Cryptolocker Virüsüne Dair Önlem ve Çözümler

CryptoLocker Virüsü Nedir?

CryptoLocker virüsü, bilgisayarda bulunan dosyaların şifrelenmesi ile bilgisayar sahibinin bu dosyaları kullanmaktan mahrum kalması amacı taşımaktadır. Özellikle muhasebeciler gibi bilgisayarlarında önemli veriler barındıran kişilerin bilgisayarlarına yönelik yapılan saldırılarla bilgisayar sahibinden fidye talep edilmektedir. Sistem basit olarak şöyle işlemektedir:

1. Virüs yapımcısı yaptığı araştırma ile kişinin e-posta hesabına ulaşmaktadır. Burada yapılan araştırma, mesleklere yönelik bir araştırmadır. Yukarıdaki örnekteki gibi muhasebecilerin İnternet sitelerine girerek e-posta adresleri elde edilebilmektedir.
2. Elde edilen e-postaya, hayret verici, ilgi çekici, sinirlendirici ya da başkaca yüksek tepki verdiren bir e-posta gönderilmektedir. Örneğin, telefon faturası e-postası aynen kopyalanarak kişiye gönderilmektedir. Bu işlem sırasında GSM firmasının e-posta adresi ve e-posta formatı taklit edilmekte ve fatura bedeli olarak da fahiş bir miktar yazılmaktadır.
3. Fahiş miktarlı faturayı gören kişi sinirlenerek anlık tepki gösterip faturayı görmeye alışmakta, zip formatındaki e-posta ekini bilgisayarına yüklemektedir.
4. Tahmin edileceği üzere bilgisayara indirilen bir fatura değil, virüs dosyasıdır.
5. Virüs çalıştıktan sonra bilgisayardaki tüm dosyaları yedeklemekte ve yedekleri şifrelemektedir. Asıl dosyalar ise yedeklemeden sonra silinmektedir. Bu sayede örneğimizdeki muhasebecinin mükelleflere ilişkin tüm verileri artık şifrelenmiştir ve muhasebeci bu dosyalara ulaşamamaktadır.
6. Virüs yapımcısı yine bilgisayara virüs aracılığı ile koyduğu uyarı ile kendisine bir bedel ödenmesini, aksi halde dosyaların kurtarılmayacağını ve silineceğini söylemektedir. Ödeme yöntemi olarak takibi mümkün olmayan bitcoin gibi ödeme sistemleri kullanılmaktadır. Bu sayede virüs yapımcısına ulaşmak da mümkün olmamaktadır.

CryptoLocker Virüsüne İlişkin Önlemler

Maalesef virüs bilgisayara bulaştıktan sonra şifrelenmiş dosyaların kurtulması oldukça zordur. Ancak alınabilecek basit önlemlerle verilerin korunması oldukça kolaydır.

1. Ethernet, USB, vb kablo ile ya da İnternet aracılığı ile başka bilgisayarlara bağlanmış her bilgisayara virüs bulaşabilir. Bunlara, taşınabilir harddisk, cd, vb kullanılan bilgisayarlar da dahildir. Bu nedenle eğer bir veri çok önemliyse, saklanabileceği tek yer bağlantısız bir bilgisayar kullanmaktır.
2. İnternete bağlı olmayan bir bilgisayarla iş yapmak mümkün değil ise bilgisayarın düzenli olarak yedeği alınmalıdır. Yedekleme sunucusu bulunan bilgisayarlar ya da bulut depolama sistemleri ile bilgisayarın tam yedeği gerekirse her gün alınmalıdır. Otomatik yedekleme programları da tercih edilebilir. Örneğin kullanımı çok basit ve ücretsiz olan Google Drive, bilgisayarınızda bulunan ve izinv erdiğiniz dosyaların yedeğini otomatik olarak almaktadır. Hem her bilgisayardan yedeğe ulaşabilmenizi hem de bilgisayarınızın başına bir şey geldiğinde verilerinize kolayca erişmenize olanak sağlamaktadır.
3. Bilgisayarda antivirüs programı çalıştırmak da alınabilecek bir önlemdir ancak bu türdeki virüsler zaten daha önceden tespit edilmemiş virüslerdir. Dolayısıyla antivirüs yazılımı bunları virüs olarak algılamayabilir.
4. İnternetteki her adıma dikkat etmek gerekir. İş bilgisayarı kişisel zevkler için kullanılmamalıdır. İş bilgisayarı vakit geçirme aracı değildir. Özellikle araştırma yaparken arama motoru arama sonuçlarında sadece güvenilir siteler ziyaret edilmelidir. Anlamsız alan adlarına sahip, farklı dillerde hazırlandığı belli olan, spam, vb sitelere giriş yapılmamalıdır.
5. Taşınabilir harddiskler sadece güvenilen bilgisayarlarda kullanılmalıdır. Çok kişinin eriştiği bilgisayarlarda virüs olmama ihtimali çok düşüktür. Taşınabilir harddiskler mümkün olduğunda iş bilgisayarlarında kullanılmamalıdır. Flashdisklerle ilgili olarak basit koruma yöntemi ise şu şekildedir: a) Flashdiske format atılır, b) İçerisinde bir klasör oluşturulur ve klasöre sağ tıklanarak özellikler alanında yazma, okuma, vb yetkileri tanımlanır. c) Flashdiskin ana dizinine sağ tıklanarak özellikler alanında yazma yetkisi kaldırılır. d) Flashdiske veri kaydederken sadece oluşturulan klasör kullanılır. Bu sayede bilgisayardaki virüs flashdise bulaşmayacaktır zira ana dizine kendisini kaydetmeye çalışan virüs bunu başaramayacaktır.
6. İnternet’in tehlikeli olduğu ve bu türdeki insanların sürekli olarak yeni yöntemler peşinde koştukları unutulmamalıdır. Her e-posta, her İnternet sitesi mutlaka dikkatlice incelenmelidir. E-postanın göndericisine bakılmadan içeriğine bakılmamalıdır. Yukarıdaki fatura örneğinde sadece göndericinin e-posta adresine bakılsa, e-postanın sahte olduğu kolayca anlaşılabilecektir mesela. En ufak şüphe varsa e-posta ile ilgili, e-posta silinmelidir. Gönderici çok önem veriyorsa size telefonla ulaşabilir. Sakin olmak sorunla karşılaşmamayı engellediği gibi karşılaşılan sorunun çözümünü de kolaylaştırır.
7. Okullarda verilecek eğitimle gelecek nesiller İnternet’in tehlikelerine karşı bilinçlendirilmelidir.
8. Bu tür saldırıların yaptırımı ağır olmalı ve devletler bu tür konularda çok hızlı bir işbirliğine sahip olmalıdır. Aksi halde saldırıların önüne geçmek mümkün değildir.

CryptoLocker Virüsü ile Karşılaşınca Yapılabilecekler

1. Bilgisayara virüs bulaştığı düşünülüyorsa bilgisayar derhal fişi çekilerek kapatılmalıdır. Bu, şifrelenmemiş verilerin kurtarılmasına olanak sağlayacaktır. Bu durumda bilgisayar tekrar açılmamalı, konu hakkında uzmanlığı bulunan bir kişi ile irtibat kurulmalıdır.
2. Virüsün dosyaları erişilmez kılması halinde veri kurtarma uzmanları ile iletişim kurulabilir. Ancak bu tür durumlarda verilerin kurtarılmasının çok zor olduğu unutulmamalıdır. Gerekirse şifrelenmiş dosyaların yedeği de alınmalıdır.
3. Bilgisayar eski tarihli bir yedeğe döndürülebilir. İzin verilmiş olması halinde Windows aralıklarla bilgisayarın yedeğini almaktadır. Eski tarihli bir yedeği(Sistem Geri Yükleme) güncel hale getirmek sorunu çözebilir ancak bu işlemin de yine uzman bir kişi tarafından yapılması önerilir.
4. Eğer şu listedeki virüslerden birisi ile karşılaşılmışsa aynı sitede sunulan çözüm kullanılabilir: https://noransom.kaspersky.com/
5. Europol Avrupa Siber Suç Merkezi gibi onlarca kurum ve kuruluş ile şirketlerin oluşturduğu https://www.nomoreransom.org/en/index.html kullanılabilir. Sitede sunulan form aracılığı ile şifrelenmiş dosya yüklendiğinde daha önce elde edilmiş çözüm yöntemleri taranmakta ve ilgili yöntem varsa kişiye sunulmaktadır. Şurada çözümü olan virüsler listelenmiştir. Bu sistem aracılığı ile 200.000’e yakın kişinin ifrelenmiş dosyalarının kurtarıldığı söylenmektedir.

Görüleceği üzere virüslerden kaçınmak çok zor olmasa da virüs bulaşan dosyayı kurtarmak oldukça zor. Bu nedenle, masrafı ne olursa olsun, öncelikle güvenlik önlemleri alınmalıdır. Zira bugünkü virüslere çözüm üretilse de yarın başkaları ortaya çıkacaktır. Yukarıda belirtildiği üzere devletlere de oldukça büyük iş düşmekte. Birlikte çalışarak etkili çözümler üretmek artık devletlerin sorumluluğudur. Suçluların cezalandırılması için etkin bilgi paylaşımı ve cezaların her ülke için yeterli ağırlıkta olmasının sağlanması da bir an önce kavuluşması gereken zorunluluklar.