• PBX : 0212 709 0065
  • info@teknodisk.com

CryptoLocker Virüsü

Ülkemizdeki internet kullanıcılarını hedef alan KriptoKilit saldırıları daha önce de gerçekleşmişti. Fakat bu sefer KriptoKilit güncel sürümü ile daha büyük bir tehdit olarak karşımıza çıktı.  Kendini açık bir şekilde CryptoLocker olarak tanıtan bu yeni zararlı yazılım, yine kullanıcılara ait belli uzantılara sahip dosyaları  şifrelemekte ve bu verilerin kurtarılması için kullanıcılardan “Şifre çözme yazılımı” adında bir yazılım satın almalarını istemektedir.

Bulaşma Şekli
Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir.

Faturanın yüksek tutarından ötürü fatura hakkında bilgi almak isteyen kullanıcılar faturayı görmek istediklerinde belirlenmiş fake olarak gösterilen web adresine yönlendirilmektedirler.

Kapçayı girip indir butonuna tıklanıldığında “.zip” uzantılı bir dosya indirmektedir. Bu dosyanın içinde ise “.exe” uzantılı fatura dosyası bulunmaktadır.

İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına bulaşmakta ve içi boş olmayan .doc, .docx, .pdf, .txt, .7z, .rar, .zip tipinde olan dosyalar şifrelenmektedir. Şifrelenen dosyaların yeni uzantıları .encrypted olmaktadır.

Zararlı yazılım bilgisayardaki verileri şifreleme işlemini bitirdikten sonra ekrana bir web sayfa çıkarmaktadır. Zararlı yazılım şifrelenen veriler karşılığında Şifre çözme yazılımı adı altında bir yazılımın satın alınmasını istemektedir.

Linke tıklandığında aslında tor ağı üzerinde olan fakat bir tor proxy hizmeti veren sunucu üzerinden erişilebilen ve kişiye özel bir web sayfasına yönlendirilme yapılmaktadır.

Cryptolocker Virüsü

Şifre çözme yazılımının satın alınması konusunda ise 96 saat içinde satın alımı durumunda 2398 liradan 1198 liraya kadar indirim yapmaktadır.

Zararlı yazılım ilk yayıldığında antivirüs firmalarının büyük bir çoğunlu tarafından tanınmamıştır.

CryptoLocker gibi eposta yoluyla gelen zararlı yazılımlardan etkilenmemek için gelen eposta adreslerine çok dikkat edilmelidir.

TTNet'in fatura görüntüleme adresi "https://efatura.ttnet.com.tr" iken zararlı yazılımın kullandığı ise "efatura.ttnet-fatura.info" ve “efatura.ttnet-fatura.biz" adresleridir.

Eposta olarak gönderilen faturaların uzantılarına dikkat edilmelidir. CyrptoLocker zararlı yazılımı bir .exe dosyasıdır. Oysaki TTNET faturaları pdf şeklinde göstermektedir. Bunlara çok dikkat edilmelidir.

Sonuç olarak, internetten indirilen dosyalar, epostalar açılmadan önce dikkatle okunmalıdır. Epostayı gönderen adreslere, epostanın içeriğine, indirilen dosyanın uzantısına dikkat edilmeli ve emin olunduktan sonra dosyalar açılmalıdır.