Cryptolocker Saldırısı ve Shadow Explorer

By | 19 Aralık 2017

Geçen sene işyeri bilgisayarımda bir Cryptolocker saldırısı yemiştim. Bu ne demektir derseniz, genellikle email üzerinden gelen virüs saldırısı. Mesela belli kişi veya kurumların adıyla açılmış ve onlar gibi davranan sahte hesaplardan gelen emailler üzerinden yayıldığı bilinen bir şey. Misal, bir harf farkla ttnet yerine tttnet falan yazıyorlar ve bunu ilk etapta anlamazsanız sanki ttnet ‘in gönderdiği bir email sanıp maili açıyorsunuz. Ondan sonrasında zaten güvendiğiniz bir email açtığınız için oradaki “hesabıma git”, “kampanya için tıklayın” tarzı linklere basınca virüsümüzü bilgisayarımıza davet etmiş oluyoruz. Virüs bilgisayardaki tüm dosya uzantılarını değiştiriyor ve şifreliyor. Dosya silmiyor. Klasörler arasında rahatlıkla dolaşabiliyorsunuz ama dosyaları açamıyorsunuz. Şifre karşılığında size belli bir süre tanıyor ve bir hesaba ödeme yapmanızı istiyor. Ödemeyi belirtilen sürede girmezseniz dosyaları silmekle tehdit ediyor.

En son güncel yedeğim 3 gün öncesinde olduğu için ve diğer güvenlik işlemlerini yapmadığım için kaybım 3 gün ile sınırlı kalmıştı. Bu konuda bazı bilgileri buraya ekleyerek bu soruna yakalanan kişilere ulaşmayı hızlandırmayı düşündüm. Bazı detay bilgileri paylaşmak gerekirse; Windows ve Program Files klasörlerine kesinlikle girmiyor. Muhtemelen, bunu yapması, fidye için elindeki rehineyi öldürmesi demek. Ama diğer tüm disk ve klasörlere saldırıyor ve şifreliyor. dwg dosyalarini şifreliyor ama yanindaki bak dosyalarını ellemiyor. mp4 dosyalarını şifreliyor ama mp3 ler temiz. Aynı klasördeki jpg ler şifreli ama gif olanlar temiz. Bendeki durum genel olarak böyleydi.

Çözüm için Shadow Explorer

Shadow Explorer programı ile kusursuz bir şekilde geçmiş windows yedeklerine ulaştım. üstelik, tanımlanmış bir sistem geri yükleme yedeği olmadan. windows kendi kurulu olduğu sürücünün yedeklerini belli periyotlarda aldığı için o sürücüdeki herşeyi kurtarma durumunuz var fakat başka sürücülerdeki kayıplarınıza bir çözüm üretmiyor. bütün C diskini eksiksiz kurtardım ama D diskindeki herşey gitti.

Bir başka detay, eğer admin hesap gibi tam yetkili yönetici hesabı üzerinden saldırı yediyseniz muhtemelen yukarıda belirttiğim otomatik yedek dosyalar da saldırıda siliniyor veya uzantısı dönüşüyor. Bu durumda kurtarma programı da işe yaramıyor. Ama kısıtlı bir hesap üzerinden saldırı aldıysanız erişim yetkisizliğinden dolayı o yedeklere erişemiyor saldırgan. Bu sebeple, windows üzerinde sürekli ayar yapan biri değilseniz, günlük kullanımlarınızda yönetici yetkili bir hesap yerine kısıtlı kullanımı olan bir hesap açıp onu kullanın. Bu sizi buna benzer bir çok saldırıdan koruyacaktır.

2 thoughts on “Cryptolocker Saldırısı ve Shadow Explorer

  1. redwap

    If you do not use System Restore option on your operating system, there is a chance to use shadow copy snapshots. They store copies of your files that point of time when the system restore snapshot was created. Usually NWA ransomware tries to delete all possible Shadow Volume Copies, so this methods may not work on all computers. However, it may fail to do so.

    Reply

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir