Cryptolocker Saldırısı ve Shadow Explorer

By | 19 Aralık 2017

Geçen sene işyeri bilgisayarımda bir Cryptolocker saldırısı yemiştim. Bu ne demektir derseniz, genellikle email üzerinden gelen virüs saldırısı. Mesela belli kişi veya kurumların adıyla açılmış ve onlar gibi davranan sahte hesaplardan gelen emailler üzerinden yayıldığı bilinen bir şey. Misal, bir harf farkla ttnet yerine tttnet falan yazıyorlar ve bunu ilk etapta anlamazsanız sanki ttnet ‘in gönderdiği bir email sanıp maili açıyorsunuz. Ondan sonrasında zaten güvendiğiniz bir email açtığınız için oradaki “hesabıma git”, “kampanya için tıklayın” tarzı linklere basınca virüsümüzü bilgisayarımıza davet etmiş oluyoruz. Virüs bilgisayardaki tüm dosya uzantılarını değiştiriyor ve şifreliyor. Dosya silmiyor. Klasörler arasında rahatlıkla dolaşabiliyorsunuz ama dosyaları açamıyorsunuz. Şifre karşılığında size belli bir süre tanıyor ve bir hesaba ödeme yapmanızı istiyor. Ödemeyi belirtilen sürede girmezseniz dosyaları silmekle tehdit ediyor.

En son güncel yedeğim 3 gün öncesinde olduğu için ve diğer güvenlik işlemlerini yapmadığım için kaybım 3 gün ile sınırlı kalmıştı. Bu konuda bazı bilgileri buraya ekleyerek bu soruna yakalanan kişilere ulaşmayı hızlandırmayı düşündüm. Bazı detay bilgileri paylaşmak gerekirse; Windows ve Program Files klasörlerine kesinlikle girmiyor. Muhtemelen, bunu yapması, fidye için elindeki rehineyi öldürmesi demek. Ama diğer tüm disk ve klasörlere saldırıyor ve şifreliyor. dwg dosyalarini şifreliyor ama yanindaki bak dosyalarını ellemiyor. mp4 dosyalarını şifreliyor ama mp3 ler temiz. Aynı klasördeki jpg ler şifreli ama gif olanlar temiz. Bendeki durum genel olarak böyleydi.

Çözüm için Shadow Explorer

Shadow Explorer programı ile kusursuz bir şekilde geçmiş windows yedeklerine ulaştım. üstelik, tanımlanmış bir sistem geri yükleme yedeği olmadan. windows kendi kurulu olduğu sürücünün yedeklerini belli periyotlarda aldığı için o sürücüdeki herşeyi kurtarma durumunuz var fakat başka sürücülerdeki kayıplarınıza bir çözüm üretmiyor. bütün C diskini eksiksiz kurtardım ama D diskindeki herşey gitti.

Bir başka detay, eğer admin hesap gibi tam yetkili yönetici hesabı üzerinden saldırı yediyseniz muhtemelen yukarıda belirttiğim otomatik yedek dosyalar da saldırıda siliniyor veya uzantısı dönüşüyor. Bu durumda kurtarma programı da işe yaramıyor. Ama kısıtlı bir hesap üzerinden saldırı aldıysanız erişim yetkisizliğinden dolayı o yedeklere erişemiyor saldırgan. Bu sebeple, windows üzerinde sürekli ayar yapan biri değilseniz, günlük kullanımlarınızda yönetici yetkili bir hesap yerine kısıtlı kullanımı olan bir hesap açıp onu kullanın. Bu sizi buna benzer bir çok saldırıdan koruyacaktır.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir