2. Cryptolocker Virüsüne Karşı Alınabilecek Tedbirler ve Bulaşması Durumunda Yapılabilecek İşlemler
a. Virüsün dosyaları şifrelemesi durumunda, yapılabilecek çok fazla seçenek bulunmadığından önemli olan husus virüsün bulaşmasını engellemektir. Bu doğrultuda web siteleri veya e-posta üzerinden gelen aldatıcı dosya ve bağlantılara kesinlikle tıklanmamalı ve şu temel hususlar göz önünde bulundurulmalıdır;
(1) Zararlı e-posta eklentisindeki dosya genellikle “E-Fatura.pdf.exe” veya “E-Fatura.pdf.scr” örneklerinde olduğu gibi “.exe”,“.scr” gibi çalıştırılabilir (executable) bir uzantıya sahiptir. Oysa, dokümanlar genellikle MS Office (*.doc, *.xls, *.ppt vb.), Adobe PDF (*.pdf) ve metin dosyaları (*.txt) uzantıları ile bitmektedir. İndirilen eklentideki dosyanın uzantısına dikkat edildiğinde kolaylıkla durum fark edilebilir. (Ancak, Windows’ta dosya uzantıları normalde gizli durumdadır ve görünür hale getirilmesi gerekmektedir).
(2) Hiçbir kurum, e-faturayı “.zip” dosyası içinde ve “*.exe” uzantılı dosya olarak göndermez. O nedenle bu tarz e-postalara şüphe ile yaklaşılmalı ve genel bir prensip olarak, e-posta ile gelen hiçbir “*.exe” vb. uzantılı çalıştırılabilir dosyaya tıklanmamalıdır.
b. Virüsün, ödeme için yönlendirdiği adreslerle irtibata geçilmemeli ve para gönderilmemelidir. Parayı almalarına rağmen şifreyi göndermeyen birçok durum olduğu bilinmektedir.
c. Virüs tarafından şifrelenen dosyaları editör yazılımları ile açıp içeriğini değiştirmek vb. işlemler, dosyaların kalıcı olarak bozulmasına sebep olmakta olup, daha sonra bir şekilde şifresi elde edilse bile dosyayı orijinal haline getirmek yani açabilmek mümkün olamayacağından, kesinlikle yapılmamalıdır.
ç. Virüsün tüm dosyaları şifrelemesi zaman alacağından, bilgisayarda “*.sifreli” veya “*.encrypted” uzantılı dosyalar görülmesi gibi işaretlerden virüsün çalıştığı ve şifrelemeye başladığı farkedilirse, en akılcı yöntem acilen bilgisayarın kapatılması ve takılı USB vb. tüm belleklerin çıkarılmasıdır. Kapatma işlemini standart usulle yani Windows’ta “Bilgisayarı Kapat”a basarak yapmak yerine, direkt olarak bilgisayarın güç düğmesine birkaç saniye basılı tutarak yapmak tercih edilmelidir. Unutulmamalıdır ki, her geçen saniyede onlarca dosya şifrelenmektedir. Bilgisayar kapatıldıktan sonra, henüz şifrelenmemiş dosyalar başka bir ortama (USB bellek vb.) alınana kadar, bilgisayar tekrar normal şekilde açılmamalıdır. Dosyaların güvenli ortama taşınması için bilgisayar konusunda detaylı bilgi sahibi kişilerden teknik yardım alınmalıdır (Bu işlem için genellikle bilgisayarı, harici bir medyada (CD, USB bellek) yer alan işletim sistemi ile başlatmak ve sonrasında hard disk’te yer alan dosyaları harici bir belleğe kopyalamak yöntemi izlenir).
d. Virüsten kurtulma işlemi iki adımdan oluşmaktadır: Virüsün bulaştığı sistemin temizlenmesi ve virüsün şifrelediği dosyaların şifresiz hale geri getirilmesi.
e. Virüsün Temizlenmesi:
(1) Virüsün birçok çeşidi, şu anda çoğu güncel antivirüs yazılımı tarafından tespit edilip temizlenebilmektedir. Dolayısı ile öncelikle virüsün bulaştığı bilgisayar, virüs tespit edilip temizlenene kadar, farklı antivirüsler ile taratılmalıdır.
(2) Ancak, virüsün birçok türevi olduğu ve sürekli olarak şekil değiştirdiği göz önüne alındığında, tespit edilememe ihtimali de oldukça yüksektir. Dolayısı ile tam olarak temizlik için, bulaştığı bilgisayara format atılarak, tekrar işletim sistemi kurulması gerekmektedir.
f. Virüsün Şifrelediği Dosyaların Şifresiz Hale Geri Getirilmesi:
(1) Üst maddede açıklandığı gibi virüsü temizlemek, virüsün şifrelediği dosyaların şifresini çözmemekte, sadece virüsün daha fazla dosyanızı şifrelemesini engellemektedir.
(2) CryptoLocker virüsü, şifrelemede RSA-4096 / AES-256 benzeri çok güçlü şifreleme algoritmaları kullanmaktadır. Dünyada şifre kırma yöntemlerinde gelinen son durumda, belirtilen algoritmanın kaba kuvvet (brute force) yöntemiyle kırılabilmesi için katrilyonlarca yıldan çok daha fazla süre gerektiğinden, söz konusu algoritmalar kırılamaz kabul edilmektedir.
(3) CryptoLocker virüsünün birçok türevi olması, ayrıca saldırganların her bir bilgisayar için farklı anahtarlara sahip virüsler üretmesi nedeniyle, virüsün şifrelediği dosyaların çözülmesi için bir çözücü yazılım üretilmesi de mümkün olamamaktadır. Dolayısı ile şifrenin çözülmesi günümüz şartlarında şifre anahtarını bilmeden mümkün değildir (CryptoLocker virüsüne karşı çözüm geliştirdiğini ifade eden internetteki birçok hilekâra karşı dikkatli olunmalıdır).
(4) Halihazırda genel şifre çözme amaçlı geliştirilen yazılımlar, maalesef CryptoLocker için kullanılamamaktadır çünkü CryptoLocker’ın 20’den fazla bilinen türevi vardır ve sürekli değişiklik arz edebilmektedir.
(5) Denenmesi gereken ilk işlem, virüsün dosyaları şifrelemeyi müteakip orijinal halini hızlı silmiş olabileceği umularak, virüsün bulaştığı sürücülerde veri kurtarma (File recovery) yazılımları ile silinmiş olan orijinal dosyaları geri getirmeye çalışmaktır. Geri getirme ortamı olarak harici USB disk/bellekler tercih edilmelidir.
(6) Yapılabilecek diğer işlem ise, dosyaların virüs tarafından şifrelenmeden önce alınmış bir yedeği varsa, o yedeğin kullanılmasıdır. Bu kapsamda, genel tedbirler olarak;
(a) Kritik dosyalarınızın belirli aralıklarla yedeğini tek yazımlık CD/DVD’lere almanız tavsiye edilmektedir (Tek yazımlık DVD’lerde bulunan dosyaların, DVD’nin yapısından dolayı virüsler tarafından şifrelenmesi teknik olarak mümkün değildir).
(b) Bilgisayarlardaki işletim sistemlerinde, dosyaların değişmesi (silinmesi, içeriğinin değişmesi vb.) durumunda otomatik olarak bir önceki versiyonunun arşivlenmesini sağlayan imkânlar bulunmaktadır. Bu kapsamda; Windows XP Service Pack 2 ve üstü, Windows Vista ve Windows 7 işletim sisteminde “Shadow Copy”, Windows 8 işletim sisteminde ise “File History” işlevleri aktif hale getirilebilir. Bu işlevler açık olan bilgisayara CryptoLocker bulaşsa bile, şifrelenmeden önceki versiyonlara geri dönülmek suretiyle virüsün zararının telafi edilmesi sağlanabilir. Ancak; CryptoLocker’ın bazı gelişmiş versiyonlarında, oturumu açan kullanıcının yetkisi var ise, virüs, işletim sisteminin tuttuğu eski dosya versiyonlarını da silmektedir. Bu durumda bu işlevler maalesef işe yaramayacaktır. Bu nedenle, günlük kullanımda sınırlı (standart) yetkide kullanıcı ile oturum açılması ve sadece yönetici yetkisi gerektiren durumlarda (yeni yazılım kurmak vb.) yönetici (administrator) yetkisindeki kullanıcıların kullanılması, virüsün zararını en aza indirecektir.
(c) Bir dosyanın versiyonlarını görmek için, dosyayı seçip sağ tıkladığınızda aşağıda örneği görülen, “Önceki Sürümler” sekmesine bakılabilir. Bu sekmeyi boş görüyorsanız, bilgisayarınızda “Shadow Copy” işlevi pasif veya o dosyanın versiyonu oluşmamış demektir.
(ç) Virüsün şifrelediği klasörlerdeki dosyaları, dosyaların versiyonlarından tek tek geri almak uzun zaman alabilir. Bu nedenle, “Shadow Copy” ile tutulan dosya versiyonlarını tarih bazlı görebilmek ve toplu olarak geri yüklemek için, internetten “ShadowExplorer” isimli ücretsiz yazılım indirilmesi tavsiye edilir. ShadowExplorer yazılımının ana ekranı aşağıdaki gibi olup, virüsün bulaşma tarihinden önce bir geri yükleme noktası seçerek, dosyalara sağ tık ve “Export” ile güvenli bir ortama şifresiz hallerini almasını sağlayabilirsiniz. Eğer, seçtiğiniz sürücü (“C:” gibi) karşısında kayıt göremiyorsanız gölge kopyanız yok veya virüs tarafından silinmiş demektir. Bu durumda yapabileceğiniz bir işlem maalesef kalmamaktadır.
(d) “Export” ile aldığınız şifresiz dosyaları, bilgisayarın virüs temizliğini müteakip bilgisayarınıza geri kopyalamanız önerilir.
(e) “Shadow Copy”, “File History” ve “ShadowExplorer” hakkında detaylı bilgi ve yapılandırma açıklamaları için, 4.maddede yer alan “Faydalı Bağlantılar” bölümüne bakabilirsiniz.
g. Bilgi Sistem İşletmenlerince Alınabilecek Tedbirler:
(1) Güncel tutulan bir antivirüs yazılımı kullanmak virüsün tespitinde son derece önemlidir ancak şu hususlar bilinmelidir;
(a) Virüs kullanılarak alınan fidyelerden ciddi gelir elde edilebilmesi nedeniyle virüsün birçok çeşidi (hatta son dönemlerde mobil cihazlarda çalışan türleri de görülmeye başlanmıştır) ortaya çıkmış olup, halen 20’den fazla CryptoLocker türevi tespit edilmiştir. Bu çeşitlilik, virüse karşı etkin bir tedbir geliştirilmesini oldukça zorlaştırmaktadır.
(b) Antivirüs firmaları, ortaya çıkan türlere ilişkin virüs imza veri tabanlarını güncellese bile, virüsün kodunda ufak bir değişikliğin yapılması durumunda, antivirüs yazılımları virüsü tespit edememektedir.
(c) Antivirüs yazılımlarında ileri düzeyde bir tespit metodu olan Davranışsal (heuristic) Tespit Yöntemi, maalesef virüsün tespitinde kullanılamamaktadır. Çünkü virüsün yaptığı yeni dosya oluşturma ve silme işlemi, çoklu dosya taşıma esnasında da gerçekleştiğinden, bu işlemin antivirüs tarafından şüpheli kabul edilerek engellenmesi durumunda, normal dosya işlemlerinde de sorunlarla karşılaşılmaktadır.
(2) İşletim sistemi, kurulu program ve eklentilerin güncellemeleri aksatılmadan yapılmalıdır.
(3) Dosya sunucuları yedeklerinin daha sık alınması sağlanmalıdır.
(4) Dosya sunucularında, versiyonlamayı sağlayan “Shadow Copy” işlevi aktif olmalıdır.
(5) Kritik dosyaları barındıran dosya sunucusu olmayan sistemlerdeki bilgisayarlarda, verilerin belirli aralıklarla tek yazımlık CD/DVD’lere yedeklenmesi gerektiği unutulmamalıdır.
(6) %AppData% klasöründen bir yazılım çalışmasını engelleyecek politika üretilebilir. Bu grup politikası olarak da uygulanabilir. Bu konuda detaylı bilgi ve açıklamaları “Faydalı Bağlantılar” maddesindeki linklerde bulabilirsiniz.