CryptoWall Nedir?

CryptoWall ve türevleri siber suçluların en sevdiği oyuncaklardır. Fidye yazılım olayları, 2018 Verizon Veri İhlali Soruşturma Raporu’na göre, tüm kötü amaçlı yazılım olaylarının yaklaşık % 40’ını oluşturuyor! Bazı raporlar, CryptoWall 3.0’ın ilk çıkışından bu yana 325 milyon doların üzerinde zarara yol açtığını söylüyor.

CryptoWall ilk kez 2014 yıllarında ortaya çıktı. Siber suçlular, yıllar içinde bu oluşumu daha da güçlendirmek için sistemlerini birçok kez güncelledi ve yenilediler.

CryptoWall virüsü ucuz ve kullanımı kolaydır. Çok hızlı yayılır ve virüse mağruz kalan kişiler, dosyalarını geri almayı umarak fidye ödemeyi kabul ediyorlar (Biz bunu asla önermiyoruz).  Verilerinizi CryptoWall virüsü ve tüm çeşitlerinden korumak için önlem almak gerekiyor.

CryptoWall Virüsü Nedir?

CryptoWall fidye yazılımıdır. Dosyalarınızı şifrelemekten çok daha fazlasını yapar ve siber korsanlar şifre çözücü anahtar için para ödemenizi ister. İşletim sistemi içinde gizlenir ve kendisini Başlangıç ​​klasörüne de ekler. Daha da kötüsü, CryptoWall dosyalarınızın gölge kopyalarını siler ve verileri geri yükleme yapmanızı zorlaştırır (bazı durumlarda imkansızdır). Bir önlem almak istiyorsanız kişisel verilerinizi, şifrelerinizi ve Bitcoin cüzdanlarınızı dosya içinden almaya çalışın.

CryptoWall 3.0 şimdiye kadar en çok zarara uğratan sürüm oldu. Dosyalarınızı kilitlemek ve fidye alabilmek için güçlü RSA-2048 şifrelemesi kullanılır.

CryptoWall v4 güncellemesinde, hem dosyaları hem de dosya adlarını şifrelemek için yeni bir özellik eklediler. Bunun sonucunda, bir yedeğiniz olup olmadığını kontrol etmek (ve geri yüklemek için) için dosya adına bakamayacağınız anlamına gelir.

CryptoWall v5.1 HiddenTear, kötü amaçlı yazılımlarının en son sürümüdür. Önceki sürümlerle uymayan farklı bir AES-256 şifrelemesi kullanır. Geliştiricilerin CryptoWall adını kullanmaları, orijinal kodların hiçbirini kullanmamaları da mümkündür.

Birkaç CryptoWall çeşidi vardır: örneğin; CryptoDefense, bu değişkenlerden biridir.

CryptoWall Nasıl Çalışır?

CyptoWall’un yayılması ve cihazlara bulaşabilmesi için birkaç farklı yöntem bulunuyor:

Kimlik Avı E-postası: CryptoWall genellikle bir kimlik avı e-postasıyla yönlendirilir. Kimlik avı e-postaları, kötü amaçlı yazılımları bilgisayara indirilmesini sağlayan bir bağlantıya tıklamaları için kullanıcıları kandırmaya çalışır.

Exploit Kitleri: Bir sonraki en yaygın saldırı vektörü, saldırıyı gerçekleştirmek için gereken kötü amaçlı yazılımları dağıtmak için güvenlik açıklarından yararlanan istismar kitinin bir parçasıdır. Bilinen güvenlik açıkları; işletim sisteminde, kullandığınız uygulamalarda veya WordPress gibi ziyaret ettiğiniz web sitelerinde olabilir.

Kötü Amaçlı Reklamlar: Siber suçlular, tarayıcınız aracılığıyla size kötü amaçlı yazılımı bulaştırabilmek için internet reklamları satın alır veya hackler. Bu reklamlar, siz henüz fark edemeden kötü amaçlı yazılımı indirmek için tarayıcınızda javascript çalıştırmaya başlar.

NOT: Kod enjeksiyonu, yaygın bir hack tekniğidir. Her zaman zarar verme amacında olmayabilir.

CryptoWall bilgisayarınıza bulaştığında, explorer.exe (yüklü Windows sürümüne göre) içine yeni bir kod enjekte eder ve explorer.exe’yi yeniden başlatır. Explorer.exe’nin bu zararlı sürümü kötü amaçlı yazılımı bilgisayara yükler ve birim gölge kopyaları siler. Windows hizmetlerini devre dışı bırakır ve yeni bir svchost.exe işlemini başlatır.

Bazen, explorer.exe içine kod enjekte edemez. CryptoWall, bu durumda kodu enjekte edebileceği yeni bir explorer.exe oluşturmak için svchost.exe aracını kullanır. Svchost.exe aynı zamanda ev ağ iletişimi, dosya şifrelemesi ve işlem tamamlandıktan sonra kötü amaçlı yazılımı kaldırmadan da sorumludur.

CryptoWall kendisini, kayıt defterine ve başlangıç klasörünüze yükler. Bu oluşum sonrasında, yeniden başlatma işlemi yapılsa dahi bu durumdan kurtulamazsınız. Güvenli Moda alırsanız dahi CryptoWall yazılımını kaldıramazsanız, tekrar giriş yaptığınızda bile crypto yeniden işleme başlar.

Fidye yazılımı saldırısına devam etmek için CryptoWall’un bir Komut ve Kontrol sunucusuyla (C&C) iletişim kurması gerekiyor. C&C, CryptoWall’a, dosyalarınızı şifrelemek için kullanacağı şifreleme anahtarını gönderir. CryptoWall daha sonra hem yerel olarak hem de bağlı ağlardaki tüm dosyalarınızı çalıştırır ve  belgeleriniz, sunumlarınız, kodunuz, müzik dosyalarınız ve resimleriniz gibi kişisel verilerinizi şifreler.

Şifreleme, dosyalarınızın içeriğini kilitler ve onları geri almanın tek yolu şifrelemeyi çözecek anahtardır.

CryptoWall Notu

Şifreleme tamamlandıktan sonra, ödemenin nasıl yapılacağına ilişkin talimatları içeren bir fidye notu alırsınız.  Genellikle yaklaşık olarak 1000 dolarlık Bitcoin istiyorlar. Fidye notu bırakıldıktan sonra, kötü amaçlı yazılım kendini siler.

Saldırganlar, iyi niyet göstermek için ücretsiz olarak bir veya iki dosyanın şifresini çözmeyi önerebilir: buna sakın düşmeyin. Dosyalarınızı geri alacağınızın asla garantisi yoktur. Fidyeyi ödeyen kullanıcıların yalnızca %19’u dosyalarını geri alır.

CryptoWall’a Karşı Nasıl Korunabilirsiniz?

Dosyalarınızı geri almanız pek mümkün değildir. Bu durumda, önlem almak çözüm üretmekten daha iyidir.

Potansiyel fidye yazılımı saldırılarını önlemek (veya kaldırmak) için ipuçları:

Bilgisayarınızın işletim sistemi yazılım yamalarını güncel tutun

Kötü amaçlı yazılım, bilgisayara sızabilmek için yazılımdaki mevcut güvenlik açıklarını kullanır. Bu güvenlik açıklarını tespit edemezseniz, siber suçluların girmesi için etkin bir açık kapı bırakmış olursunuz. İşletim sistemini ve tüm uygulamalarınızı en son sürümlere güncellenmiş olarak tutarsanız, kötü amaçlı yazılımlardan uzak durmanız için daha şanslı olursunuz.

Anti-virüs tarayıcı kullanın

Anti-virüs çözümleri, düzenli olarak güncellendiğinde, sizi çeşitli yazılım saldırılarına karşı koruyabilir. Anti-virüs programları bilinen kötü amaçlı yazılım programlarını karantinaya alıyorlar ve çalışmasını engelliyorlar.

Bir güvenlik duvarı kullanın

Yerel bir güvenlik duvarı, Komut ve Kontrol sunucusu gibi kötü amaçlı yazılımın kullandığı bazı bağlantılardan sizi koruyabilir. Özellikle CryptoWall Ransomware, saldırıya devam etmek için ana üs ile bağlantıya bağlıdır. Yerel bir güvenlik duvarı, kötü amaçlı yazılımın bu bağlantıyı kurmasını ve saldırıyı yapmasını engelleyebilir.

Bağlantıları tıklamayın

Bilmediğiniz bağlantıları tıklamayın veya şüpheli e-postalardan dosya indirmeyin. Kötü amaçlı bir bağlantıyı tıklarsanız veya kötü amaçlı bir dosyayı indirirseniz, siber suçluları ve kötü amaçlı yazılımlarını evinize davet ediyor olursunuz.

Güvenli tarama alışkanlıkları kazanın

Tarayıcınızın güncel olduğundan emin olun, güçlü şifreleme kullanın, reklamları ve JavaScript’i kapatın. Hangi reklamların yayınlanmasına izin verdiğiniz konusunda seçici olun ve bunların güvenilir kaynaklardan geldiğinden emin olun.

Dosyalarını yedekle

Daima dosyalarınızın bir yedeğini oluşturun. Çevrimiçi bulut depolama için değişen güvenlik seviyeleri ve uygun maliyette bir çok seçenek bulabilirsiniz. Önemli dosyalarınızı yedeklemek için bir sabit sürücü de temin edebilirsiniz. Ancak bu sürücünün her zaman bilgisayara bağlı olmamasına dikkat edin.

CryptoWall a karşı savunmasızsanız ve bilgisayarınıza bulaştıysa, bilgisayarınızı tekrar kullanmadan önce CryptoWall’u kaldırın:

Bilgisayarınızı Ağ Oluşturma ile Güvenli Mod’da başlatın

Güvenli ve temiz bir Sistem Geri Yükleme noktasına sahipseniz, aşağıdaki durumlarda geri yükleme yapabilirsiniz:

• Kötü amaçlı yazılım temizleme uygulamasını indirin ve bilgisayarınıza yükleyin.
• Kötü amaçlı yazılım temizleme uygulamasını çalıştırın ve tüm dosyalarınızı tarayın

Fidye yazılımı saldırılarına karşı korunmak için şirket çapında bir güvenlik stratejisi planlıyorsanız, yukarıdaki son kullanıcı için önerilerimize ek olarak göz önünde bulundurulması gereken birkaç şey daha var:

• Şirketiniz için ayrıcalık tanıdığınız bilgisayarınızı koruyun: Kullanıcılar sadece kendileri için gerekli olan dosyalara erişim sağlayabilsinler. Böylece CryptoWall tarafından ele geçirilirse, fidye yazılım yalnızca bu dosyaları şifreleyebilir. Bu ayrıcalık modelini uygulayarak, fidye yazılım saldırısının kapsamını da sınırlamış oluyorsunuz. Bunun yanında iyi bir yedekleme prosesi ile verileri basit bir kurtarma işlemi ile geri getirebilirsiniz.

• Dosyalarınızı fidye yazılımlardan korumak için güvenlik analizlerinden yararlanın: Bazı özel programlar özellikle fidye yazılımı saldırılarını yakalamak için tasarlanmış tehdit modelleri ile kurumsal veri depolarınızı, posta kutularınızı, proxy’lerinizi, DNS ve VPN’lerinizi izler.

Bir fidye yazılımı saldırısı şirket bazında bir çok kayba neden olabilir: verimlilik kaybı, sızıntı potansiyeli, veri kaybı veya çalınması, kurtarma için ödenecek maliyet kayıpları ve daha fazlası. Değerli verilerinizi nasıl koruyabileceğimizi görmek ve CryptoWall virüslerini önlemeye yardımcı olmak için Tekniknokta uzmanlarına danışabilirsiniz.