Bilgisayarınızı fidye yazılımlarından nasıl korursunuz?

Farkında olarak yada olmadan sık sık bilgisayarınıza zarar verebilecek yazılımların saldırılarını uğruyorsunuz. Daha önceki yazılarımızda dile getirdiğimiz üzere en son dönemlerin en çok problem çıkaran sorunlarından birisi olan Cryptlocker olarak adlandırılan fidye yazılımı ile ilgili kendinizi koruyabileceğiniz birkaç ufak bilgi daha sizlerle paylaşmak istedik. Unutup aklımızdan çıkmış olması bu zararlının etrafımızda olmadığı ve zarar vermeyeceği anlamına gelmez. Çünkü yine birkaç gündür zararlı bir e-posta dolaşmaya başladı. Bu nedenle önlemlerimizi sırası ile aşağıya listeleyelim :

1- Çalışma Dosyalarınızı Sürekli Yedekleyin :

Pekçok basit yöntem ile bu işi yapabilirsiniz. Ama en önemli öncelik sizin için önemli dosyaların bilgisayarınızın C:\ sürücüsü yada Masaüstü dışında bir yerde toplanmış olması gerek. El alışkannlığıdır, kolaydır, elinizin altındadır ama masaüstünde topladığınız tüm dosyalar dikkatsiz bir bilgi işlemci yada disk arızası vb. sebeplerle kaybolmaya mahkumdur. O nedenle hiç değilse masaüstüne yaratacağınız diğer disk bölümlerine açmış olduğunuz bir klasörün kısayolu hayat kurtarıcı olabilir.

Dosyalarımızı D:\ sürücümüzde “Calismalar” olarak kaydettik diyelim. Burada başka bir konu devreye girmekte. Şahsi fikir ve görüşüm kesinlikle klasör ve dosya isimlerinizde türkçe karakter kullanmamaya çalışmanız. Oldu da sorun yaşadınız ve dosyalarınızın kurtarılması gerekti. Bazı kurtarma programları fonksiyonel ve çok iyi çalışmakta fakat “Ä, î” gibi karakterlerden olusan bir klasör ismine rastladığında o klasörün içeriği programın arayüzünde açılamamaktadır. Gelelim çalışmamızın devamına; D:\Calismalar klasörümüzün yanında birde D:\YEDEKLER diye klasör açın. Önce de belirttiğim gibi türkçe karakterler ve up uzuuuuuunnn (Fen işleri daire başkanlığına ŞİŞLİ İSTANBUL.docx gibi) dosya isimlerinden kaçarak sizin için önem taşıyan dosyalarınızı kendinize göre bir düzen içerisinde Calismalar klasörüne kopyalayın. Bu arada bahar temizliğimizide yapmış olduk.

Bu aşamadan sonraki kısım biraz zahmetli. O nedenle başka bir yazımızda yedekleme ve güvenlik için gerekli çalışmalarınızı nasıl yapacağınızı anlatacağız. O nedenle şimdilik Dosya Yedekleme Scripti ni sitemizden indirerek yukarıdaki açıkladığımız yapıda kullanabilirsiniz. Kendinize göre düzenlemek için indirdiğiniz dosyaya sağ tıklayarak YEDEKLER, CALISMALAR gibi klasörleri değiştirebilirsiniz. Dosyaya iki kez tıkladığınızda yedekleme işlemi başlatılacaktır. Ayrıca çok fazla yedeklenmiş dosya oluşmaması için başında # işareti bulunan satırı kaldırısanız programı çalıştırdığınızdan 5 günden eski olan yedek dosyaları silinecektir. Biraz daha ileri bir noktaya taşımak için internette küçük bir araştırma ile Görev Zamanlayıcıya dosyanızı ekleyip otomatik yedek alınmasınıda sağlayabilirsiniz.

Bu çalışmaya alternatif pekçok ücretsiz yedekleme yazılımı da bulunmaktadır. http://pcsupport.about.com/od/backup/tp/free-backup-software.htm adresinden bu bilgilere ulaşabilirsiniz.

2- Dosyaların Uzantılarını Göstermeyi Açın:

Fidye yazılımları genellikle e-posta ortamında farklı web sitelerinden farklı uzantılar ile gelmekte ve simgeleri tanıdığınız programların simgelerine benzemektedir. Kötü niyetli bir yazılımın simgesini sıklıkla kullandığınız Word dökümanının simgesine benzetmek çok basittir. Önemli olan simge değil dosyanın uzantısıdır. E-posta ile gelen bir programı tespit etmenin en etkili yolu uzantısına bakmaktır. Örneğin Türk Telekom dan gönderildiğini düşündüğünüz bir fatura bilgisi örneğin “Türk Telekom Ocak 2016 Fatura.pdf” şeklinde olması gerekir iken “Türk Telekom Ocak 2016 Fatura.EXE” olarak gönderilmiş ise her kimden geliyor ise gelsin bu dosyanın yeri çöp tenekesidir. Bunuda anlamak için açacağınız dosyanın üzerinde mouse u kisa bir süre bekletirseniz sol altta dosyanın tam adresi görüntülenecek ve dosya uzantısı dediğimiz .PDF yada .EXE kısmı seçilebiliyor olacaktır.

Olaki bu kısmı atladınız ve e-posta ile gelen bu dosyayı bilgisayarınıza indirdiniz. Bu noktada işletim sisteminizin dosya uzantılarını gösterme özelliği yardımcı olacaktır. Bunuda http://windows.microsoft.com/tr-tr/windows/show-hide-file-name-extensions#show-hide-file-name-extensions=windows-7 adresinden faydalanarak yada basit bir google araması ile “windows 10 dosya uzantılarını gösterm” şeklinde yaparak bulabilirsiniz. Böylece indirmiş olduğunuz dosyanın uzantısı görünür olacaktır. Bu noktada indirdiğiniz dosya faturamı, word yada excel dokümanı mı uzandısı size bilgi verecektir. Uzantısı EXE, VBS, CMD, BAT ise bu dosyalardan şüphelenebilir ve dokunmayabilirsiniz.

“Merak kediyi öldürür” der bir ingiliz atasözü…

3- Yardımcı Yazılım Kullanın : 

Ransomware yazılımların artması ile doğal olarak çözüm çalışmalarıda hız kazandı. Bu alandaki tavsiye edebileceğimiz yeni gelişmelerden bir tanesi ise Cryplocker Prevention Kit olarak duyurulan bir çalışmadır. Eğer bir Cryptlocker saldırısına uradınız ise bu uygulama sayesinde belirli klasörler kilitlenecek, Temp klasörü altından exe dosyaların çalıştırılması engellenecektir. Bu uygulama yeni gelişmelerle güncellenmektedir. Bu nedenle güncellemeleri takip ediyor olmanız da önemlidir.

Her zamanki gibi güncel bir virüs programınız bulunmalı. Çok üstün özellikli olması önemli değil. Hızlı ve güncellenen bir program yeterli olacaktır. Microsoft Deffender windows 10 ile hazır olarak gelmektedir. Genel olarak ta yeterli denecek seviyededir.

İlave olarak ise çok fazla internetten dosya indiriyor programlar deniyor iseniz Malwarebytes sizin için olmazsa olmazlardan olacaktır. Parasını kesinlikle hak etmektedir. Pek çok sorunlu bilgisayarın Malwarebytes taramalarından sonra sorunsuz çalışmaya başladığını görmüş bulunmaktayız.

4- Sistem Geri Yüklemeyi Hazırda Tutun : 

Gerçi yeni nesil ransomware yazılımlar tahmininizden daha fazla akıllı hale geldi ama yinede bir güvenlik noktası daha oluşturmak güvenliğinize bir kale daha kurmaktır. Yeni nesil yazılımlar artik öncelikle sistem geriyüklemelerini shadow copy leri temizliyor. Yinede erken farkedilme durumunda ne kadar hayat kurtarıcı olacağını tahmin bile edemeyeceğiniz bir durumdur. Yöntem basıt. “Sistem geri yükleme noktası oluşturma” kelimeleri ile google da arama yada http://windows.microsoft.com/tr-tr/windows7/create-a-restore-point linkinde yazılı olanları uygulayarak dönem dönem geri yükleme noktası oluşturabilirsiniz. Böylece hiç değilse biz sistem yöneticileri sisteminizi temiz bir tarihe çekerek yıkım öncesi bazı kurtarma işlemleri yapabilme imkanına kavuşabiliriz.

5- Uzak Masaüstü Erişimini Kapatın :

En önemli etkenlerden birisidi uzak masa üstü erişim. Cryptolocker/Filecoder gibi kötü niyetli yazılımlar uzak masaüstü (RDP Remote Desktop Protocol) vasıtası ile kurban bilgisayara ulaşabilmektedirler. Özellikle ofisinizdeki bilgisayarı açık bırakıp ofis dışından 3389 portu aracılığı ile uzak masa üstü bağlantı kurmayı planlıyorsanız YAPMAYIN! İhtiyacınız olmadığı sürece uzak masa üstü bağlantısını özellikle de standart portu olan 3389 portu üzerinden internete AÇMAYIN! Server sistemlerde bu yapı biraz daha güvence altında olmasına rağman Windows 7, 8 , 8.1 ve 10 türü işletim sistemlerinde kesinlikle önemli bir erişim denetimi sorunu yaratmakta ve kötü niyetli programların size ulaşmasını kolaylaştırmaktadır.

Bilgi : 10 seneden fazladır aynı ip üzerinden çalışmakta olan bir sunucumda bir gecede 300.000 civarı farklı ip adresinden bu tip portlara erişim işlemi denenmekte olduğunu tespit ettik. Normal bir ev kullanicisi için bu rakam ortalama 3 ila 1500 civarında olmaktadır. IP adresiniz sabit kaldığı sürece bu rakam katlanarak artmaktadır.

6- Sistem Saatinizi Geriye Almayı Akıl Edin : 

Oldu da yakalandınız ve her ne yaptınız ise bu musibet sizide buldu. Şansınız çok fazla yok. Ellerindeki imkana göre RSA 2048 bit şifreleme ile txt, doc, xls, pdf, jpg, png uzantılı dosyalarınız şifrelenerek içeriği değiştirilmektedir. Bu tip bir şifreleme şehir efsanelerini geçer ise Bitcoin minning için kullanılan margarin paketinden biraz daha büyük kendi mini ama işlem gücü çok yüksek olan cihazlar ile birkaç gün ile birkaç hafta arasında kırılabildiği iddia edilmektedir ki yakın dönemde FBI ve Apple arasındaki soruna neden olan şifreli veri krizi 2 hafta da bu tarz şifreli verinin kırılması ile çözülmüştür.

Bu durumda yapılabilecek en akıllıca şeylerden birtanesi zaman kazanmaktır. Bu tip fidye yazılımları sistem saatini baz alarak 72 saatlik bir sürece girerler ve bu süre içerisinde ödeme yapmadınız ise ya katlanarak fiyatı arttırırlar yada tamamen geri getirilemez hale gelecek şekilde RSA şifreleme için kullanılan Private Key i yok etmektedirler. O nedenle bilgisayarınızın BIOS saatini daha önceki bir güne almak size çalışma yapabilmek, hasar tespiti ve belkide yedeklerden geri dönebilmek için zaman kazandırır. Ama dikkat edilmesi gerekli bir nokta da sistem geri yüklemeleriniz düzenli yapılıyor ve zarar görmeden farkettiniz ise aceleci davranıp sistem saatini değiştirerek geri yükleme noktasını kaçırmamanız.

Sonuç olarak verileriniz çok önemli ise lütfen bizlerden destek alınız. Herşey herkes için para demek değildir. Bizim önereceğimiz “Şunu yapabilirsiniz” cümlesi bile belkide hayatınızı kurtarabilecek bir fayda sağlayabilir. En son ama son çare olarak bu fidyeyi ödemeyi kabul edebilirsiniz. Ama bu ödeme sonucunda bütün şifrelenen verileriniz geri gelecek diye bir garanti bulunmamaktadır! Bu durumu yaşayan 10 kişiden 7 sinde jpg ve png uzantılı hiçbir dosya halen açılamamaktadır. Kimi müşterimiz kendi imkanları ile halen sonuçlar aramaktadır.

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir