Fidye virüsü

Fidye yazılımı,^[1]^[2] şantaj yazılımı,^[3] fidye virüsü^[4]^[5] veya ransomware (İngilizce: ransom software) olarak adlandırılan fidye yazılımlarına verilen genel bir addır. Fidye virüsleri bulaştığı bilişim sistemleri üzerinde dosyaları erişimi engelleyerek kullanıcılardan fidye talep eden zararlı yazılımlardır. Fidye virüsü, kurbanın cihazı (bilgisayar, akıllı telefon, giyilebilir cihazlar vb.) üzerinde gizlice kendini yükleyen veya kurbanın verisini rehin tutan kriptoviroloji ile kriptoviral alıkoyma saldırısı başlatan ya da fidye ödenene kadar kurbanın verisini yayınlamakla tehdit eden bir kriptoviroloji saldırısı başlatan bir bilgisayar zararlı yazılımıdır. Basit bir fidye virüsü, bilgili bir kişinin geriye çevirmesi zor olan bir şekilde sistemi kilitler ve kilidi açmak için ödeme isteyen bir mesaj gösterir. Daha da gelişmiş zararlı yazılımlar, kurbanın dosyalarını şifreler, bunları erişilemez kılar ve bunların şifresini çözmek için bir fidyenin ödenmesini talep eder.^[6] Fidye virüsü, bilgisayarın Ana Dosya Tablosu (MFT)^[7]^[8] veya tüm sabit sürücüsünü^[9] de şifreleyebilir. Şifreleme anahtarı olmadan dosyaların şifrelerinin çözülmesine karşı olduğu için, fidye virüsü bilgisayar kullanıcılarının dosyalarına erişimini engelleyen bir erişim dışı bırakma saldırısıdır,^[10] Fidye virüsü saldırıları, geçerli bir dosya olarak kendisini gizleyen bir Truva atı kullanılarak yürütülmektedir.

Başlarda Rusya’da popüler olsa da, fidye virüsü dolandırıcılığı uluslararası düzeyde yaygınlaşmıştır.^[11]^[12]^[13] Haziran 2013'te, güvenlik yazılımı dağıtıcılarından McAfee, 2013 yılının ilk çeyreğinde, 2012 yılının ilk çeyreğindeki rakamın yarısından daha fazla olan, 250000’den fazla eşsiz fidye virüsü çeşidinin tespit edildiğini gösteren veriler yayınlamıştır.^[14] Otoriteler tarafından alt edilene kadar 3 milyon dolardan fazla toplayan CryptoLocker^[15] ve FBI tarafından Haziran 2015 itibarıyla 18 milyon dolardan fazla topladığı tahmin edilen CryptoWall^[16] gibi Truva atları sayesinde, şifreleme tabanlı fidye virüslerini içeren geniş çaplı saldırılar artmaya başlamıştır.

En bilinen fidye virüsü CryptoLocker olarak adlandırılan ve bulaştığı bilgisayarlardaki bir takım dosyaları şifreleyerek kaydeden; şifrenin geri açılması için ise ukash,^[17] bitcoin,^[18] para vb. emtialar talep eden virüstür.

Çalışma mekanizması

Dosya şifreleyen fidye yazılımları, Columbia Üniversitesi’nden Young ve Yung tarafından keşfedilmiş ve uygulanmıştır ve 1996’da IEEE Güvenlik&Gizlilik konferansında sunulmuştur. Buna “kriptoviral alıkoyma” denilmektedir ve aşağıdaki 3’lü protokol saldırgan ve kurban arasında yürütülmektedir.^[19]

[saldırgan→kurban] Saldırgan bir anahtar çifti oluşturur ve karşılık gelen açık anahtarı kötü amaçlı yazılımın içerisine yerleştirir. Kötü amaçlı yazılım bırakılır.
[kurban→saldırgan] Kriptoviral alıkoyma saldırısını gerçekleştirmek için, kötü amaçlı yazılım rastgele bir simetrik anahtar üretir ve kurbanın verilerini bu anahtar ile şifreler. Kötü amaçlı yazılımın içerisindeki açık anahtarı da simetrik anahtarı şifrelemek için kullanır. Bu işlem hibrid şifreleme olarak bilinmektedir ve kurbanın simetrik şifreli metni ile beraber küçük bir asimetrik şifreli metinle sonuçlanmaktadır. Simetrik anahtarı ve geri dönüşü engellemek için orijinal açık metni sıfırlamaktadır. Kullanıcıya, asimetrik şifreli metni ve fidyeyi nasıl ödeyeceğini belirten bir mesaj gösterir. Kurban, asimetrik şifreli metni ve e-parayı saldırgana gönderir.
[saldırgan→kurban] Saldırgan ödemeyi alır, saldırganın gizli anahtarı ile asimetrik şifreli metni çözer ve simetrik anahtarı kurbana gönderir. Kurban ihtiyaç duyduğu simetrik anahtar ile şifrelenmiş veriyi çözer ve böylece kriptoviroloji saldırısını tamamlanır.

Simetrik anahtar rastgele olarak üretilir ve diğer kurbanlara yardımcı olamaz. Hiçbir şekilde saldırganın gizli anahtarı kurbanlara gösterilmez ve kurban sadece küçük bir şifreli metni (asimetrik şifreli metin) saldırgana yollamak zorundadır.

Fidye virüsü saldırıları, indirilen bir dosya veya bir ağ servisindeki açıklık ile sisteme giren bir Truva atı aracılığıyla yürütülmektedir. Program daha sonra, sistemi bir şekilde kilitleyen veya sistemi kilitleyeceğini iddia eden ama gerçekte etmeyen bir payload çalıştırır. Payloadlar, kolluk kuruluşu gibi bir varlık tarafından, gerçekte olmadığı halde, sistemin illegal aktiviteler için kullanıldığını veya pornografi ve korsan medya gibi içerik içerdiğini iddia eden bir gerçek dışı uyarı gösterebilmektedir.^[20]^[21]^[22]

Bazı payloadlar, ödeme yapılana kadar genellikle Windows kabuğunu kendisine adayarak sistemi kilitleyen veya kısıtlayan^[23] veya düzeltilene kadar işletim sisteminin başlatılmasını engellemek için ana önyükleme kaydı ve/veya bölüm tablosunu değiştiren bir uygulamadan oluşmaktadır.^[24] En karmaşık payloadlar dosyaları, sadece kötü amaçlı yazılım yazarının ihtiyaç duyulan şifre çözme anahtarına sahip olacağı şekilde şifrelemektedir.^[19]^[25]^[26]

Ödeme görünürde her zaman nihai amaçtır ve kurban, dosyaları çözebilecek bir program sağlanarak veya payloadun yaptığı değişiklikleri geri döndürecek bir kilit açma kodu gönderilerek –ki bu durum bazen gerçekleşmeyebilir- fidye virüsünün kaldırılması için ödeme yapmaya ikna edilir. Fidye virüsünün saldırgan için çalışmasını sağlayan ana unsurlardan birisi, takip edilmesi zor uygun bir ödeme yöntemidir. Kablolu transfer, ücretli SMS,^[27] Paysafecard gibi önceden ödenmiş servisler,^[11]^[28]^[29] ve dijital para birimi olan Bitcoin,^[30]^[31]^[32] gibi pek çok ödeme şekli kullanılmıştır. Citrix tarafından yürütülen bir 2016 sayımı, büyük firmaların bitcoini acil eylem planı olarak tuttuğunu ortaya çıkartmıştır.^[33]

Geçmişi

Şifreleme fidye virüsleri

Joseph Popp tarafından 1989’da yazılan ve bilinen ilk kötü amaçlı yazılım alıkoyma saldırısı olan AIDS Truva atı, alıkoyan kişiye ödeme yapılmasını gerekli kılmayan bir tasarım hatası içermekteydi. Payloadu, sabit disk üzerindeki dosyaları gizlemekte ve sadece dosya isimlerini şifrelemektedir. Ayrıca, bir yazılımın belirli bir kısmını kullanmak için kullanıcının lisansının süresinin dolduğunu belirten bir mesaj göstermektedir. Şifre çözme anahtarının Truva atı kodundan elde edilebilmesine rağmen, bir kurtarma aracı alabilmesi için kullanıcıdan “PC Cyborg Corporation”a 189 dolar ödemesi istenmektedir. Truva atı da “PC Cyborg” olarak bilinmektedir. Popp’un eylemlerinden ötürü yargılanması için zihinsel olarak uygun olmadığı belirtilmiştir, ancak kötü amaçlı yazılımdan kazandığı geliri AIDS araştırmalara destek olarak vermeye söz vermiştir.^[34]

Fidye saldırıları için açık anahtar kriptolojisi kullanımı, 1996’da Adam L. Young ve Moti Yung tarafından ortaya çıkarılmıştır. Young ve Yung şifre çözme anahtarının Truva atı kodundan elde edilebileceği ölümcül tasarım hatası olan, AIDS Bilgi Truva atının sadece simetrik kriptografiye dayanması özelliğini eleştirmiştir ve RSA algoritmasını ve Küçük Şifreleme Algoritmasını kurbanın verisini hibrid olarak şifrelemek için kullanan deneysel bir demo kripto virüsünü Macintosh SE/30 üzerinde üretmişlerdir. Açık anahtar şifrelemesi kullanıldığı için, kripto virüs sadece “şifreleme” anahtarını içermektedir. Saldırgan karşılık gelen “gizli” anahtarı gizli tutmaktadır. Young ve Yung’un orijinal deneysel kripto virüsü, kurbanın asimetrik şifreli metni, şifreyi çözen ve kurbana bir fidye karşılığında içerdiği simetrik şifre çözme anahtarını gönderen saldırgana asimetrik şifreli metni göndermesini sağlamaktadır. Elektronik para kullanılmadan çok daha önce, Young ve Yung “virüsü yazan kişi, paranın yarısı kendisine verilene kadar fidye miktarının tamamını elinde tutabilir. E-para önceden kullanıcı tarafından şifrelenmiş olsa da, bir kripto virüs tarafından şifrelenirse kullanıcının hiçbir işine yaramayacaktır.”^[19] Bu tür saldırıları, hem açık hem de gizli saldırılardan oluşan kriptoviroloji olarak anılan alandaki saldırıların büyük bir sınıfı olan ve açık bir saldırı olan “kriptoviral alıkoyma” saldırısı olarak isimlendirmişlerdir.^[19]

Zor kullanan fidye virüsü örnekleri Mayıs 2005'te yaygın hale gelmiştir.^[35] 2006 yılının ortalarıyla beraber, Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip ve MayArchive gibi Truva atları, daha karmaşık RSA şifreleme şemalarını daha da artan anahtar uzunlukları ile beraber kullanmaya başlamıştır. Haziran 2006’da tespit edilen Gpcode.AG, 660-bit RSA açık anahtarı ile şifrelenmiştir.^[36] Haziran 2008’de, Gpcode.AK olarak bilinen bir versiyonu tespit edilmiştir. 1024-bit RSA anahtarı kullanarak, uyarlanmış dağıtık bir çaba olmaksızın şifrenin kırılmasının hesapsal olarak kullanılamaz olduğuna inanılmaktaydı.^[37]^[38]^[39]^[40]

Şifreleme fidye virüsleri, 2013 sonlarına doğru fidyeyi Bitcoin platformunu kullanarak toplayan CryptoLocker’ın yaygınlaşması ile tekrar yaygın hale gelmiştir. Aralık 2013'te,15 Ekim ve 18 Aralık tarihleri arasındaki Bitcoin işlem bilgilerine dayanarak ZDNet, CryptoLocker sahiplerinin kullanıcılardan 27 milyon dolar civarında bir gelir elde ettiğini tahmin etmektedir.^[41] CryptoLocker tekniği takip eden aylarda kopyalanmıştır: CryptoLocker 2.0 (CryptoLocker ile ilgisi olmasa da), CryptoDefense(Windows’un kendi şifreleme API’lerini kullandığı için, gizli anahtarı hedef sistem üzerinde taşıma gibi bir tasarım hatasına sahiptir)^[31]^[42]^[43]^[44] ve 2014 Ağustos’da keşfedilen ve Synology tarafından üretilen ağa bağlı depolama cihazlarını hedef alan özel bir Truva atı.^[45] Ocak 2015'te, fidye virüsü benzeri saldırıların sızma ve Linux tabanlı web sunucularını hedeflemek için tasarlanmış fidye virüsleri ile web sitelerine karşı yapıldığı raporlanmıştır.^[46]^[47]^[48]

Bazı fidye virüsleri, komuta ve kontrol sunucularına bağlanmak için Tor gizli servislerine bağlı olan vekil sunucuları kullanmaktadır. Bu sayede, suçluların tam lokasyonunun bulunabilmesini zorlaştırmaktadır.^[49]^[50] Ayrıca, dark web dağıtıcıları da bu teknolojiyi bir hizmet olarak sunmaya başlamıştır.^[50]^[51]^[52]

Symantec fidye virüsü saldırılarını en tehlikeli siber tehdit olarak sınıflandırmıştır.^[53]

Şifreleme kullanmayan fidye virüsleri

Ağustos 2010’da, Rus yetkilileri WinLock olarak bilinen fidye virüsü Truva atına bağlantısı olan dokuz kişiyi tutukladı. Önceli gpcode Truva atından aykırı olarak, WinLock şifreleme kullanmıyordu. Bunun yerine, WinLock pornografik resimler göstererek sisteme erişimi kısıtlıyordu ve kullanıcıların makinelerinin kilitlerini açabilmeleri için kullanılacak bir kodu vermek için kullanıcılardan bir SMS (yaklaşık 10 dolar civarında tutan) göndermelerini istiyordu. Bu dolandırıcılık faaliyeti, Rusya ve çevre ülkelerdeki pek çok kullanıcıyı etkilemiştir – raporlara göre grup 16 milyon dolardan fazla kazanmıştır.^[22]^[54]

2011’de, Windows Ürün Aktivasyonu’nı taklit eden ve “dolandırıcılık mağduru” olduğu için sistemdeki Windows yüklemesinin tekrar aktive edilmesi gerektiği konusunda kullanıcıları bilgilendiren bir fidye virüsü Truva atı ortaya çıkmıştır. Online aktivasyon seçeneği sunulmuştur, ancak kullanıcının 6 haneli kodu girmesi için 6 uluslararası numaradan birisini arramasını gerektirdiği için kullanılamazdır. Kötü amaçlı yazılım bu aramanın ücretsiz olduğunu iddia etse de, yüksek uluslararası telefon ücreti olan bir ülkedeki sahte operatör üzerinden yönlendirdiği ve aramayı beklemeye aldığı için, büyük miktarlarda uluslararası mesafe ücretine neden olmaktadır.^[20]

Şubat 2013'te, Stamp.EK istismar kitine dayanan bir fidye virüsü Truva atı ortaya çıkmıştır; kötü amaçlı yazılım ünlülerin “sahte çıplak fotoğraflarını” teklif etmiştir ve SourceForge ve GitHub gibi proje hosting hizmeti veren siteler aracılığıyla yayılmıştır.^[55] Temmuz 2013'te, kullanıcıyı pornografi içeren içerik indirmekle suçlayan bir web sayfası gösteren OS-X’e özgü bir fidye virüsü Truva atı ortaya çıkmıştır. Windows tabanlı benzerlerinin aksine, tüm bilgisayarı engellememektedir, ancak normal yollarla sayfayı kapatma girişimlerini engelleyecek şekilde, web tarayıcılarını istismar etmektedir.^[56]

Temmuz 2013'te, bilgisayarı tesadüfen yaşı küçük kızlarla cinsellikle ile ilgili yapmış olduğu konuşmaları içeren 21 yaşında Virginia’lı bir adam, çocuk pornografisi içeriğine sahip olmakla suçlayan bir FBI mesajını taklit eden bir fidye virüsü tarafından kandırıldıktan sonra polise teslim olmuştur. Soruşturma suç içeren dosyaları ortaya çıkarmıştır ve adam çocuk istismarı ve çocuk pornografisi içeriği bulundurma suçlarıyla suçlandırılmıştır.^[57]

Leakware (veya Doxware)

Fidye virüslerinin karşıtı bir saldırı da, kurbanının veriye erişimini engellemek yerine kurbanın bilgisayarından elde ettiği verileri yayınlamakla tehdit eden bir kriptoviroloji saldırısıdır.^[58] Bir leakware saldırısında, kötü amaçlı yazılım hassas verileri ya saldırgana gönderir ya da alternatif olarak kötü amaçlı yazılımın uzak örneklerine gönderir ve saldırgan fidye ödenene kadar kurbanın verilerini yayınlamakla tehdit eder. Saldırı 2003'te West Point’te sunulmuştur ve Malicious Cryptography kitabında şu şekilde özetlenmiştir: “The attack was presented at West Point in 2003and was summarized in the book Malicious Cryptography as follows, "Saldırı alıkoyma saldırılarından aşağıdaki şekilde farklılık göstermektedir. Alıkoyma saldırısında, kurbanın kendi değerli bilgilerine erişimi engellenmektedir ve geri almak için ödeme yapması gerekmektedir, ancak burada bahsedilen saldırıda, kurbanın veriye olan erişimi devam etmektedir ama ifşa edilmesi bilgisayar virüsünün tercihidir.".^[59] Saldırı oyun teorisinden kaynaklanmaktadır ve orijinal olarak “sıfır olmayan toplama oyunları ve kalımlı kötü amaçlı yazılım”. Saldırı, kötü amaçlı yazılımın kurban kullanıcı veya şirkete (saldırının başarılı olduğunun kanıtının yayınlanmasıyla kaynaklanan itibar kaybı gibi) zarar verebilecek bilgilere olan erişimi ele geçirdiği bazı durumlarda finansal kazanca yol açabilmektedir.

Mobil fidye virüsü

PC platformlarındaki fidye virüslerinin artan popülaritesi ile, mobil işletim sistemlerini hedef alan fidye virüsleri de çoğalmıştır. Genelde, mobil fidye virüsü payloadları, kolayca online senkronizasyon ile geri getirilebileceği için verileri şifreleme mantıklı olmadığı için, bloklayıcılardır.^[60] Mobil fidye virüsü, uygulamaların üçüncü parti kaynaklardan yüklenebilmesine izin verdiği için genellikle Android işletim sistemlerini hedeflemektedir.^[60]^[61] Payload genellikle şüpheli olmayan bir kullanıcı tarafından yüklenen bir APK dosyası olarak dağıtılmaktadır; diğer tüm uygulamaların üzerinde bir engelleyici mesaj göstermeye çalışabilir.^[61] Bir başka türü de, sisteme daha fazla erişim sağlayabilmek için kullanıcının “cihaz yöneticisi” izni vermesine neden olan bir tür clickjacking saldırısı kullanmaktadır.^[62]

iCloud hesaplarını istismar etmek ve cihaza erişimi engellemek için Find My iPhone uygulaması kullanımı gibi farklı taktikler iOS cihazlarında kullanılmaktadır.^[63] iOS 10.3’de, Apple, fidye virüsü web siteleri tarafından istisar edilen Safari tarayıcılardaki JavaScript pençelerinin işleyişindeki bir sorunu güncellemiştir.^[64]

Kayda değer örnekler

Reveton

2012’de, Reveton olarak bilinen büyük bir fidye virüsü Truva atı yayılmaya başladı. Citadel Truva atına (ki o da Zeus Truva atına dayanır) dayanarak, payloadu bir kolluk kuvveti ajansından bilgisayarın lisanssız yazılım veya çocuk pornosu gibi illegal aktiviteler için kullanıldığını iddia eden bir uyarı göstermektedir. Bu davranışından ötürü, genelde “Polis Truva atı” olarak anılmaktadır.^[65]^[66]^[67] Uyarı, sistemlerinin kilidini çözebilmek için, Ukash veya Paysafecard gibi anonim önceden ödenmiş nakit hizmetleri kullanarak bir ücret ödemeleri gerektiğini söylemektedir. Bilgisayarın bir kolluk kuvveti tarafından takip edildiği hissini oluşturmak için, ekran bilgisayarın IP adresini göstermektedir. Ayrıca bazı versiyonlar, kurbanın takip edildiği hissini vermek için kurbanın webcaminden bir kamera görüntüsü göstermektedir.^[11]^[68]

Reveton başlangıçta farklı Avrupa ülkelerinde 2012 başlarında yayılmaya başladı.^[11] Varyasyonları, kullanıcının bulunduğu ülkeye bağlı olarak o ülkedeki farklı kolluk kuvveti organizasyonlarının logolarıyla tasarlanmış taslaklar ile bölgeselleştirilmiştir; örneğin, Birleşmiş Krallık’ta kullanılan varyasyonlarda Metropolitan Polis Teşkilatına ait simgeler yer almaktadır. Kullanıcıyı özelliikle illegal olarak müzik indirmekle suçlayan bir başka versiyonunda PRS for Music logosu kullanılmıştır.^[69] Kötü amaçlı yazılım hakkındaki bir halk duyurusunda, Metropolitan polisi bir soruşturmanın parçası olarak hiçbir zaman bir bilgisayarı kilitlemeyeceklerini açıklamışlardır.^[11]^[21]

Mayıs 2012’de, Trend Micro tehdit araştırmacıları, Kuzey Amerika’daki kullanıcıların hedeflenebileceği anlamına gelen, Amerika Birleşik Devletleri ve Kanada için bazı taslaklar keşfetmişlerdir.^[70] Ağustos 2012 itibarıyla, bir MoneyPak kartı kullanarak FBI’ye 200 dolar ceza ödenmesi gerektiğini belirten yeni bir Reveton varyasyonu Amerika’da yayılmaya başlamıştır.^[12]^[13]^[68] Şubat 2013'te, bir Rus vatandaşı İspanyol otoriteler tarafından Reveton kullanan bir suç örgütüne olan bağlantısından dolayı tutuklanmıştır; diğer bir on kişi de kara para aklama suçundan tutuklanmıştır.^[71] Ağustos 2014'te, Avast Software payloadunun bir parçası olarak parola çalma kötü amaçlı yazılımı da dağıtan yeni Reveton varyasyonları bulduklarını raporlamıştır.^[72]

CryptoLocker

Şifreleme fidye virüsü, 2048-bit RSA anahtar çifti üreten ve bunu bir komut-ve-kontrol sunucusuna gönderen ve dosyaları belirli dosya uzantılarından oluşan bir beyaz liste kullanarak şifreleyen ve “CryptoLocker” olarak bilinen bir Truva atı ile Eylül 2013'te tekrar ortaya çıkmıştır. Kötü amaçlı yazılım, eğer ödeme 3 gün içerisinde yapılmazsa gizli anahtarı silmek ile tehdit etmektedir. Büyük uzunluktaki anahtar değerleri kullandığı için, analizciler ve Truva atından etkilenenler CryptoLocker’dan kurtulmanın aşırı derecede zor olduğunu düşünmektedir.^[30]^[73]^[74]^[75] Belirlenen süre geçtikten sonra da, gizli anahtar hala bir online araç kullanılarak, ilave bir 10 BTC ile elde edilebilmektedir.^[76]^[77]

CryptoLocker, 2 Haziran 2014'te US Adalet Bakanlığı tarafından resmen ilan edildiği üzere, Operation Tovar’ın bir parçası olarak Gameover ZeuS’un hacizi ile izole edilmiştir. Adalet Bakanlığı, Rus hacker Evgeniy Bogachev hakkında botnet üzerindeki dahili için iddianame düzenlenmiştir.^[78]^[79] Kötü amaçlı yazılım ortadan kaldırılmadan önce, en azından 3 milyon dolar kar getirdiği tahmin edilmektedir.^[15]

Genellikle windows XP kullanıcılarını hedef alıyor ve masaüstüne erişimi engelleyerek tam ekran bir not ile "polis tarafından pornografik içeriğe eriştiğiniz tespit edildi. Hızlı bir şekilde xxx TL ücreti xxx hesaba gönderin" minvalinde fidye talep etmekteydi.

Ancak ABD ve AB ülkelerinde aynı dönemde yaygın olarak kullanılan CryptoLocker benzeri virüsler Microsoft tarafından windows XP'ye olan desteğin durdurulduğuna^[80] dair açıklamanın ardından işletim sistemlerini yükselten bu ülkelerde başarısızlığa uğramaya başladı. Bunun üzerine hacker'lar, korsan yazılımların yaygın olduğu Romanya, Türkiye, Hindistan gibi ülkelere yöneldiler. Zira bu ülkelerde hala windows XP kullanımı hatırı sayılır derecede yaygındı.^{[kaynak belirtilmeli]}

CryptoLocker.F and TorrentLocker

Eylül 2014'te, CryptoWall ve CryptoLocker (CryptoLocker 2.0 da olduğu gibi orijinal CryptoLockerla ilgisi yok) isimleri altında, ilk olarak Avustralya’daki kullanıcıları hedef alan bir Truva atı dalgası meydana gelmiştir. Truva atları, Avustralya Postası’ndan gelmiş gibi gösterilen başarısız teslimat uyarısı görüntüsü altındaki sahte e-postalar aracılığıyla yayılmıştır; bir sayfadaki bütün linkleri inceleyerek kötü amaçlı yazılım analizi yapan e-posta tarayıcılarını atlatabilmek için, bu varyasyon kullanıcıların bir siteyi ziyaret etmesini sağlayarak ve payloadu indirmeden önce bir CAPTCHA kodu girilecek şekilde tasarlanmıştır. Böylece otomatize tarama araçları payloadu tarayamamaktadır. Symantec “CryptoLocker.F” olarak sınıflandırdığı bu yeni varyasyonların farklılıklarından dolayı orijinal CrupytoLocker ile bir ilgisinin olmadığına karar vermiştir.^[81]^[82] Truva atlarının kayda değer bir mağduru da Avustralya Yayın Şirketi’dir.^[83]^[84]^[85]

Bu dalgadaki başka bir Truva atı olan TorrentLocker başlangıçta CryptoDefense gibi bir tasarım hatası içermekteydi; tüm makineler için aynı bit selini kullanmıştır ki bu da şifrenin çözülmesini çok basitleştirmiştir. Ancak, bu tasarım hatası daha sonra düzeltilmiştir.^[42] Kasım 2014 sonları itibarıyla, sadece Avustralya’da 9000 ve devamında sadece Türkiye’de 11700 kullanıcıyı etkilediği tahmin edilmektedir.^[86]

CryptoWall

Windows işletim sistemini hedef alan bir başka büyük fidye virüsü olan CryptoWall, ilk olarak 2014'te görülmüştür. Bir CryptoWall türü, birkaç büyük web sitesini hedef alan ve 2014 Eylül sonlarında Zedo reklam ağında yapılan bir kötücül reklam kampanyası parçası olarak dağıtılmıştır; reklamlar payloadu indirmek için tarayıcı eklenti istismarlarını kullanan sahte web sitelerine yönlendirme yapmaktadır. Bir Barracuda Networks araştırmacısı, payloadun güvenlik yazılımları tarafından güvenilir olarak görülmesini sağlamak için bir dijital imza ile imzalandığını belirtmiştir.^[87] CryptoWall 3.0, JPG resmi olarak gizlenen çalıştırılabilir kodu indiren ve JavaScript ile yazılmış bir payloadu kullanmaktadır. Tespit edilmemek için, kötü amaçlı yazılım sunucularıyla haberleşmek için explorer.exe ve svchost.exe’nin farklı örneklerini oluşturmaktadır. Dosyaları şifrelerken, kötü amaçlı yazılım gölge kopya servisi bilgilerini de silmekte ve parolaları ve Bitcoin cüzdanlarını çalan bir casus yazılım yüklemektedir.^[88]

Haziran 2015'te FBI, yaklaşık 1000 kurbanın CryptoWall ile etkilendiği için büro ile irtibata geçtiğini ve en azından 18 milyon doların alındığını raporlamıştır.^[16]

En güncel versiyonu olan CryptoWall 4.0, antivirüsleri atlatacak şekilde kodunu geliştirmiştir ve sadece dosyalardaki verileri değil aynı zamanda dosya adlarını da şifrelemektedir.^[89]

Fusob

Fusob en büyük mobil fidye yazılımı türlerinden birisidir. Nisan 2015 ve Mart 2016 arasında, bildirilen mobil fidye virüslerinin yaklaşık yüzde 56’sı Fusob’dur.^[90]

Tipik bir mobil fidye virüsü gibi, insanları bir fidye ödemeye ikna etmek için korkutucu taktikler uygulamaktadır.^[91] Program suçlayıcı bir otorite gibi davranmakta ve kurbanın 100 ila 200 dolar arasında bir ceza ödemesi gerektiğini veya aksi takdirde hayali bir ceza ile karşılaşacağını belirtmektedir. Oldukça şaşırtıcı bir şekilde, Fusob ödeme için iTunes hediye kartlarının kullanılmasını önermektedir. Ayrıca, kullanıcının ekranında yer alan bir zaman sayacı da kullanıcıların kaygılanmasına yol açmaktadır.

Cihazları etkileyebilmek için, Fusob kendisini pornografik vidyo oynatıcısı gibi göstermektedir. Bu yüzden, zararsız olduğunu düşünen kurbanlar farkında olmadan Fusob’u indirmektedir.^[92]

Fusob yüklendiğinde, ilk olarak cihazda kullanılan dili kontrol etmektedir. Eğer Rusça veya diğer Doğu Avrupa ülkelerinde kullanılan bir dili kullanıyorsa, Fusob bir şey yapmamaktadır. Aksi takdirde, cihazı kilitlemeye ve fidye istemeye devam etmektedir. Kurbanların %40’ı Almanya’da, %14.5’i Birleşik Krallık’ta ve %11.4’ü Amerika Birleşmiş Devletlerin’de bulunmaktadır.

Fusob, başka bir büyük mobil fidye virüsü türü olan Small ile pek çok ortak özelliğe sahiptir. İkisi beraber 2015 ve 2016 arasındaki mobil fidye virüslerinin %93’ünü oluşturmaktadır.

Korunma yöntemleri

Diğer kötü amaçlı yazılım türlerinde olduğu gibi, güvenlik yazılımları, özellikle koruyucu yazılım için bilinmeyen yeni bir versiyon dağıltılmışsa, fidye virüsü payloadlarını tespit edemeyebilir. Özellikle şifreleme payloadlarında, sadece şifreleme işlemi başladığında veya bittiğinde tespit edebilmektedir.^[93] Eğer bir saldırı erken aşamada tespit edilirse, şifrelemenin yapılması biraz zaman almaktadır; bu süreç tamamlanmadan önce kötü amaçlı yazılımın kaldırılması halihazırda kaybedilen verileri kurtaramaksızın veriyi ilave zararı engelleyecektir.^[94]^[95]

Alternatif olarak, güvenlik yazılımlarının yeni kategorileri, özellikle aldatma teknolojileri, imza tabanlı bir yaklaşım kullanmaksızın fidye virüslerini tespit edebilmektedir. Aldatma teknolojisi gerçek BT varlıklarını sahte SMB paylaşımları ile çevrelemektedir. Bu sahta SMB paylaşımları fidye virüslerini aldatmakta, fidye virüslerinin bu paylaşım klasörlerini şifrelemesini sağlamakta ve sonrasında saldırıyı durduracak ve organizasyonu normal işleyişine geri döndürecek siber güvenlik takımlarına alarm ve haber vermektedir. 2016 yılında pek çok duyuru ile bu özelliği destekleyen pek çok dağıtıcı^[96] bulunmaktadır.^[97]

Güvenlik uzmanları, fidye virüsleri ile baş etmek için önleyici tedbirler önermişlerdir. Bilinen payloadları engellemek için yazılım veya diğer güvenlik politikalarının kullanımı saldırıların engellenmesinde yardımcı olacaktır, ancak tüm saldırılara karşı koruma sağlayamayacaktır. Etkilenen bilgisayar tarafından erişilemeyecek bir yerde (harici depolama aygıtları gibi) verilerin “çevrimdışı” kopyalarının bulunması fidye virüslerinin bu verilere erişimini engelleyecek ve verinin geri kurtarılmasını hızlandıracaktır.^[30]^[98]

Başarılı bir geri dönüş mümkün olmasa bile, fidye yazılımları tarafından kilitlenen dosyaların şifresini çözmeyi amaçlayan birçok araç bulunmaktadır.^[7]^[99] Eğer aynı şifreleme anahtarı tüm dosyalar için kullanılmışsa, şifre çözme araçları hem bozulmamış (kripto analiz jargonunda açık metin) kopyası hem de şifreli hali bulunan dosyaları kullanmaktadır; anahtarın bulunması, eğer mümkünse, birkaç gün sürebilmektedir.^[100]

Ayrıca bakınız

Daha fazla bilgi

A. Young, M. Yung (2004). Malicious Cryptography: Exposing Cryptovirology. Wiley. ISBN 0-7645-4975-8.
Russinovich, Mark (7 Ocak 2013). "Hunting Down and Killing Ransomware (Scareware)". Microsoft TechNet blog. 16 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mayıs 2017.
Simonite, Tom (4 Şubat 2015). "Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)". MIT Technology Review. 27 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mayıs 2017.
Brad, Duncan (2 Mart 2015). "Exploit Kits and CryptoWall 3.0". The Rackspace Blog! & NewsRoom. 23 Ağustos 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mayıs 2017.
"Ransomware on the Rise". The Federal Bureau of Investigation Ocak 2015.
Yang, T.; Yang, Y.; Qian, K.; Lo, D.C.T.; Qian, L.; Tao, L. "Automated Detection and Analysis for Android Ransomware". IEEE Internet of Things Journal, CONFERENCE, Ağustos 2015.
Richet, Jean-Loup. "Extortion on the Internet: the Rise of Crypto-Ransomware" (PDF). Harvard. 5 Mart 2017 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 7 Mayıs 2017.

Kaynakça

Dış bağlantılar

Cryptovirology Labs website 18 Eylül 2020 tarihinde Wayback Machine sitesinde arşivlendi.
Incidents of Ransomware on the Rise – Federal Bureau of Investigation
Geeknights 20160418: Ransomware 5 Mart 2017 tarihinde Wayback Machine sitesinde arşivlendi.
Fidye Virüslerinden Korunma Programları^{[ölü/kırık bağlantı]}

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[70]

[71]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[83]

[84]

[85]

[86]

[87]

[88]

[89]

[90]

[91]

[92]

[93]

[94]

[95]

[96]

[97]

[98]

[99]

[100]

Search