18 January 2017

Şirketimi Cryptolocker’dan Nasıl Koruyabilirim?

by selin in blog 0 comments

Bu yazımızda, sizlerle, son yıllarda IT yöneticilerinin korkulu rüyası hâline gelen ve küçükten büyüğe tüm şirketler için ciddi tehditler yaratan cryptolocker ve buna karşı alınabilecek tedbirleri paylaşacağız.

Birçok kurumsal şirketin,  hackerlara para ödemek zorunda kaldığını ancak genel olarak bunu, dışarıda kimseye anlatamadığı bir virüsten bahsediyoruz. Bahsettiğimiz kişiler, gerçekten bu işi hobi olarak gerçekleştiriyorsa pek büyük bir problem yok. Böyle durumlarda,  300 USD’lik bir fidye ile decryption keysatın alınabiliyor. Ancak son dönemlerde bu iş, çok daha profesyoneller tarafından yürütülüp hedef gözetilerek saldırılar gerçekleştiriliyor. Böylelikle şirkette kullanılan Anti-Virüs uygulamaları ile Sand-Box tipi cihazlar devre dışı bırakılıp çok daha yüksek fidyeler talep edilebiliyor.

Cryptolocker Nedir?

Cryptolocker, bir kullanıcının bilgisayarına bulaştıktan sonra sistemde bulunan dosyaları encrypt edip decryption için gerekli olan key’i fidye karşılığında satmak amacı ile oluşturulan bir virüs tipidir. Kullanıcı sistemine girdiği zaman saatte 5-10 GB boyutundaki dosyayı encrypt edebilme kabiliyetine sahip olan bu virüs, sistemde ne kadar uzun süre kalırsa hem sistem dosyalarını hem de sistemin network üzerinde erişebildiği yerleri encrypt edebiliyor. Ve maalesef kullanıcının kullandığı PC ne kadar hızlı ve güncel ise virüsün zarar verebilme potansiyeli de o kadar yükseliyor.

Bu tehdit, aslında son derece basit bir malware’dir. Virüsün sistemden temizlenmesi, en fazla 10-15 dakika sürüyor ancak encrypt ettiği dosyalara ulaşmak oldukça külfetli. Virüs’ün ilk versiyonlarında belli algoritmalar kullanılarak decryption işlemi yapılabilmekteydi ancak bugün 250’nin üzerinde versiyonunun olduğu düşünüldüğünde  decryption işlemi neredeyse imkânsız hale geldi. Dolayısıyla genel olarak yapılan işlem, fidyenin ödenmesi ya da dosyalardan vazgeçilmesidir.

Nasıl Tedbir Alabilirim?

Bilgilendirme

En öncelikli tedbir kullanıcıların bilinçlendirilmesidir. IT birimleri; bu virüsün “E-fatura, kargonuz yönlendirildi” gibi mailler yolu ile bulaştığını kullanıcılara periyodik olarak bildirmelidirler. Zaman zaman örnekleri ekran alıntıları ile göstermelidirler. Unutulmamalıdır ki bu virüs, genel olarak teknoloji kullanımı konusunda yeterli bilgi sahibi olmayan bilinçsiz kullanıcılar sayesinde sisteme sızabiliyor.

Anti-Virüs Uygulamaları

Eğer virüsün eski versiyonları ile karşı karşıya iseniz, tedbir almak oldukça kolay. Zira kurumsal Anti-Virüs uygulamanız virüsün signature’ından sisteme bulaşmasını engelleyecektir.

Anti-Spam Uygulamaları

Kurumsal Mail Server’ınızı koruyan bir Anti-Spam veya güncel adıyla mail security uygulamanız varsa kurumsal mailleriniz belli bir seviyede güvenli demektir. Ancak virüs çoğunlukla kurumsal mailler ile değil, Gmail, Hotmail gibi kişilerin özel mail adresleri ile bulaşıyor. Ayrıca bu tip bir koruma ancak bilinen bir virüs versiyonuna karşı koruyabilir. Daha önce belirttiğimiz gibi gün geçtikçe virüs, yeni versiyonlar kazanıyor.

SandBox Uygulamaları

Virüsün yeni bir versiyonu ile saldırı gerçekleştirildiğinde SandBox uygulamaları, oldukça önemli bir koruma kalkanı sağlar. Zira SandBox, şirkete giren yeni bir executable dosyayı kendi içindeki sanal sistemlerde öncelikle test edip virüs tipi, kendini kopyalayarak çoğalan, registry’de şüpheli değişiklikler yapan uygulamaları tespit ederek şirkete girmesini engelleyebiliyor. Kurumsal mail ile ilgili korumaları Anti-Spam ile birlikte çok daha güvenilir hale getirip web üzerinden gelebilecek virüsleri de gerek proxy modunda gerekse de endpoint ve entegrasyon ile önleyebiliyor. Ancak oldukça pahalı bir çözüm olmasının yanı sıra profesyonel olarak cryptolocker’dan para kazanan insanlar da çok çeşitli sandboxlar ile kendi virüslerini test edip, sandbox’tan geçebilen versiyonlar üzerinde çalışıyorlar.

White Listing Çözümleri

Hemen hemen tüm antivirüs, antispam uygulamaları Black-Listing mantığı ile çalışır. Yani bilinen virüs signature’ları ile bilinen spammer adresleri kara listeye alınır ve bu mantık ile çalışır. Bu çalışma tekniği Zero-Day Attack denilen hedef gözeterek şirketinize yapılan saldırılar için çözüm sağlayamıyor. Bu sebeple özellikle veri güvenliğinin son derece kritik olduğu kamu ve finans sektöründe yer alan firmalarda White-listing çözümleri kullanılmaya başlanmıştır. Temelde White-listing, kullanıcının çalıştırabileceği tüm executable dosyalar için sistem yöneticisinin izinleri düzenlemesi işlemini yapar, bir başka deyişle kullanıcı bilgisayarında IT ekibinin izin verdiği uygulamalar dışında herhangi bir dosyayı çalıştıramaz. Herhangi bir dosya çalıştırılacağı zaman dosyanın hash’i merkezî yönetim birimine gönderilerek otomatik olarak onay alınıp çalıştırılır. Yetkilendirilen uygulamalar, sistem yöneticisi tarafından denenerek sistemin otomatik olarak onaylaması için kayıt altına alınır. Ancak çözümün uygulanabilmesi, kullanıcı tarafında disiplin; IT tarafında ise ek iş yükü anlamına gelir. Mevcut çözümler içinde Cryptolocker tipi malware’lara engel olabilecek en düzgün çözümdür.

Yedekleme

Her ne kadar kullanıcı bilgisayarlarında kritik verinin bulunmaması, IT ekipleri tarafından tavsiye edilse de, bu hiç gerçekçi bir yaklaşım değildir. Gerçek hayatta IT ekipleri dâhil herkes kritik verisini kendi bilgisayarında saklıyor. Aslında Cryptolocker’ın verdiği zarardan kaçınmanın en temel ve basit yolu yedeklerin düzgün alınmasıdır. IT yöneticileri, yedeklerin alınması konusunda şirket sunucuları için çaba sarf ederken, kullanıcı bilgisayarları için aynı hassasiyeti gösteremiyorlar. Bunun temel sebebi ise end-point yedeklemenin hem maliyetli hem de kolay yönetilebilir olmamasından kaynaklanıyor. Yeni nesil End-Point backup çözümleri, kolay kullanımı ile sadece virüs problemini önlemekle kalmıyor; aynı zamanda hırsızlık, disk arızaları gibi problemleri de risk olmaktan çıkarıyor.


Clonera Blog