CryptoWall fidye yazılım (kullanıcının programa yeniden giriş yapabilmesi için belirli bir fidye tutarı ödeyene kadar kullanıcının bilgisayarını etkisiz hale getiren yazılım) olarak bilinen bir tür virüstür. CryptoWall daha önce görülen CryptoLocker ismindeki virüs ile aynı kriptolama ve dolandırılıcık mekanizmalarını kullanır.

CryptoWall virüsü ile lokal dosyalar rastgele oluşturulmuş ve enfekte bilgisayar ile bağlantılandırılmış bir 2048-bit RSA anahtar çifti kullanılarak şifrelenir. Public key (açık anahtar) enfekte bilgisayara kopyalanmış durumda olur ancak özel anahtarın (private key) elde edilmesi sadece tanımlanan süre içinde para ödemesi yapılarak mümkün olur. Eğer ödeme yapılmazsa özel anahtarın silineceği ile tehdit edilirsiniz ki bu da kriptolanmış dosyaların açılması için geriye hiç bir yolun kalmaması demektir.

En yaygın virüs taşıyıcıları meşru websitelerindeki virüslü reklamlar üzerinden yapılan drive-by saldırılarına dayalıdır. Bununla birlikte, virüslü uygulamalarının indirilmesi de bilinen bir diğer virüs bulaşma yoludur.

CryptoWall virüsünün bulaşma olasılığını sınırlanması ve önlenmesi için aşağıda sıraladığımız yöntemleri uygulayabilirsiniz:

• Sürekli güncellenen ve aktif tarama yapan bir antivirüs yazılımı kullanın.
• Dosyalarınızı periyodik olarak yedekleyin (ister lokal ister bulutta olsun), böylece herhangi bir bozulma durumunda verileriniz kurtarılabilir.
• Güvenli internet kullanımına özen gösterin. Örneğin, şüpheli websitelerine girmemek, kaynağı belirsiz olan linkleri tıklamamak ya da eposta eklerini açmamak, açık sohbet oturumlarında ve forumlarda kişisel bilgilerinizi vermemek gibi önlemler alabilirsiniz.
• Ad-blocking (reklam engelleme) ve anti-spam filtrelemeyi etkinleştirin.
• Flash’ı sanallaştırın ya da tamamen devre dışı bırakın. Çünkü Flash bir virüs taşıyıcı olarak tekrar tekrar kullanılmaktadır.
• Birlikte çalıştığınız kişileri sosyal mühendislik denemeleri ve eposta hesaplarınız üzerinden yapılabilecek dolandırıcılıklar (örneğin spear-phishing) konusunda eğitin.
• Yazılım kısıtlama ilkelerini etkinleştirin. Yürütülebilirlerin (programi kod, dosya, içerik, vb.) belirli lokasyonlardan bloklanması için sistem yöneticilerinin grup ilke nesnelerini kayıtlayarak uygulamaları gerekmektedir. Bu ise ancak Windows Professional ve Windows Server sürümleri çalışırken başarılabilir. Yazılım kısıtlama ilkeleri (Software Restriction Policies) yerel güvenlik ilkeleri (Local Security Policy) editöründe bulunabilir. Ek kurallar (Additional Rules) altındaki Yeni Yazılım Kısıtlama İlkeleri (New Software Restriction Policies) düğmesini tıkladıktan sonra İzin Verilmeyen Güvenlik Seviyesi (Disallowed Securit Level) ile aşağıdaki Yol Kuralları kullanılmalıdır:

– “%username%\\\\Appdata\\\\Roaming\\\\*.exe”
– “%appdata%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\\\.*exe”
– C:\\\\\\*.exe
– “%temp%\\\\*.exe”
– “%userprofile%\\\\Start Menu\\\\Programs\\\\Startup\\\\*.exe”
– “%userprofile%\\\\*.exe”
– “%username%\\\\Appdata\\\\*.exe”
– “%username%\\\\Appdata\\\\Local\\\\*.exe”
– “%username%\\\\Application Data\\\\*.exe”
– “%username%\\\\Application Data\\\\Microsoft\\\\*.exe”
– “%username%\\\\Local Settings\\\\Application Data\\\\*.exe”

Kaynak: www.bitdefender.com