anda virüs çalışmaya başlayarak kullanıcının sistemindeki tüm dosyaları yukarıda bahsettiğimiz şifreleme algoritmalarını kullanarak şifreliyor.

RSA, AES veya her iki yöntem kullanılarak şifrelenmiş ransoware yazılımlar sistemde birbirinden farklı hareket ederler. RSA şifreleme algoritmaları kullanılarak programlanan fidye yazılımlarda şifreleme ve şifre çözme anahtarı aynıdır. Bu da demek oluyor ki fidye ödendiği takdirde bir ihtimal sistemi ve dosyaları kurtarabilirsin. Ancak AES şifreleme algoritmaları kullanılan fidye yazılımlarda durum biraz daha farklı. Bu tip yazılımlarda şifre çözme anahtarı genelde RSA şifreleme algoritmasıyla kitlenir. Diğer bir deyişle şifre çözme anahtarı da aynı zamanda farklı bir AES algoritmasıyla şifrelenmiştir. Bu yöntemle ekstra bir güvenlik tabanı daha oluşturularak şifrelenen sisteme ve dosyalara erişim neredeyse imkansız hale getirilir.

Ransomware hangi dosyaları etkiliyor?

Aslında bu tamamen ransomware yazılımı oluşturan kişinin tercihine kalmış. Yazılım geliştiriciler fidye yazılımları programlarken hedef alınacak dosya türlerini belirlerler. Örneğin ransomware yalnızca ".docx", ".doc", ".txt.", or ."exe" ile biten dosyaları şifrelemek için programlanabilir. Bunun yanı sıra yine bir ransomware dosyaların kaydedildiği kategorileri bulmak için farklı yollar izleyebilir ( örn: \Windows\, \Program Files\, \Temp).

Bir diğer önemli konu ransomware yazılımın sadece kişisel dosyalara mı yoksa sistemdeki program ve uygulamalara mı saldırdırdığıyla ilgili. Eğer fidye yazılım yalnızca kişisel dosyalarını şifrelemişse günün sonunda tek kaybedeceğin dosyaların olacak. Ancak ransomware sistemdeki program ve uygulamaları şifrelemişse, maalesef bilgisayarın tek başına bu programlara erişim sağlayamayacak ve fidyenin ödenmemesi durumunda sistem tamamen çökecek olup, büyük bir ihtimalle yeni bir bilgisayara ihtiyacın olacak. Şunu bir kez daha belirtmek isteriz ki fidyenin ödenmesi dosya veya sistemin kurtarılacağının garantisini vermez.

En çok bilinen ransomware yazılımlar

Kısaca ransomware nedir, sisteme nasıl bulaşır ve sistemde nasıl hareket eder özetledikten sonra meraklıları için bu zararlı yazılımların dünya çapında isim yapmış olanlarını paylaşmanın iyi fikir olduğunu düşündük. Aşağıda ilk ortaya çıktığı tarihten günümüze kadar milyonlarca bilgisayarı etkileyen en yaygın fidye yazılımları teknik ve halk arasında bilinen isimleriyle bulabilirsin.

  • REVETON | Police Ransom | a.k.a. "FBI Virüs"
  • CRILOCK | CryptoLocker | a.k.a "Crypto Virüs "
  • CRYPTLOCK | TorrentLocker
  • CRYPWALL | CryptoWall | a.k.a. "CryptoWall Virüs "
  • KERANGER
  • CRYPTCOIN | CoinVault

Fidye yazılımlardan korunmanın yolları

Yazının her köşesinde okudunbiliyoruz ama bizler bir kez daha tekrar etmek isteriz ki genelde istenilen fidyenin ödenmiş olması sistemin veya dosyaların kurtarılacağı garantisini vermiyor. Araştırmalar gösteriyor ki birçok kez ödeme yapıldığı halde şifre gönderilmemiştir.

Yine ve bir kez daha çekinerek belirtiyoruz ama ransomware yazılımların sisteme bulaşması genelde aktif internet kullanıcılarının internette dikkatsiz davranmasından kaynaklanıyor. Bu tip yazılımlardan korunmak için işte size birkaç ipucu,

  • Düzenli olarak dosyalar yedeklenmeli,
  • Belirli periodlarda sistem virüs ve malware taraması yapılmalı,
  • Kaynağı belli olmayan dosya, e-posta ve eklentiler kesinlikle açılmamalıdır.

Sistemini ve internet güvenliğini önemseyen her kullanıcıya ZenMate ekibi olarak mutlaka güçlü web güvenlik duvarlarından faydalanmalarını tavsiye ediyoruz. "ZenMate Web Firewall " sayesinde ransomware saçan zararlı web sayfaları ve reklamlardan korunabilir, daha kapsamlı bir güvenlik ve çevrimçi gizlilik için "ZenMate İnternet Güvenliği Çözümleri" içinden cihazına en uygun VPN uygulamasını bulabilirsin. Her zaman her yerde internette güvende olmanız dileğiyle!

Sevdiklerinle paylaş