Nedir Ransomware bu?
Karşılaşmayacak kadar şanslıysanız, Ransomware dosyaları şifreleyen ve şifre çözmeleri için bir ödeme talep ederek onları rehin alan bir tür kötü amaçlı yazılım olduğunu bilin. Tüm kişisel dosyaları şifreler, daha sonra özel bir şifre çözücü programı aracılığıyla çalıştırılmadıkça açılamaz hale gelir. Bununla birlikte, şifre çözücüye sahip tek insanlar genellikle . Ransomware Kullanıcılar fidyeyi ödemeyi reddederse, dosyaların temelli olarak kaybolması nadir değildir. Tabii kurbanların desteği yoksa. 
Son beş yılda, Ransomware sadece bireysel kullanıcılar için değil, işletmeler ve kuruluşlar için de en büyük siber güvenlik tehditlerinden biri haline geldi. Her yıl Ransomware milyarlarca dolarlık zarara neden oluyor ve bu rakam önemli ölçüde artıyor. Sadece 2020 yılında Ransomware 20 milyar dolar değerinde zarara yol açtı. Sadece iki yıl içinde, neden olduğu Ransomware hasarlar iki katına çıktı.
Yıllar içinde hedefler bireysel kullanıcılardan küçük işletmelere ve şirketlere ve devlet tesislerine kaymıştır. Sağlık sektörü bile hedef alınıyor. Bireysel kullanıcıların aksine, daha büyük hedefler yüz binlerce dolar fidye ödeyebilir, bu yüzden siber suçlular, özellikle çeteler için bu kadar tercih edilen bir Ransomware hedeftir.
Ransomware ‘nin nasıl yayıldığını, nasıl çalıştığını ve kendinizi nasıl koruyacağınızı öğrenmek istiyorsanız, daha ayrıntılı olarak açıklayacağımız gibi okumaya devam edin.
Nasıl Ransomware çalışır?
- enfeksiyon
Saldırının ilk adımı Ransomware hedef sisteme girmektir. Bireysel kullanıcılar söz konusu Ransomware olduğunda, genellikle kullanıcılar malspam e-postalarından, torrent sitelerinden vb. Kötü amaçlı dosya açıldıktan sonra Ransomware şifreleme işlemine başlayın.
Şirketler ve devlet kurumları gibi daha büyük hedeflere bulaştırmak için siber suçlular, esasen hedef sisteme girmelerini ve bunu kendilerinin başlatmalarını sağlayan Uzak Masaüstü Protokolü’nü kötüye kullanmak gibi farklı Ransomware taktikler kullanırlar.
- Dosya şifreleme
Kullanıcılar ‘i başlattığında Ransomware dosyaları şifrelemeye başlayacaktır. Tüm Ransomware bunlar çoğunlukla fotoğraflar, belgeler ve videolar da dahil olmak üzere kişisel dosyaları hedef almaktadır. Hedeflenen dosya türlerinin listesi genellikle çok kapsamlıdır, ancak Ransomware tam olarak hangi dosyaları hedeflediğine bağlıdır. Ancak genel olarak, kişisel dosyaların çoğu şifrelenecektir.
Dosyalar şifrelenir şifrelenmez açılamaz hale gelir. Kurbanlar, şifrelenmiş dosyalara eklenen uzantı tarafından hangi dosyaların şifrelendiğini belirleyebilir. Farklı Ransomware farklı uzantılar ekleyin, bu genellikle kurbanların fidye notunda isim belirtilmezse hangisiyle uğraştıklarını nasıl belirleyebilecekleridir.
- Fidye
Dosyalar şifrelenmeyi bitirdikten sonra, Ransomware fidye notu düşecektir. Genellikle, Ransomware aileler aynı notları tekrar tekrar kullanır ve aynı meblağı talep ederek. Örneğin, ünlü Djvu Ransomware ailesi her zaman aynı fidye notasını kullanır. Notlar genellikle dosyaların şifrelendiğini açıklar ve bir fiyat karşılığında bir şifre çözücü sunar. Fidye toplamı, hangisinin sorumlu olduğuna bağlı olarak Ransomware farklıdır.
Bireysel kullanıcılar için fidye toplamı genellikle 100 ila 2000 $ arasında değişmektedir. Ancak, işletmeler ve kuruluşlar için talep edilen miktar yüz binlerce, hatta milyonlarca dolar aralığında olabilir.
Fidyeyi ödemenin anlamı, her zaman dosya şifresini çözmeyi garanti etmemeleridir. Siber suçlular çalışan bir şifre çözücü sağlamayı vaat etseler de, her zaman bu vaatleri yerine sadece parayı almayı ve karşılığında hiçbir şey göndermemeyi seçiyorlar. Kolluk kuvvetleri bile kurbanları fidyeyi ödememeye teşvik ediyor. Ancak, sonunda, kullanıcıların fidyeyi ödeyip ödemediği her kurbanın kararıdır.
- şantaj
Bu nispeten yeni bir uygulamadır ve genellikle şirketler veya kuruluşlar gibi daha büyük hedeflere karşı kullanılır. Saldırıların kurbanı olan birçok şirketin Ransomware yedekleri vardır ve verileri ve düzenli operasyonları oldukça hızlı bir şekilde geri yükleyebilir, yani fidyeyi ödemeye gerek kalmayacaktır. Bununla birlikte, hedefleri fidyeyi ödemeye zorlamak için, siber suçlular esasen çaldıkları verileri halka açık bir şekilde yayınlamakla tehdit ederek şantaj yapmaya başladılar. Bu yeni taktiğin ne kadar etkili olabileceğini söylemek zor çünkü tüm kurbanlar saldırıları bildirmiyor. Ve bunu yapanların çoğu fidyeyi ödemezler.
Ransomware Ancak çeteler verileri açıklama sözünü yerine getirirler. Bir Ransomware örnek, popüler video oyunları Witcher 3 ve Cyberpunk 2077’nin geliştiricisi CD Projekt’e karşı saldırıdır. Şirket, bu oyunların kaynak kodlarını çalan bir çete tarafından hedef Ransomware alındı. İstenen fidye toplamı açıklanmadı, ancak CD Projekt ödemeyi reddetti. Daha sonra birden fazla güvenlik analisti, kaynak kodun dark web’de 1 milyon dolardan başlayan bir fiyata açık artırmaya çıktığını bildirdi. Kod daha sonra sosyal medyada paylaşıldı ve CD Projekt, kaldırmak için DMCA yayından kaldırma bildirimlerini kullanmaya başladı.
En yaygın Ransomware dağıtım yöntemleri
- E-posta ekleri
Malspam kampanyaları, kullanıcılara, özellikle de bireysel kampanyalara virüs bulaştırma konusunda çok etkilidir. Kötü niyetli aktörler, hacker forumlarından binlerce e-posta adresi satın alır ve bunları kullanarak kötü amaçlı spam kampanyaları başlatır. Kötü amaçlı e-postaların bir şirket veya devlet kurumundan gelen resmi yazışmalar gibi görünmesi nadir değildir. E-postalar genellikle ekli dosyayı açmanın çok önemli olduğunu söyleyen az miktarda metne sahiptir. Kullanıcılar ekli dosyaları açarsa, esasen başlatılmasına izin Ransomware verirler.
- Torrentler ve diğer korsan platformlar
Forumlar ve torrent web siteleri genellikle kötü niyetli aktörlerin kötü amaçlı içerikleri çok zorlanmadan yüklemelerine izin veren kötü düzenlenmiştir. Bu özellikle yazılım çatlakları olan torrent sitelerinde ve forumlarda yaygındır. Kullanıcılar Ransomware yanlışlıkla ve diğer kötü amaçlı yazılımları indirir, torrentin bir film, TV şovu, video oyunu veya yazılım içereceğini düşünürler.
- Yararlanma kitleri
Çetelerin kullanıcıların sistemlerine girmek için istismar kitlerini kullanması oldukça Ransomware yaygındır. Exploit kitleri, bir istismar ve indirme ve diğer kötü amaçlı yazılımları sunmak için kullanabilecekleri bir sistemde güvenlik açıklarını arayan Ransomware araçlardır. Kötü amaçlı reklamcılık (kötüye kullanımı) ve güvenliği ihlal edilmiş/kötü amaçlı web sitelerinde istismar kitleriyle karşılaşılabilir. Bunun çalışma şekli, kullanıcıların bir yararlanma kiti olan kötü amaçlı veya güvenliği ihlal edilmiş bir web sitesini ziyaret etmek için kandırılmasıdır, bu da cihazda yüklü yazılımdaki güvenlik açıklarını kontrol eder. Daha sonra kötü amaçlı bir yük, diğer bir de adla kötü amaçlı yazılım bırakmak için bu güvenlik açığından yararlanır.
- Uzak Masaüstü İletişim Kuralı (RDP)
RDP (Uzak Masaüstü Protokolü), kullanıcıların ağ bağlantısı kullanarak başka bir bilgisayara/sunucuya bağlanmasını sağlayan bir araçtır. Çalışma şekli nedeniyle, siber suçlular için dağıtmak için kullanmak için bir fırsat Ransomware yarattı. Özellikle büyük şirketleri ve kuruluşları hedeflerken en çok kullanılan kötü amaçlı yazılım sızma yöntemlerinden biri haline gelmiştir. Dharma Ransomware ailesi, bu yöntemi kullanan bir kötü amaçlı yazılım ailesine örnektir.
RDP bağlantı noktası Internet’e açık olduğunda, herkes bu bağlantı noktasına bağlanmayı deneyebilir. Ve siber suçluların bu açık bağlantı noktalarını tarayan araçları var. Bir tane bulurlarsa, çalınan oturum açma kimlik bilgilerini kullanarak veya tahmin ederek bağlanmaya çalışırlar. Şifre zayıfsa, tahmin etmek inanılmaz derecede kolay olabilir. Saldırgan başarılı bir şekilde oturum açtıktan sonra, sunucuya/bilgisayara erişebilir ve başlatma da dahil olmak üzere üzerinde her şeyi Ransomware yapabilir.
/data loss’dan korunmanın yolları Ransomware
Önemli dosyaları düzenli olarak yedekle
Bir enfeksiyondan ciddi sonuçları önlemenin en iyi Ransomware yolu, en azından kaybetmek istemediğiniz dosyaları düzenli olarak yedeklemektir. Dosyaları yedeklemenin çeşitli yolları vardır ve tüm kullanıcılar onlar için en uygun yöntemi bulabilir.
Virüsten koruma yazılımının yüklü olması
Kötü amaçlı yazılım söz konusu olduğunda koruma içeren güvenilir anti-virüs yazılımının ilk savunma hattı olması şaşırtıcı Ransomware olmayacaktır. Artan tehdidine uyum sağlamak Ransomware için, birçok anti-virüs programı şimdi karşı bir tür koruma Ransomware sunuyor. Virüsten koruma yazılımınız yüklüyse, böyle bir özelliğe sahip olup olmadığını kontrol edin. Bir güvenlik programınız yoksa, ancak bir tane almayı planlıyorsanız, karşı en iyi korumayı sunanları Ransomware araştırın.
Güncelleştirmeleri düzenli olarak yükleme
Kötü amaçlı yazılımların cihazınızdaki güvenlik açıklarını kullanabileceğini zaten belirtmiş durumdayız. Güvenlik açıkları her tespit edildiklerinde, özellikle ciddiyse, düzeltme eki uygulanacak bir güncelleştirme yayımlanacaktır. Bu güncelleştirmelerin yüklenmemesi sistemi savunmasız bırakır. Otomatik güncelleştirmelerin etkinleştirilmesi önerilir.
WannaCry, Ransomware güncellemeleri düzenli olarak yüklemenin önemini gösteren harika bir örnektir. Ransomware Saldırıdan 2 ay önce Microsoft tarafından, Windows Vista’dan başlayarak o sırada desteklenen tüm Windows sürümleri için bir dizi güncelleştirmede düzeltme eki uygulanmış bilinen bir EternalBlue güvenlik açığından yararlanıldı. Düzeltme ekinin yüklü olmadığı veya Desteklenmeyen Windows sürümlerini (örneğin Windows XP) çalıştıran 300.000’den fazla bilgisayara tüm dünyada virüs bulaştı. WannaCry, Ransomware Bitcoin ile ödenmek üzere 300-600 dolar fidye talep etti. Mağdurların çoğunluğunu yeterli güvenlik uygulamasına sahip olmayan şirket ve kuruluşlar aldı.
İyi tarama alışkanlıkları geliştirin
Normal kullanıcılar için, Ransomware genellikle kaçınmak, daha iyi tarama alışkanlıkları geliştirmek anlamına gelir. Bu esas olarak istenmeyen e-posta eklerini açmamak, yüksek riskli web sitelerine göz atarken reklamlara tıklamamak ve korsanlıktan kaçınmak (özellikle torrentler aracılığıyla) anlamına gelir.
- E-posta ekleri
Tüm e-posta ekleri virüsten koruma yazılımıyla veya VirusTotal açılmadan önce taranmalıdır. VirusTotal ile tarama, onunla ortak olan virüsten koruma programlarından herhangi birinin dosyayı potansiyel olarak kötü amaçlı olarak algılayıp algılamadığını göstereceğinden daha iyi olabilir. Genel olarak, bilinmeyen gönderenlerden gelen e-posta eklerini açmaktan kaçınmalısınız.
Kötü amaçlı yazılım taşıyan kötü amaçlı e-postalar genellikle oldukça geneldir, yani ne arayabileceğinizi bildiğiniz sürece bunları tanımlayabilmelisiniz. Gönderenin e-posta adresi genellikle büyük bir hediyedir, örneğin. Gönderenin rastgele harf ve sayılardan oluşan rastgele bir e-posta adresi varsa veya genellikle profesyonel görünmüyorsa, e-posta ekini açma konusunda çok dikkatli olmalısınız.
Kötü amaçlı olabilecek bir e-postanın fark etmesi kolay bir başka işareti, e-postada ele alınma şeklinizdir. Örneğin, hizmetlerini kullandığınız bir şirket size bir e-posta gönderirse (özellikle genelse), adınız tarafından adresleneceksiniz. Örneğin, bankanız size resmi yazışmalar gönderecekse, size her zaman adınızın bir şekliyle, genellikle soyadınızla hitap ederler. Adı eklemek otomatik olarak yapılır, bu nedenle “Müşteri”, “Üye”, “Kullanıcı” vb. Bu nedenle, eki acilen açmanız gerektiğini iddia eden bir e-posta alırsanız, ancak genel terimler kullanılarak adreslendiyseniz, ekli dosyayı açmaya karar verirseniz ek önlemler alın.
Kötü amaçlı bir e-postanın diğer belirtileri arasında dilbilgisi ve yazım hataları ve sadece kapalı görünen garip ifadeler bulunur.
- Korsan
Korsanlık yoluyla ücretsiz olarak ücretli içerik almayı tercih eden biriyseniz, bir enfeksiyon alma Ransomware pistindesiniz. Aslında birinin sıkı çalışmasını çalmanın ahlaki sorunlarını boş verin, korsanlık kötü amaçlı yazılımlarla karşılaşmanın ne kadar kolay olduğu nedeniyle oldukça cesaretsizdir. Bu özellikle torrentlerde böyledir. Siber suçluların torrent kılığında kötü amaçlı yazılım yükleyerek tam olarak yararlandığı birçok torrent platformu çok kötü düzenlenmiştir. Kötü amaçlı yazılım özellikle popüler filmler, TV dizileri, video oyunları ve yazılımlar için torrentlerde yaygındır. Game of Thrones gibi oldukça popüler şovlar yayınlandığında, bölüm torrentlerinin (özellikle yeni bölümlerin) çoğu kötü amaçlı yazılım içerecektir.