CryptoLocker ilk kez 2013 yılında ortaya çıkmış “sofistike” bir malware (kötü amaçlı yazılım). CryptoLocker, RSA-2048 public key (genel anahtar) kullanarak Windows işletim sisteminin içerdiği tüm dosyaları şifreleyerek saldırmak üzere tasarlanmıştır.
Bu dosyaların şifresinin çözülmesi için kullanıcı fidye (genellikle 300 USD/ EUR ya da 2 BitCoin) ödemek zorunda bırakılır.
Bitdefender bilgisayara yüklendiği andan itibaren CryptoLocker’ı tespit eder ve bloklar. Bu nedenle Bitdefender kullanıcıları güvendedir. CryptoLocker ile ilgili daha detaylı bilgi sahibi olmak için Bitdefender Laboratuarları’nın analizini sizlerle paylaşıyoruz.
Bitdefender antimalware araştırmacısı Octavian Minea CryptoLocker fidye yazılımının iç yapısı ve çalışma detaylarını şöyle açıklıyor:
CryptoLocker fidye yazılımı bir Zbot değişkeni tarafından yüklenir; çalıştırılmasının hemen ardından kendini rastgele bir isimle Startup’a ekler ve 192 byte’lık bir şifrelenmiş form göndererek komut ve kontrol sunucusu olarak konuşmaya çalışır:
“version=1&id=1&name={COMPUTER_NAME}&group={GROUP_NAME}&lid={LOCATION_ID}”
{GROUP_NAME} kötü amaçlı yazılımın derleme süresi olarak düşünülebilir ve {LOCATION_ID} için örnek olarak da “en-US” verilebilir.
Komut eğer başarılı olursa, sunucudan bir genel anahtar (yeni oluşturulmuş) ve buna karşılık gelen bir Bitcoin adresi alır. Bunlar da formun PublicKey, VersionInfo, Wallpaper değerlerini içeren kayıt anahtarları olarak kayıt’a eklenir:
HKEY_CURRENT_USER\Software\Cryptolocker_NUMBER\
PublicKey genel anahtarı, VersionInfo da Bitcoin ve komut/kontrol sunucu adreslerini şifrelenmiş formda saklar. Wallpaper ise geçerli bir wallpaper yolunu (path) içerir ki bu geçerli yol kurbanın kendi ekranıdır. Ekranda fidye yazılımın kurbana yönelttiği talimatlar görüntülenir:
Bu aşamada, Cryptolocker aşağıdaki formatlardaki dokümanları şifrelemeye başlar:
*.odt *.ods *.odp *.odm *.odc *.odb *.doc *.docx *.docm *.wps *.xls *.xlsx *.xlsm *.xlsb *.xlk *.ppt *.pptx *.pptm
*.mdb *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.rtf *.wb2 *.pdf *.mdf *.dbf *.psd *.pdd *.eps *.ai
*.indd *.cdr????????.jpg????????.jpeimg_*.jpg *.dng *.3fr *.arw *.srf *.sr2 *.bay *.crw *.cr2 *.dcr *.kdc *.erf *.mef
*.mrw *.nef *.nrw *.orf *.raf *.raw *.rwl *.rw2 *.r3d *.ptx *.pef *.srw *.x3f *.der *.cer *.crt *.pem *.pfx *.p12 *.p7b *.p7c
Şifrelenecek her dosya için bir AES (Advanced Encryption Standard; Gelişmiş Şifreleme Standardı) anahtarı oluşturulur. Sonra dosyaya AES şifreleme yapılır ve AES anahtarı da public key (genel anahtar) kullanılarak şifrelenir. Şifrelenen AES anahtarı şifrelenmiş dosyaya eklenir.
Bu dokümanlara giden yol (path)
HKEY_CURRENT_USER\Software\Cryptolocker\Files\ konumunda
C:?DIR?SUBDIR?SUBDIR?readme.doc çeşidinde bir isimle ve DWORD değerli olarak kayıtlıdır.
Fidye ödemesi genellikle Bitcoin ile gerçekleştirilmekle beraber CryptoLocker’ın bazı versiyonları Ukash, CashU gibi ön ödemeli kartlar ile de yapılıyor. Kurban fidyeyi ödedikten sonra söylendiğine göre işlemin ID’si (kimliği) doğrulama için ilgili bölüme giriliyor. Eğer sunucudan bir private key (özel anahtar) gönderilirse bu da kayda ekleniyor ve şifre çözme işlemi başlıyor. Eğer herhangi bir şifrelenmiş dosya erişilemez durumdaysa, bir Hata Diyalog’u açıldıktan sonra bu dosyalar şifre çözme sırasının sonuna taşınıyorlar. Hata diyalogunda ise şöyle bir ileti oluyor:
<<Failed to decrypt a previously encrypted file {FILE_PATH} Perhaps the file may be damaged or used by another process>>
Ayrıca <<Retry>> (yeniden dene ) ve <<Cancel>> (iptal et) düğmeleri de bulunuyor. Buna ek olarak kurbana bir talimat “If part of the files had not been decrypted – move them to the desktop and click Retry button” daha verilerek şifresi henüz çözülmemiş dosyalar varsa bunları masaüstüne taşıması ve “yeniden dene” düğmesini tıklaması söyleniyor.
Şifre çözme sona erdiğinde CryptoLocker dosyaları siliniyor ama, kayıt girişleri saklanıyor. Bitdefender bilgisayarınıza kurulduğu anda CyptoLocker’ı tespit edip bloklayan bir çözümdür ve Bitdefender kullanıcıları koruma altındadır. Cryptolocker bloklama aracı için Bitdefender Labs sayfasını ziyaret ederek bu yazının İngilizce versiyonunda yer alan “Cryptolocker-blocking tool”’u inceleyebilirsiniz.
Güncel haberlerimizden ve kampanyalarımızdan haberdar olun.
Hilal Mh. Cezayir Cd. No:15/A Çankaya Ankara / Türkiye
0312 472 22 33 | 0850 303 VRYM
0850 200 21 76
Cevdet KAYMAZ
Atatürk Bul. Hacı Hanife İş Merkezi No: 120/12 Odunpazarı Eskişehir / Türkiye
Burhan KAYMAZ
Seğmenler Vergi Dairesi - 924 047 65 78
321915
2/2307
Bilgi Teknolojileri ve İletişim Kurumu