Fidye Yazılımı (Ransomware) Bilgilendirmesi

Son zamanlarda ülkemizde de etkili olan fidye yazılımı (Ransomware) türü güçlenerek geri dönmüştür. Bu zararlı yazılımdan korunmak için sistemlerinizi mutlaka güncel tutmanız, güvenlik yazılımı kullanmanız ve sahte e-posta ve eklerine (özellikle bazı firmaların adları kullanılarak sizlere iletilen ekli sahte fatura e-postaları) maksimum ölçüde dikkat etmeniz gerekmektedir. Sunucularınızın ise yedeklendiğinden ve bir firewall cihazı arkasında çalıştığından emin olmalısınız.

Ransomware Nedir?

Ransomware sisteminizi ve verilerinizi şifreleyerek saldırının arkasında bulunan siber suçlulara bir fidye bedeli ödemeden bu verilere erişiminizi engelleyen bir çeşit zararlı yazılım. Kısaca verileriniz rehin tutuluyor ve serbest bırakılmaları için fidye ödemeniz gerekiyor. Bu yüzden böyle zararlıların genel adına Ransom-ware (Fidye yazılımı) diyoruz.

Ransomware'in Ortak Türleri

Bad Rabbit : Rusya ve Doğu Avrupa'daki organizasyonlara bulaşan bir fidye yazılımıdır. Zararlı yazılım, web sitelerinden sahte bir Adobe Flash güncellemesi ile yayılır ve bir makineye bulaşır, kullanıcılar.05 bit coin (yaklaşık $ 285) talep eden bir ödeme sayfasına yönlendirilir.

Cerber : Zararlı yazılım, bulut tabanlı Office 365 kullanıcılarını hedef alır. Milyonlarca kullanıcıyı kapsamlı bir kimlik avı kampanyası kullanarak etkilemiştir.

Crysis : Bu tür fidye yazılımları, sabit, çıkarılabilir ve ağ sürücülerindeki dosyaları şifreler ve güçlü şifreleme algoritmaları vardır.

CryptoLocker : Zararlı yazılım, son yirmi yıldır farklı biçimlerde ortaya çıkmış ve  hackerlar kurbanlardan yaklaşık 3 milyon dolar civarında bir para almışlardır. Yazılım genellikle sahte, istenmeyen e-posta yolu ile bulaşmaktadır.

CryptoWall: Zararlı yazılım orijinal CryptoLocker'ın çöküşünden sonra ilk kez 2014 yılının başında ortaya çıkmıştır ve CryptoBit, CryptoDefense, CryptoWall 2.0 ve CryptoWall 3.0 gibi çeşitli isimlerle de bilinmektedir. CryptoLocker gibi, CryptoWall da istenmeyen, sahte e-posta yoluyla bulaşır.

Crysis: Crysis Zararlı yazılım, sabit, çıkarılabilir ve ağ sürücüleri üzerindeki dosyaları, güçlü bir şifreleme algoritması ile şifreler. Genellikle ek içeren sahte e-postalarla yayılır ve bu dosya, yürütülebilir olmayan bir dosya gibi görünür.

GoldenEye: Hackerlar, insan kaynakları departmanlarını hedef alan büyük bir kampanyayla GoldenEye ürün yazılımı yaymaktadır. Dosya indirildikten sonra, bilgisayardaki dosyaları şifreleyen bir makro başlatılır. Şifrelediği her dosya için, GoldenEye sonunda bir rastgele 8 karakterli uzantı ekler.

Jigsaw : Zararlı yazılım, fidye ödenene kadar dosyaları şifreler ve kademeli olarak siler. Yazılım, ilk saatten sonra tek bir dosyayı siler, daha sonra kalan tüm dosyaları silmeye başlar.

KeRanger : Fidye yazılımı, popüler bir BitTorrent istemcisinde keşfedilmiştir. KeRanger yaygın olarak dağıtılmıyor, ancak Mac OS X uygulamalarını kilitleyen ilk tam işlevli fidye yazılımıdır.

LeChiffre : Fransızca’ da "şifreleme" anlamına gelen "Le Chiffre", diğer türevlerinden farklı olarak, bilgisayar korsanlarının yazılımı el ile çalıştırmaları gerekir. Hackerlar, kötü korunan uzak masaüstleri aramak için ağları otomatik olarak tarar, uzaktan oturum açarlar ve yazılımı elle çalıştırırlar.

Locky : Kötü amaçlı yazılım, bir fatura gibi gizlenmiş e-posta yoluyla yayılır. Açıldığında, fatura karışıktır ve makrolar etkinleştirildiğinde Locky, AES şifrelemesi kullanarak çok sayıda dosya türünü şifrelemeye başlar.

NotPetya : NotPetya'yı 2016 yılında ilk kez görülen bir fidye yazılımının bir türü olan Petya'nın bir varyantı olarak kategorize edilmiştir ancak araştırmacılar şimdi NotPetya'nın, fidye almak yerine yalnızca veriyi yok etmek amacı olan zararlı yazılım olduğuna inanıyorlar.

Petya: Bazı başka tür fidye yazılımlarının aksine, Petya tüm bilgisayar sistemlerini şifreler.

Spider : Avrupa genelinde sahte, istenmeyen e-postaları yoluyla yayılan bir zararlı yazılımdır. Yazılım Word belgesinde gizlenmiştir, kötü amaçlı makrolar içerir. Bu makrolar yürütüldüğünde, fidye yazılımı kurbanının verilerini şifrelemeye başlar.

TeslaCrypt: Yeni bir fidye yazılımının türüdür. Buradaki diğer örneklerin çoğunda olduğu gibi, dosyaları şifrelemek için bir AES algoritması kullanır. Genellikle Adobe güvenlik açıklarına saldıran Angler exploit kiti vasıtasıyla dağıtılır. Bir güvenlik açığı algılanırsa, TeslaCrypt kendisini Microsoft geçici klasörüne yükler.

TorrentLocker: TorrentLocker genellikle istenmeyen e-posta kampanyaları yoluyla dağıtılır. TorrentLocker'a genellikle CryptoLocker denir ve dosya türlerini şifrelemek için bir AES algoritması kullanır. Dosyaları kodlamanın yanı sıra, zararlı yazılımları başlangıçta virüs bulaşmış bilgisayarın ötesine yaymak için kurbanın adres defterinden e-posta adresleri de toplar.

WannaCry: WannaCry, tüm dünyadaki kuruluşları etkileyen yaygın bir fidye yazılımıdır. 150'den fazla ülkede 125.000'den fazla kuruluşu etkilemiştir. Yazılım WCry veya WanaCrypt0r olarak da bilinir ve şu anda Windows makinelerini EternalBlue olarak bilinen bir Microsoft exploit'iyle etkiler.

ZCryptor: ZCryptor, solucan benzeri davranış sergileyen, dosyaları şifreleyen ve ayrıca harici sürücülere ve flash sürücülere bulaşarak ve kendini diğer bilgisayarlara dağıtılabilen zararlı yazılım türüdür.

Değerli Kullanıcılarımız,

25.12.2017 tarihinde, DorukNet sunucuları üzerinde SSL sertifikası güncelleme çalışması yapılmıştır.

İstemcilerin e-posta hesap ayarlarında Android işletim sisteminde SSL desteği varsayılan olarak kapalı durumda gelmektedir. Apple - IOS işletim sistemli cihazlarda ise varsayılan olarak SSL aktif gelmektedir.

Sunucularımız üzerinde SSL sertifikası güncellenmiştir. E-posta ayarlarınızda sorun yaşıyorsanız;

-SSL aktif olan IOS hesap ayarlarında istemci bazında bir önceki sertifika bilgileri aktif olduğu için gelen uyarı ekranında sertifikayı güvenilir olarak işaretleyerek "Sürdür" diyerek devam edebilirsiniz ya da SSL durumunu pasife çekerek kullanabilirsiniz.

-SSL desteği ile kullanmak isterseniz hesabınızı kaldırıp yeniden kurabilirsiniz.

-SSL ayarını pasif duruma getirebilmek için aşağıdaki adımları izleyerek mail istemcisi üzerinde ayarlarınızı düzenleyebilirsiniz.

-IOS versiyonunuzu güncelleyebilirsiniz.

Iphone üzerinde ayarlar - POP için

Ayarlar -> Mail, Kişileri Takvimler - > 'Mail adresinizi seçiniz' -> İleri Düzey - > Gelen Posta Ayarları '' SSL Kullan '' pasif çekilmelidir. -> Sunucu kapısı - '110'

Iphone üzerinde ayarlar - IMAP için

Ayarlar -> Mail, Kişileri Takvimler - > 'Mail adresinizi seçiniz' -> İleri Düzey - > Gelen Posta Ayarları '' SSL Kullan '' pasif çekilmelidir. -> Sunucu kapısı - '143'

Iphone üzerinde ayarlar - SMTP için

Ayarlar -> Mail, Kişileri Takvimler - > 'Mail adresinizi seçiniz' - > Giden Posta Ayarları - > Birincil Sunucu -> '' SSL Kullan '' pasif çekilmelidir. -> Sunucu kapısı - '587'

Bilgilerinize sunarız.

Saygılarımızla,

DorukNet

Değerli Kullanıcılarımız,

25.12.2017 tarihinde, DorukNet sunucuları üzerinde SSL sertifikası güncelleme çalışması yapılacaktır. SSL sertifikasını güncellediğimizde e-posta istemcilerinizde (Outlook, Apple Mail, Thunderbird gibi mail programları veya iOS ve Andorid gibi telefonlar üzerinde kullanılan e-posta programları vb. ) sertifika sunucu kimliği ile ilgili bir uyarı alabilirsiniz. Uyarıya  “Sürdür” seçeneği seçilerek devam edilmesi durumunda hata almadan e-postalarınıza ulaşabilirsiniz. “Ayrıntılar” seçeneği seçmeniz durumunda ise sertifika bilgilerini görebilirsiniz, “Vazgeç” seçeneği seçmeniz durumunda ise istemciniz tekrar aynı soruyu soracaktır.

“Sürdür” seçeneğini seçerek işleminize devam etmenizi önemle rica ederiz.

Bilgilerinize sunarız.

Saygılarımızla,

DorukNet

Değerli Müşterimiz,

20.10.2017 tarihinde "vCloud Panel Girişinde Yaşanan Sorun Hakkında" konu başlıklı bilgilendirme duyurumuza istinaden süregelen bir gelişmeyi sizlerle paylaşmak isteriz.

Flash Player yeni bir update (sürüm 27.0.0.183) çıkarmış olup bu update ile birlikte vCloud paneline erişim problemi düzelmiştir. Eski sürüm Flash Player uygulamalarında açıklar olabileceği için aşağıda paylaştığımız linkten eski sürümü kaldırdıktan sonra yeni sürüm Flash Player uygulamasını yükleyebilirsiniz.

https://get.adobe.com/tr/flashplayer/

*Güvenilir olmayan sitelerden Flash Player uygulaması ile ilgili güncelleme yapmamanızı önemle rica ederiz.

Bilgilerinize sunarız.

Saygılarımızla,

DorukNet

Değerli Müşterimiz,

Flash Player’ın son güncellemesinden sonra VMware Vdirector paneline giriş yapılamamaktadır. Bu nedenle VMware bir KB yayınlamıştır.

Tüm işletim sistemlerinde yapılması gereken işlemler aşağıdaki linkte bilginize sunulmuştur:

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2151945

Tarafınızdan yapılması gereken adımlar aşağıdaki gibidir;

400MB boyutundaki ilgili dosya indirilir. (Dosya içerisinde Windows, Linux … vb. için Flash Player eski versiyon install dosyaları mevcuttur.)

*Firefox için öncelikle bilgisayarınızda bulunan Flash Player’ı uninstall edilir akabinde indirdiğimiz dosyadan çıkan Flash Player eski versiyon kurulumu yapılır ve Flash Player güncellemeleri disable edilir.

*Chrome için ise aşağıdaki dizinde bulunan pepflashplayer.dll dosyası, indirdiğiniz dosyadan çıkan 2151945_pepflashplayer.7z içerisindeki pepflashplayer.dll dosyası ile değiştirilir.

C:\Users\USER-ADI\AppData\Local\Google\Chrome\User Data\PepperFlash\27.0.0.170

Not: Webkontrol Panel (https://webkontrol.doruk.net.tr/cp ) girişi etkilenmediğinden paylaşımlı sunucularımızda barındırma (hosting) hizmeti kullanan müşterilerimizin aksiyon almasına ihtiyaç bulunmamaktadır.

Bilgilerinize sunarız.

Saygılarımızla,

DorukNet

Değerli Kullanıcılarımız,

Türkiye genelinde zaman zaman virüslü ve spam olan e-postalar artış göstermektedir ve oltalama olarak adlandırılan e-posta türlerinin engellenmesi  sonuç  odaklı bir yaklaşım olmayabilirken  kullanıcıların dikkat etmesi de önem kazanmaktadır.

Özellikle kişisel bilgi talebi veya faturalar ile ilgili olarak ödeme talebinde bulunulan e-postalara kesinlikle itibar etmeyiniz. Bu tipteki sahte e-postalar aracılığı ile toplanan bilgiler, dolandırıcılık amacıyla kullanılabilmekte ya da e-postalardaki linklere tıklanması yoluyla zararlı yazılımların kullanmış olduğunuz cihazınıza yüklenmesi sağlanabilmektedir. Güvenliğiniz için, kredi kartı bilgilerinizi ve/veya size özel olduğunu düşündüğünüz herhangi bir bilgiyi e-posta yoluyla cevaplamayınız ve e-posta içerisinde yer alabilecek, doğruluğundan emin olmadığınız linklere tıklamayınız.

Virüslü ve Spam E-Postalar Hakkında Genel Bilgilendirme;

Oltalama amaçlı e-posta gönderimleri son zamanlarda oldukça artmıştır. Gönderen e-posta adresinden veya e-posta içeriğindeki tıklanması beklenen linklerin yönleneceği adreslerden oltalama olduğunu rahatlıkla anlayabilirsiniz. Mouse/Fare imlecini ilgili linkin üzerine getirip tıklamadan beklediğinizde gerçek link adresi gözükmektedir. Bu tip e-postaların içeriğini tıklamadan veya  ekin de ki dosyaları açmadan silmenizi önemle hatırlatırız. Aksi takdirde size de virüs bulaşabilir, çeşitli etkileri olabileceği gibi sizin adınıza da oltalama e-postası göndermeye başlayabilir.

Fidye Virüsleri ise, e-posta ile kullanıcılara ulaşabilmekte ve bulaştığı sistemler/bilgisayarlar üzerinde dosyalara erişimi engelleyerek/şifreleyerek kullanıcılardan fidye talep etmektedir. 2007 yılında ortaya çıkan bu virüsler, 2015 yılı itibariyle oldukça yaygınlaşmıştır ve son zamanlarda bu tür e-postalarda artış olduğu görülmektedir.

Korunmak için neler yapılabilir;

En önemlisi kullanıcılar daha fazla bilinçlenmelidir.

Kullanılan işletim sistemi, antivirüs ve antispam gibi sistemlerin güncelliği sağlanmalıdır.

Sizin için önemli olan dosya ya da sistemlerin yedeği mutlaka alınmalıdır.

E-postaların gerçek mi sahte mi olduğu kontrol edilmeli ve içeriğinde bulunan link veya dosyalar güvenilirliğinden emin olmadan açılmamalıdır.

Bilgilerinize sunarız.

Saygılarımızla,

DorukNet