Fidye yazılımı, bir bilgisayarın veya ağın kontrolünü ele geçirmek ve fidye ödemeden önce verileri şifrelemek veya kullanılamaz hale getirmek amacıyla tasarlanmış kötü amaçlı yazılımlardır.
Fidye yazılımları genellikle e-posta yoluyla yayılır, yanlışlıkla tıklanan bir bağlantı veya açılan bir ek dosya aracılığıyla bilgisayara bulaşırlar. Ayrıca, zayıf parolalar veya güvenlik açıkları nedeniyle ağlara da sızabilirler.
Fidye yazılımı bulaşan bir bilgisayar, dosya şifreleme veya sistem kilitleme işlemi başlatır ve kullanıcının erişimini engeller. Ardından, kullanıcıdan fidye ödemesi karşılığında dosyaların veya sistemin açılması için şifre veya anahtar sağlaması istenir. Ancak, fidye ödemesi yapmak verilerin kurtarılması garantisi vermez ve genellikle bu tür eylemler teşvik edilmez. İşletmeler genellikle ransomware saldırılarının hedefi olabilir, çünkü saldırganlar işletmelerin genellikle daha büyük ödemeler yapabileceğini bilirler.
Fidye virüsü türleri nelerdir?
Crypto Ransomware: Bu tür, kullanıcıların dosyalarını ve verilerini şifreleyerek erişimlerini engeller. Şifrelenen verilere erişimi geri sağlamak için saldırganlar fidye talep eder.
Locker Ransomware: Locker ransomware, şifreleme yerine kullanıcının cihazını kilitleyerek erişimi kısıtlar. Genellikle, işletim sistemi veya belirli uygulamalar üzerindeki erişimi kısıtlarlar ve fidye talep ederler.
Scareware: Bu tür, sahte güvenlik yazılımı veya teknik destek hizmeti gibi korku ve tehdit taktikleri kullanarak kullanıcıları fidye ödemeye zorlar. Saldırganlar, kullanıcının cihazında virüs veya kötü amaçlı yazılım olduğunu iddia ederek, sorunu çözmek için ödeme talep eder.
Doxware/Leakware: Bu tür ransomware, verileri şifrelemekle kalmaz, aynı zamanda özel ve hassas bilgilerin internette yayınlanacağı tehdidinde bulunarak fidye talep eder. Bu, hedefin itibarına zarar verebilecek hassas bilgilerin ifşa edilme korkusuyla ödeme yapmaya daha yatkın olmasını sağlar.
Mobile Ransomware: Mobil ransomware, akıllı telefonlar ve tabletler gibi mobil cihazlara hedef alır. Bu tür ransomware, cihazı kilitleyebilir veya verileri şifreleyerek fidye talep edebilir.
RaaS (Ransomware as a Service): Bu tür, kötü amaçlı yazılımı oluşturan ve dağıtan saldırganların, fidyeden elde edilen gelirin bir yüzdesini alarak diğer siber suçlulara ransomware hizmeti sunmasını sağlar. Bu, daha fazla saldırganın ransomware saldırıları düzenlemesine yol açar.
Fidye virüsü ne yapar? Hangi amaçlarla kullanılır?
Fidye virüsü, diğer adıyla ransomware, kötü amaçlı bir yazılım türüdür ve gerçekleştirdiği bazı eylemler vardır. Bunlara değinecek olursak:
- Ransomware, e-posta eklentileri, sahte yazılım güncellemeleri, zayıf güvenlikli ağlar ve diğer yöntemlerle kullanıcının bilgisayarına veya ağına sızar.
- Ransomware, kullanıcının dosyalarını ve verilerini şifreler, böylece kullanıcı erişememe durumuna gelir. Bazı türlerde ise, kullanıcının cihazını kilitleyerek erişimi kısıtlar.
- Ransomware saldırganları, kullanıcının şifrelenen verilere veya kilitlenen cihaza erişimi geri sağlamak karşılığında fidye talep ederler. Fidyeler genellikle anonim kripto para birimleri (örneğin Bitcoin) ile ödenir.
Ransomware, genellikle aşağıdaki amaçlarla kullanılır:
- Ransomware saldırganlarının temel amacı, hedeflerden fidye talep ederek para kazanmaktır. Saldırılar, bireysel kullanıcılardan büyük kuruluşlara kadar geniş bir yelpazede hedef alabilir.
- Ransomware saldırıları, hedeflerde korku ve panik yaratarak, daha fazla insanın fidyeyi ödemeye istekli olmasını sağlar. Bu, saldırganların gelir elde etmelerini kolaylaştırır.
- Bazı ransomware türleri (örneğin, doxware), hassas ve özel bilgilerin internette yayınlanacağı tehdidinde bulunarak hedefin itibarını ve güvenini zedelemeyi amaçlar.
- Bazı durumlarda, ransomware saldırıları, bir hedefin güçlü bir düşmana karşı savunmasız olduğunu göstermek veya siyasi amaçlarla düzenlenir. Bu tür saldırılar, genellikle devlet destekli aktörler veya siber teröristler tarafından gerçekleştirilir.
Fidye yazılımı bulaştığı nasıl anlaşılır?
- Fidye yazılımı, belgeler, resimler, videolar ve diğer önemli dosyalar dahil olmak üzere bilgisayarınızdaki dosyaları şifreleyebilir. Şifrelenen dosyalar, genellikle kullanılamaz hale gelir ve dosya uzantıları değiştirilmiş olabilir (örneğin “.encrypted” veya “.locky”).
- Ransomware saldırısı sonrasında, bilgisayarınızdaki dosyalara, uygulamalara veya hatta işletim sistemine erişiminiz kısıtlanmış olabilir.
- Fidye yazılımı bulaştığında, genellikle ekranda bir fidye talebi mesajı görünür. Bu mesaj, verilerinizi geri almak için ne kadar fidye ödemeniz gerektiğini, ödeme yöntemini (genellikle kripto para birimi) ve bir ödeme süresi içerir.
- Ransomware, sisteminizin performansında anlamlı bir düşüşe neden olabilir. Bilgisayarınız yavaşlayabilir ve programlar beklenmedik şekilde kapanabilir.
- Bazı ransomware türleri, sisteminizin kontrolünü ele geçirerek arka planda İnternet trafiğini artırır. Bu, verilerinizi saldırganlara göndermek veya diğer kötü amaçlı yazılımları indirmek için kullanılabilir.
- Bazı ransomware türleri, güvenlik yazılımınızı devre dışı bırakarak daha fazla zarar vermenize ve kendilerini tespit edilmeden çalıştırmanıza olanak sağlar.
Eğer bu belirtilerden herhangi birini fark ederseniz, bilgisayarınızı ağdan ayırarak kötü amaçlı yazılımın yayılmasını önleyin ve güvendiğiniz bir güvenlik yazılımı veya kötü amaçlı yazılım temizleme aracı kullanarak cihazınızdaki fidye yazılımını temizlemeye çalışın. Ayrıca, veri yedekleriniz varsa, şifrelenmiş dosyalarınızı geri yükleyebilirsiniz.
Fidye yazılımı nasıl temizlenir?
Fidye yazılımı, bilgisayarınıza veya ağınıza bulaştığında, dosyalarınızı şifreleyerek erişiminizi engeller ve dosyalarınızın geri alınması için bir fidye talep eder. Fidye yazılımının varlığından şüpheleniyorsanız, öncelikle bir güvenlik yazılımı kullanarak bilgisayarınızı taramanızı öneririz. Güvenlik yazılımları, fidye yazılımlarını tespit edebilir ve bunları temizlemek için gerekli adımları önerebilir.
Ancak, fidye yazılımı saldırısı sonrası, dosyalarınızın şifreleri kırılamaz ve bu nedenle, dosyalarınızın kurtarılması için fidye ödemekten kaçınmak için, başka yollar aramanız gerekebilir.
Öncelikle, bilgisayarınızı ağdan ayırın ve internet bağlantısını kesin. Bu, fidye yazılımının daha fazla dosya şifrelemesini önleyebilir.
Bilgisayarınıza bir fidye yazılımı temizleme yazılımı yükleyin. Bu yazılım, fidye yazılımını tespit edip temizleyebilir.
Bilgisayarınızı bir sistem geri yükleme noktasına geri yükleyin. Eğer bilgisayarınızda bir sistem geri yükleme noktası varsa, bilgisayarınızı bir önceki işletim sistemine geri yükleyebilir ve fidye yazılımının etkisini ortadan kaldırabilirsiniz.
Verilerinizin yedeğini kullanarak, fidye yazılımı tarafından şifrelenmiş dosyalarınızı kurtarın. Eğer yedekleme yapmadıysanız, dosyalarınızı kurtarmak için bir veri kurtarma aracı kullanabilirsiniz.
Son olarak, fidye ödemek yerine, fidye yazılımından etkilenen diğer kullanıcılara yardım etmek için, fidye yazılımı örneklerini güvenlik firmalarına göndererek, fidye yazılımının analiz edilmesine yardımcı olabilirsiniz. Bu, fidye yazılımının gelecekteki saldırılarda tespit edilmesine ve önlenmesine yardımcı olabilir.
Türkiye’de bilinen fidye yazılımı vakaları
Locky: Locky fidye yazılımı, 2016 yılında Türkiye’de de birçok kuruluşa saldırdı. Locky, özellikle e-posta yoluyla bulaşarak hızlı bir şekilde yayılmıştır. Bu fidye yazılımı, kullanıcıların verilerini şifreleyerek fidye talep eder ve mağdurların verilerine erişimini kısıtlar. Genellikle makro içeren zararlı Microsoft Office belgeleri veya JavaScript dosyaları ile gönderilen e-posta eklentileri aracılığıyla yayılır. Mağdurlar, bu e-postaları açtıklarında ve eklentiyi çalıştırdıklarında, fidye yazılımı bilgisayarlarına indirilir ve yüklenir. Şifreleme işlemi sırasında, dosya uzantıları “.locky” veya “.zepto” gibi benzersiz uzantılara dönüştürülür. Mağdurlar, fidye talebine uyarak ödeme yaptıklarında, saldırganlar şifreli dosyaların kilidini açmak için gerekli olan şifre çözme anahtarını sağlar. Ancak, bu durum her zaman garanti edilmez ve saldırganlar ödeme alındıktan sonra bile dosyaları geri getirmeyebilir.
CryptoLocker: CryptoLocker, Türkiye’de de birçok kuruluşa saldırdı ve kullanıcıların dosyalarını şifreleyerek erişimlerini engelledi. CryptoLocker, genellikle e-posta yoluyla gönderilen zararlı eklentiler veya kötü amaçlı web siteleri aracılığıyla yayılır. Ayrıca, Gameover ZeuS adlı bir botnet tarafından da dağıtılmıştır. CryptoLocker, bilgisayarda bulunan belge, resim, video ve diğer önemli dosyaları şifreleyerek kullanıcıların bu dosyalara erişimini engeller. Şifreleme işlemi sırasında, dosya uzantıları değiştirilmez, ancak dosyalar RSA şifreleme algoritması kullanılarak şifrelenir. Kullanıcılar, zararlı e-posta eklentilerini açtıklarında veya kötü amaçlı bir web sitesini ziyaret ettiklerinde, fidye yazılımı bilgisayarlarına indirilir ve yüklenir. CryptoLocker, özellikle Windows işletim sistemleri üzerinde çalışan bilgisayarlarda etkili olmuştur.
https://www.iha.com.tr/haber-kufur-yuzunden-cikan-kavgada-bicakla-yaralandi-402745/
Ryuk: Ryuk, belirli hedeflere yönelik saldırılar gerçekleştirmekte ve bu sayede daha yüksek fidye taleplerinde bulunabilmektedir.Ryuk, AES ve RSA şifreleme algoritmalarını kullanarak hedeflenen dosyaları şifreler, bu da verilerin geri kazanılmasını oldukça zorlaştırır. Ryuk, TrickBot ve Emotet gibi diğer kötü amaçlı yazılımlarla birlikte çalışarak daha karmaşık ve etkili saldırılar gerçekleştirebilir.Ryuk, fidye ödemelerinin Bitcoin ile yapılmasını talep eder, bu da işlemlerin takip edilmesini zorlaştırarak suçluların izini kaybettirir.
https://www.savunmatr.com/ryuk-ransomware-buyuk-firmalari-hedef-aliyor
Bad Rabbit: Bad Rabbit, Rusya, Ukrayna, Almanya ve Türkiye gibi ülkelerde bilgisayar sistemlerini etkileyen bir fidye virüsü saldırısıydı. USOM’dan yapılan açıklamada, dünya genelinde kendisini Adobe Flash güncellemesi olarak göstererek sistemlere bulaşan BadRabbit adlı ransomware zararlı yazılımının sisteme indirilen zararlı bir dosya ile bulaşıp tüm dosyaları şifreleyerek açılması için ücret talep ettiği belirtildi.
Dünya’da bilinen fidye virüsü saldırıları
WannaCry: WannaCry, WannaCryptor veya Wcry olarak da bilinen, dünya çapında 150’den fazla ülkede 200.000’den fazla bilgisayarı etkileyen yaygın ve yıkıcı bir fidye virüsü saldırısıydı. Bu saldırı, özellikle İngiltere Ulusal Sağlık Hizmetleri (NHS) gibi büyük kurumları etkiledi ve dünya genelinde milyonlarca dolarlık zarara yol açtı. WannaCry, bir kripto-kırmızı solucan olarak sınıflandırılır, çünkü ransomware bileşeninin yanı sıra, hızla yayılan ve ağlardaki diğer bilgisayarlara bulaşan bir solucan bileşeni de içerir. WannaCry saldırısı, dünya genelinde çok sayıda kuruluşu etkiledi ve özellikle sağlık hizmetleri, telekomünikasyon, lojistik ve finans sektörlerinde önemli kesintilere neden oldu.
https://www.bbc.com/news/technology-39901382
NotPetya: NotPetya, Haziran 2017’de ortaya çıkan ve özellikle Ukrayna başta olmak üzere dünya çapında birçok ülke ve kuruluşu etkileyen zararlı bir ransomware saldırısıdır. İlk bakışta bir fidye yazılımı gibi görünse de, NotPetya’nın asıl amacı sistemleri bozmak ve verilere zarar vermek olduğu düşünülmektedir. Bu nedenle, NotPetya daha çok bir wiper (silecek) yazılım olarak değerlendirilir. NotPetya, adını daha önceki bir fidye yazılımı olan Petya’dan almıştır çünkü kodlarında ve işleyişinde benzerlikler bulunmaktadır. NotPetya, ağlardaki diğer bilgisayarlara bulaşarak hızla yayılır ve enfekte ettiği sistemlerin dosyalarını şifreler. Bu saldırı, özellikle SMB (Server Message Block) protokolü üzerinden çalışan ve EternalBlue ve EternalRomance adlı güvenlik açıklarından yararlanarak yayılır. NotPetya, şifrelenen dosyaların geri kazanılması konusunda yardımcı olacak bilgileri kasten silerek sistemlerde ciddi hasarlar yaratır. Bu nedenle, fidye ödemesi yapılsa bile, verilerin geri kazanılması zordur.
https://www.hypr.com/security-encyclopedia/notpetya
Colonial Pipeline: Mayıs 2021’de ABD merkezli Colonial Pipeline şirketi, bir fidye yazılımı saldırısına maruz kaldı. Siber suçlular, Colonial Pipeline şirketinin bilgisayar ağına sızarak, şirketin bilgisayar sistemlerini kilitleyen bir fidye yazılımı saldırısı gerçekleştirdi. Saldırganlar, saldırı sonrasında şirkete bir fidye mektubu gönderdiler ve şirketin sistemlerini kilitleyen fidye yazılımının şifresinin karşılığında 5 milyon dolar değerinde Bitcoin talep ettiler.
Colonial Pipeline, saldırı sonrasında hizmetlerini geçici olarak durdurdu ve bu durum doğu kıyısındaki yakıt arzında kesintilere neden oldu. Saldırı, gaz fiyatlarının artmasına ve birçok bölgede benzin sıkıntısına neden oldu.
Colonial Pipeline, FBI ile işbirliği yaparak fidye yazılımı saldırısını soruşturdu ve sonunda 4,4 milyon dolar değerindeki fidyeyi ödedi. FBI daha sonra yaklaşık 2,3 milyon doları geri aldı.
Bu saldırı, fidye yazılımı saldırılarının hem işletmeler hem de devletler için ciddi bir tehdit olduğunu gösterdi ve siber güvenlik konusunda daha fazla farkındalığın ve önlemin önemini vurguladı.
https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/
JBS: Mayıs 2021’de dünyanın en büyük et tedarikçisi JBS, bir fidye yazılımı saldırısıyla karşı karşıya kaldı. JBS, Brezilya merkezli bir şirket olup, dünya genelinde et üretimi ve dağıtımı yapmaktadır.
Siber suçlular, JBS’nin bilgisayar ağına sızarak, şirketin bilgisayar sistemlerini kilitleyen bir fidye yazılımı saldırısı gerçekleştirdi. Saldırı sonrasında, JBS’nin Kuzey Amerika ve Avustralya’daki operasyonları etkilendi ve web sitesi geçici olarak devre dışı bırakıldı. Şirket, saldırının neden olduğu kesintilerin etkilerini önlemek için üretimlerini durdurdu. Saldırganlar, JBS’ye bir fidye mektubu göndererek, şirketin sistemlerini kilitleyen fidye yazılımının şifresinin karşılığında 11 milyon dolar değerinde Bitcoin talep ettiler. JBS, fidye ödemeden önce yetkililerle işbirliği yaparak saldırıyı soruşturdu. Sonunda, JBS fidye ödemeyi kabul etti ve 11 milyon dolar değerindeki Bitcoin’i saldırganlara gönderdi. Ancak, FBI tarafından yapılan bir açıklamada, fidyenin bir kısmının geri alındığı ve saldırganların izlerinin takip edildiği belirtildi.
https://www.bbc.com/news/business-57423008
İşletmenizi fidye yazılımlarından korumak için almanız gereken önlemler
İşletme ağınızda güçlü bir antivirüs yazılımı kullanmak, bilgisayarlarınızın fidye yazılımlarından korunmasına yardımcı olabilir. İşletme verilerinizi düzenli olarak yedeklemek, aynı şekilde fidye yazılımlarından etkilenmeniz durumunda verilerinizi kaybetmenizi önleyebilir.
İşletme bilgisayarlarınızdaki tüm yazılımların güncel olduğundan emin olun. Yazılım güncellemeleri, bilgisayarınızdaki güvenlik açıklarını kapatır ve fidye yazılımlarının erişimini engeller.
İşletme e-postalarını ve internet kullanımını sıkı bir şekilde izleyin ve bilinmeyen veya şüpheli kaynaklardan gelen dosyaları açmayın. Çalışanlarınıza fidye yazılımları hakkında bilgi verin ve güvenlik önlemleri konusunda bilinçlenmelerini sağlayın..
Fidye yazılımı koruma yazılımları, fidye yazılımlarını tespit etmek ve engellemek için tasarlanmıştır. İşletmeniz için uygun olan bir yazılım seçin.
İşletme hesapları için güçlü parolalar kullanarak hesaplarınızı fidye yazılımlarına karşı daha güvenli hale getirebilirsiniz.
Bu önlemler, işletmenizi fidye yazılımlarından korumak için alabileceğiniz bazı temel adımlardır. Ancak, fidye yazılımlarının her zaman öngörülemeyen şekillerde evrimleşebileceğini unutmamalısınız. Bu nedenle, güvenlik önlemlerinizi düzenli olarak gözden geçirin ve güncelleyin.
InfinitumIT Sürekli Zafiyet Analizi Hizmeti
InfinitumIT olarak müşterilerimize sürekli zafiyet analizi hizmetini sunmaktayız. Sürekli zafiyet analizi, bir kuruluşun bilgi sistemlerindeki zayıf noktaların belirlenmesi, izlenmesi ve düzeltilmesi sürecidir. Bu hizmet, bir kuruluşun siber güvenlik durumunu sürekli olarak izleyerek, potansiyel zafiyetleri tespit etmek ve bunları hızla çözmek için tasarlanmıştır.
Sürekli zafiyet analizi hizmetimiz, kuruluşların siber güvenlik stratejilerini iyileştirmelerine yardımcı olur. Bu hizmet sayesinde kuruluşlar, siber saldırılara karşı daha güvenli hale gelirler ve hassas verilerini daha iyi koruyabilirler. Sürekli zafiyet analizi hizmeti aynı zamanda uyumluluk gereksinimlerini karşılamak için de kullanılabilir ve kuruluşların siber güvenlik durumlarını düzenli olarak raporlayarak yöneticilerin bilgilendirilmesini sağlamaktadır. Ayrıca, zafiyetlerin tekrarlanmaması için düzeltici eylemler hakkında tavsiyelerde bulunmaktayız. Bu sayede sürekli bir güvenlik süreci için müşterilerimiz gerekli adımları atabilmektelerdir.
- Şifrelenmiş dosyaları nasıl kurtarabiliriz?Etkilenen cihazı izole etme: İlk olarak, etkilenen cihazı ağdan çıkararak kötü amaçlı yazılımın diğer cihazlara yayılmasını önleyin.Zararın değerlendirilmesi: Şifrelenen dosyaları ve sistemlerin etkilenme derecesini belirleyin.Kötü amaçlı yazılımın kaldırılması: Bir antivirüs yazılımı veya kötü amaçlı yazılım temizleme aracı kullanarak cihazdaki ransomware'i temizleyin.Yedeklerinizi kullanma: Eğer düzenli olarak verilerinizin yedeklerini alıyorsanız, bu yedeklerden dosyalarınızı geri yükleyebilirsiniz. Bu, fidye ödemeden dosyalarınızı geri almanın en güvenli yoludur.Şifre çözme araçlarını kullanma: Bazı durumlarda, güvenlik araştırmacıları ve şirketler, belirli ransomware türlerini şifrelemek için şifre çözme araçları geliştirebilir. İnternet üzerinde, saldırıya uğrayan ransomware türü için uygun bir şifre çözme aracı arayarak şifreyi çözmeyi deneyebilirsiniz.Profesyonel yardım: Durumunuzla ilgili yardım almak için bir siber güvenlik şirketine veya danışmanına başvurabilirsiniz.
- E Postamıza gelen hangi maillere dikkat etmeliyiz?Bilinmeyen göndericiler: E-postayı gönderen kişiyi tanımıyorsanız veya gönderici adresi şüpheli görünüyorsa, e-postayı açmaktan kaçının.Yanıltıcı e-posta adresleri: Gönderici adı tanıdık bir kişi veya şirket gibi görünse bile, e-posta adresini dikkatlice kontrol edin. Saldırganlar, güvenilir bir kaynağı taklit etmek için benzer e-posta adresleri kullanabilir.İmla ve dilbilgisi hataları: Profesyonel e-postalar genellikle düzgün dilbilgisi ve imla kullanır. E-postada çok sayıda dilbilgisi ve yazım hatası varsa, bu sahte olabileceğine işaret edebilir.Acil ve korku uyandıran mesajlar: Saldırganlar, acil eylem veya korku yoluyla hızlı tepki vermeye çalışabilir. Eğer e-posta, hesabınızın tehlikede olduğunu veya hızlı bir şekilde hareket etmeniz gerektiğini söylüyorsa, dikkatli olun ve bağlantılara tıklamadan önce durumu doğrulayın.Şüpheli bağlantılar ve ekler: E-postada, bilmediğiniz veya beklenmedik bir dosya eki veya bağlantı varsa, bunlara tıklamadan önce iki kez düşünün. Eğer e-postayı gönderen güvendiğiniz bir kişi olsa bile, hesaplarının ele geçirilmiş olma ihtimali vardır.Talepler ve kişisel bilgiler: Güvendiğiniz bir kaynaktan gelen e-postalar bile, kullanıcı adı, şifre, finansal bilgiler gibi kişisel bilgilerinizi talep etmemelidir. Bu tür bilgileri e-posta yoluyla paylaşmaktan kaçının.
- Bilgisayarınıza fidye yazılımı bulaştıysa fidye bedelini ödemeli misiniz?Fidye yazılımı saldırısına maruz kalmışsanız, fidye bedelini ödememeye çalışmalısınız. Fidye ödemek, saldırganların bu tür eylemlerden kâr elde etmelerine ve daha fazla saldırı düzenlemelerine teşvik olmalarına neden olur. Ayrıca, fidye ödemenin verilerinizi geri alacağınızı garantilemediğini unutmayın. Bazı durumlarda, saldırganlar ödeme alındıktan sonra bile verileri geri yüklememekte veya ek fidye talep etmektedir.