TeslaCrypt – Cryptowall – Cryptolocker Analiz ve Korunma

Ransomware, yani dosyalarınızı şifreleyerek sizden yüklü miktarda para talep eden kötü niyetli fidye yazılımları. ( Cryptolocker, Cryptowall, TeslaCrypt, AxCrypt ve daha nicesi )
Ben bunu virüs değil, fidye yazılımı olarak tanımlıyorum. Zira bu yazılımlar cihazlarınızın çalışma prensibine zarar vermiyor.  Herhangi bir veri trafiği, ya da istemci/sunucu mantığı ile çalışan herhangi bir arka kapı da bırakmıyor.
Yaptığı iş özetle, yazılım çalıştırıldığında
AES-256 standardı kullanılarak dosyalarınız şifrelenir ve dosyalarınızı şifreleyen şifre ayrıca şifrelenerek uzak bir veritabanına gönderilir.

Belki başlangıçta AES-256 standardından bahsetmek gerekir.
AES-256 uluslararası alanda şifreleme standardı olarak kabul edilen bir şifreleme algoritmasıdır ve bu algoritma değiştirme-karıştırma temeline dayanır.
256 bit uzunluğunda şifrelemeye olanak verir.

Yukarıda anahtar uzunluğu ile bu anahtarların kaç adet formülasyon barındırabileceğinin tablosu bulunmaktadır.

Buradan hareketle;
TeslaCrypt – Cryptowall – Cryptolocker  Yazılımlarının Yetenekleri :
+ Cihazınız üzerinde çalışan özel servisleri durdurabilir ( yönetici yetkisi varsa )

wscsvcWinDefendwuauservBITSERSvcWerSvc

+ Geri yükleme noktalarınızı ve gölge kopyalarınızı silebilir. ( yönetici yetkisi varsa)
• vssadmin.exe Delete Shadows /All /Quiet
+ Ağ sürücüsü olarak tanımlanan disklerdeki verileri şifreleyebilir.
+ Windows hata kurtarma ekranlarını deaktif hale getirebilir.

bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

Yapamadıkları :
+ Yazılım tekrar başlatılmadığı sürece, sadece 1 kez çalışır.
+ Kendisini kopyalama ve ağdaki diğer cihazlara bulaşma özelliği bulunmamaktadır.

Bulaşma Yöntemleri :
Genel olarak oltalama (phishing) olarak adlandırdığımız yöntemlerle bulaştığı görülür.
Sosyal mühendislik yöntemleri ile mail ile bir e-fatura gibi ya da bir kargo bildirimi gibi gelebilir.
Buna karşın son zamanlarda web ortamından da bulaştığı görülmektedir. Ayrıca, zombi bilgisayar olarak bildiğimiz  ve hergün iletişimde olduğunuz kişi ve kurumlardan da gelebilir.

Mail ile gelen iki oltalama örneği :

Eğer yukarıdaki gibi bir mail ile gelen linke tıklayıp yazılımı indirilip çalıştırılırsa şifreleme işlemi başlatılır ve dosyalar AES-256 standardına göre şifrelenmeye devam eder.
Şifreleme sürerken fark edip sistemin kapatılması halinde işlem durur ve yeniden başladığında şifreleme kaldığı yerden devam etmez.

Şifreleme işlemi tamamlandığında aşağıdaki ekran görüntüleri verilmiş notlar bırakılır.
( ŞİFRE_ÇÖZME_TALİMATI , HELP_DECRYPT, RECOVERY_INSRUCTİON gibi)


Bahsetiğimiz yazılımların farklı varyantlarında daha talimatlar ve daha farklı talimat ekran görüntüleri bulunmaktadır.

 

Hedeflenen dosya uzantıları şöyledir :

Şifrelemenin incelenmesi :
Şifreleme başladığında öncelikle cihazı kimliklendirmek için makine hakkında bilgi toplanır.
İşlemcisi, ram’i vs…

Cihaz bilgisinin HASH hali :


Malware öncelikle daha önce sisteme enjekte olmuş bir yazılım var mı diye kontrol eder, eğer sisteme enjekte olmuş bir yazılım yok ise,
explorer.exe örneği oluşturarak kendini enjekte etmeye başlar. Malware ayrıca svchost örneği de oluşturur.
Daha sonra şifrelenmiş şifre, Command and Control Server ‘a kurbanın id/password ve public key bilgisiyle gönderilir.
C&C Sunucu ( uzak sunucu ) ile istemci arasındaki tüm veri trafiği encrypted olarak gider ve gelir.

Yazılım ;
%Temp%
C:\<random>\<random>.exe
%AppData%
%LocalAppData%
%ProgramData%
Altından çalışır ve aşağıdaki  registry düzenlemelerini yapar;

HKCU\Software\<unique computer id>\<random id>
HKCL\software\Microsoft\Windows\Currentversion\Run

Korunma Yolları :
Bu ve bunun gibi yazılımlarla mücadele etmek, öncelikle kullanıcıyı bilinçlendirmekten geçtiği düşünülse de, eğer iş kullanıcıya bırakılırsa yazılımı sadece merakından dolayı dahi çalıştıracağı açık.
O halde;
Sistemi yöneticileri bu yazılımları kullanıcıya ulaşmadan engellemelidirler.

Öncelikle suyu kaynağında kurutmak gerekli;
+ Mail sistemlerini korumak
+ İnternet erişimini korumak
+ Sunucu servislerini korumak
+ Kullanıcı cihazlarını korumak

1- Mailler temiz ip ve temiz domainlerden geldiği için mail sisteminin bulunduğu altyapı önemlidir. Bu anlamda , Office 365 önerimdir.
İlgili bilgi : http://www.cozumpark.com/forums/thread/472471.aspx
2- İnternetten dosya indirmeyi denetleyebilirsiniz ( exe yasaklama, zip yasaklama gibi)
3- Sunucuların kesinlikle dış ip’si ile RDP bağlantısına açılmaması gerekir. ERP veya muhasebe yazılımlarının bulunduğu klasör ile veritabanı klasörü mümkünse ayrılmalıdır ve gerekirse bu tarz uygulamaların veritabanı klasörlerine kullanıcı erişimleri sınırlandırılmalıdır.Ayrıca Ağ Sürücüsü olarak değil de, dosya sunucularınızdaki klasörler “kısayol” olarak tanımlanmalıdır.
4- İstemci tarafında şifrelemeyi durduran yazılımlar kullanılmalıdır.
CryptoMonitor
CryptoPrevent
gibi…

Ayrıca, GPO ile zararlı yazılımın çalıştığı klasörlerin uygulama çalıştırma izinleri yasaklanmalıdır.
Software Restriction Policy  : http://www.cozumpark.com/blogs/windows_server/archive/2008/04/28/software-restriction-policy.aspx

Yasaklanması gereken yollar ( path rule ):

Umarım faydalı bir makale olmuştur.

 

Exit mobile version