Fidye virüsü nedir? Fidye virüsü temizleme - Fidye virüsü nasıl bulaşır?

Son günlerde birçok bilgisayar kullanıcısının belası olan fidye virüsü, önemli dosyaları şifreleyerek ulaşılmaz kılıyor. Bu dosyaları kurtarabilmeniz için virüsü oluşturan kişi sizden para talep ediyor. Peki Fidye virüsü nedir? Fidye virüsü temizleme - Fidye virüsü nasıl bulaşır? İşte detaylar ve fidye virüsünden kurtulma yöntemleri.

Fidye virüsü nedir? Fidye virüsü temizleme - Fidye virüsü nasıl bulaşır?

Fidye yazılımı, şantaj yazılımı veya fidye virüsüolarak bahsedilen yazılımlar ransomware olarak adlandırılan fidye yazılımlarına verilen genel bir addır. Fidye virüsleri (İng. ransomware) bulaştığı bilişim sistemleri üzerinde dosyaları erişimi engelleyerek kullanıcılardan fidye talep eden zararlı yazılımlardır. Fidye virüsü, kurbanın cihazı (bilgisayar, akıllı telefon, giyilebilir cihazlar vb.) üzerinde gizlice kendini yükleyen veya kurbanın verisini rehin tutan kriptoviroloji ile kriptoviral alıkoyma saldırısı başlatan ya da fidye ödenene kadar kurbanın verisini yayınlamakla tehdit eden bir kriptoviroloji saldırısı başlatan bir bilgisayar zararlı yazılımıdır. Basit bir fidye virüsü, bilgili bir kişinin geriye çevirmesi zor olan bir şekilde sistemi kilitler ve kilidi açmak için ödeme isteyen bir mesaj gösterir. Daha da gelişmiş zararlı yazılımlar, kurbanın dosyalarını şifreler, bunları erişilemez kılar ve bunların şifresini çözmek için bir fidyenin ödenmesini talep eder. Fidye virüsü, bilgisayarın Ana Dosya Tablosu (MFT) veya tüm sabit sürücüsünüde şifreleyebilir. Şifreleme anahtarı olmadan dosyaların şifrelerinin çözülmesine karşı olduğu için, fidye virüsü bilgisayar kullanıcılarının dosyalarına erişimini engelleyen bir erişim dışı bırakma saldırısıdır. Fidye virüsü saldırıları, geçerli bir dosya olarak kendisini gizleyen bir Truva atı kullanılarak yürütülmektedir.

Başlarda Rusya’da popüler olsa da, fidye virüsü dolandırıcılığı uluslararası düzeyde yaygınlaşmıştır.Haziran 2013'te, güvenlik yazılımı dağıtıcılarından McAfee, 2013 yılının ilk çeyreğinde, 2012 yılının ilk çeyreğindeki rakamın yarısından daha fazla olan, 250000’den fazla eşsiz fidye virüsü çeşidinin tespit edildiğini gösteren veriler yayınlamıştır. Otoriteler tarafından alt edilene kadar 3 milyon dolardan fazla toplayan CryptoLocker  ve [Federal Araştırma Bürosu (FBI)|FBI] tarafından Haziran 2015 itibarıyla 18 milyon dolardan fazla topladığı tahmin edilen CryptoWall gibi Truva atları sayesinde, şifreleme tabanlı fidye virüslerini içeren geniş çaplı saldırılar artmaya başlamıştır.

En bilinen fidye virüsü CryptoLocker olarak adlandırılan ve bulaştığı bilgisayarlardaki bir takım dosyaları şifreleyerek kaydeden; şifrenin geri açılması için ise ukash, bitcoin, para vb. emtialar talep eden virüstür.

Çalışma mekanizması

Dosya şifreleyen fidye yazılımları, Columbia Üniversitesi’nden Young ve Yung tarafından keşfedilmiş ve uygulanmıştır ve 1996’da IEEE Güvenlik&Gizlilik konferansında sunulmuştur. Buna “kriptoviral alıkoyma” denilmektedir ve aşağıdaki 3’lü protokol saldırgan ve kurban arasında yürütülmektedir.

1. [saldırgan→kurban] Saldırgan bir anahtar çifti oluşturur ve karşılık gelen açık anahtarı kötü amaçlı yazılımın içerisine yerleştirir. Kötü amaçlı yazılım bırakılır.

2. [kurban→saldırgan] Kriptoviral alıkoyma saldırısını gerçekleştirmek için, kötü amaçlı yazılım rastgele bir simetrik anahtar üretir ve kurbanın verilerini bu anahtar ile şifreler. Kötü amaçlı yazılımın içerisindeki açık anahtarı da simetrik anahtarı şifrelemek için kullanır. Bu işlem hibrid şifreleme olarak bilinmektedir ve kurbanın simetrik şifreli metni ile beraber küçük bir asimetrik şifreli metinle sonuçlanmaktadır. Simetrik anahtarı ve geri dönüşü engellemek için orijinal açık metni sıfırlamaktadır. Kullanıcıya, asimetrik şifreli metni ve fidyeyi nasıl ödeyeceğini belirten bir mesaj gösterir. Kurban, asimetrik şifreli metni ve e-parayı saldırgana gönderir.

3. [saldırgan→kurban] Saldırgan ödemeyi alır, saldırganın gizli anahtarı ile asimetrik şifreli metni çözer ve simetrik anahtarı kurbana gönderir. Kurban ihtiyaç duyduğu simetrik anahtar ile şifrelenmiş veriyi çözer ve böylece kriptoviroloji saldırısını tamamlanır.

4. Simetrik anahtar rastgele olarak üretilir ve diğer kurbanlara yardımcı olamaz. Hiçbir şekilde saldırganın gizli anahtarı kurbanlara gösterilmez ve kurban sadece küçük bir şifreli metni (asimetrik şifreli metin) saldırgana yollamak zorundadır.

Fidye virüsü saldırıları, indirilen bir dosya veya bir ağ servisindeki açıklık ile sisteme giren bir Truva atı aracılığıyla yürütülmektedir. Program daha sonra, sistemi bir şekilde kilitleyen veya sistemi kilitleyeceğini iddia eden ama gerçekte etmeyen bir payload çalıştırır. Payoadlar, kolluk kuruluşu gibi bir varlık tarafından, gerçekte olmadığı halde, sistemin illegal aktiviteler için kullanıldığını veya pornografi ve korsan medya gibi içerik içerdiğini iddia eden bir gerçek dışı uyarı gösterebilmektedir.

Bazı payloadlar, ödeme yapılana kadar genellikle Windows kabuğunu kendisine adayarak sistemi kilitleyen veya kısıtlayanveya düzeltilene kadar işletim sisteminin başlatılmasını engellemek için ana önyükleme kaydı ve/veya bölüm tablosunu değiştiren bir uygulamadan oluşmaktadır. En karmaşık payloadlar dosyaları, sadece kötü amaçlı yazılım yazarının ihtiyaç duyulan şifre çözme anahtarına sahip olacağı şekilde şifrelemektedir.

Ödeme görünürde her zaman nihai amaçtır ve kurban, dosyaları çözebilecek bir program sağlanarak veya payloadun yaptığı değişiklikleri geri döndürecek bir kilit açma kodu gönderilerek –ki bu durum bazen gerçekleşmeyebilir- fidye virüsünün kaldırılması için ödeme yapmaya ikna edilir. Fidye virüsünün saldırgan için çalışmasını sağlayan ana unsurlardan birisi, takip edilmesi zor uygun bir ödeme yöntemidir. Kablolu transfer, ücretli SMS]], Paysafecard gibi önceden ödenmiş servislerPaysafecard, ve dijital para birimi olan Bitcoin, gibi pek çok ödeme şekli kullanılmıştır. Citrix tarafından yürütülen bir 2016 sayımı, büyük firmaların bitcoini acil eylem planı olarak tuttuğunu ortaya çıkartmıştır.