Siber-Güvenlik

‘Fidye virüsü’ hakkında bilmeniz gerekenler

Görsel: Mustafa Kuleli / Journo

Bir arkadaşım, ısrarla gelen ve bir GSM şebekesinin kurum kimliğini taklit eden ‘fatura borcunuz var’ epostasıyla ‘spam’ olduğunu düşünerek bugüne kadar ilgilenmedi. Ancak bugün birden, ‘Öff, yeter, neymiş?’ diyerek bu e-postanın güya ‘fatura’ eklentisini indirip açmak gafletinde bulundu. Böylece sistemine ‘ransomware’ olarak adlandırılan bir ‘cryptovirus’ bulaştı.

‘Ransomware’ ve ‘cryptovirus’ı özetlemek gerekirse: Word dökümanı, Excel dökümanı, jpg resim dosyası gibi kişisel belgelerinizi şifreleyerek kullanılmaz hale getiren, bu şifrelemeyi çözüp dosyalarınızı açmak için belli miktar sanal para satın alıp – değişken rakam ama genelde yüzlerce dolar, ilgili örnekte 1000 dolara yakın – ödeme yapmanızı isteyen virüsler. Kısaca ‘fidye virüs’ü diyebiliriz çünkü sizin için maddi / manevi değeri olabilecek dosyalarınızı çok güçlü bir şifrelemeyle rehin alıyor ve ‘serbeset bırakmak’ için bir ‘fidye’ istiyor.

Arkadaşımın bilgisayarındaki virüs koruması bu zararlı faaliyeti fark edip durdurana kadar pek çok Word dökümanı ve .jpg formatındaki fotoğrafı virüs tarafından şifrelenerek kullanılamaz hale getirildi.

Bu virüs türü iki – üç yıl önce çok yayıldı, sonra verilen mücadeleyle düşüşe geçti. Gelgelelim ‘düşüş’ evresinde de her ay dünyada on binlerce kullanıcıyı etkiliyordu. Derken son aylarda yeniden sık duyulur olmaya başladı. Bu aralar daha çok konuşulmasının bir sebebi de, yaygın bir ‘torrent’ yazılımının sitesine o yazılımın kılığında yerleşmeyi başararak Windows sistemlere göre daha az virüs sorunu yaşayan Mac sistemlere de bulaşması. (Apple gerekli önlemleri aldı, ilerlemeyi durdurdu ama bu arada virüsün şifrelediği dosyalarla mağdur olan kullanıcılar için artık yapılacak bir şey yoktu)

‘Fidye virüsü’ can yakar

Öncelikle, bu virüsün de farklı farklı türleri / türevleri var. Ancak genelde eski virüslerde olduğu gibi sistem dosyalarınızı, yazılımlarınızı bozmakla ilgilenmiyorlar. Çünkü kimse, ‘kişisel dosyalarını bir yere yedekleyip, hard diski formatlayıp, Windows’u yeniden kurmak’ ya da ‘birkaç yazılımı yeniden kurmak’ yerine yüzlerce dolar fidye ödemez. Genelde İnternet’ten indirmiş olacağınız, mesela 4 GB’lık .mp4, .mkv dosyalarıyla da ilgilenmiyorlar (çünkü büyük dosyaları şifreleme işleminden geçirmek daha fazla zaman alır ve yine kimse bu tür ‘yeniden indirilebilir’ dosyalar için yüzlerce dolar fidye ödemez). Bunun yerine, faaliyetleri fark edip durdurulana kadar, çoğu küçük boyutlarda olan Word dökümanı, Excel dökümanı, .jpg resim dosyası ve birtakım yazılımların proje dosyalarıyla uğraşıyorlar. Bu sayede hem durdurulana kadar çok sayıda dosyaya zarar verebiliyor hem de asıl ‘uğrunda fidye ödenmeye değer’ dosyaları şifreleme şans artıyorlar. Haftalardır üzerinde çalıştığınız tez, makale, senaryo, roman, rapor, sunum, tasarım; sizin için çok büyük manevi değer taşıyan bir günün yedeği olmayan fotoğrafları; on gündür üzerinde çalıştığınız ve iki gün sonra teslim etmek zorunda olduğunuz bir ‘iş’ gibi.

Bu virüslerden nasıl korunmak lazım, genel olarak bilgisayarınızı kullanırken nelere dikkat etmelisiniz, kritik işleriniz için ne tür yedekleme sistemleri kullanmanız iyi olur gibi konulara girmeyeceğim, çünkü bu fazlasıyla çetrefilli ve hacimli olur. Amacını aşar (ayrıca bu tür genel doğrularla ilgili bilgileri alabileceğiniz pek çok kaynak var). ‘Ransomware’ (fidye isteyen zararlı yazılım) mantığıyla çalışan ‘cryptovirus’lar (şifreleme virüsü) ve onlarla ilgili pek çok hurafe var. Amacım, kısaca bu hurafelere değinmek.

Kurtarıcı hurafeler ve teknik gerçekler

Böyle bir virüs tarafından çok sayıda kişisel dosyası ‘rehin alınan’ arkadaşıma ‘sistem geri yüklemeyle kurtulur’, ‘bizim bir arkadaş var, bu şifreleri çözüyor’ gibi öneriler geldi. Bu varsayımsal, temenni düzeyinde ya da ‘kulaktan dolma’ önerilerin neden bir anlamı yok ve bu tarz virüslerle karşılaştığınızda gerçek tablo nedir? ‘Sistem geri yükleme’nin bir faydası yok, çünkü Windows’un ‘System Restore’ özelliği kişisel belgeleri yedeklemez. Sistem bileşenleri, ‘registry’yi ve sistemin (Windows) çalışması için kritik bileşenleri yedekler. Bir program kurma / kaldırma, bir ayar değiştirme (elle ya da bir yazılım aracılığıyla), bir donanım sürücüsündeki değişiklikler gibi işlemlerden sonra bir terslik olursa eski haline geri dönebilmek için. Ki bunu da zaten, belli bir ölçüye kadar yapabilir. Sözgelimi sistem hard diski 100 GB ise ve bunun %5’i olan 5 GB bu iş için ayrılmışsa, sürekli o kadar yedeği tutar en kritik bileşenler başta olmak üzere, bir öncelik sırasıyla. Bir sistem geri yükleme sistem klasörlerinizdeki birtakım .exe, .dll, .sys, .ini dosyalarınızı geri getirir (ve registry ayarlarınızı) ama ‘Documents’ ve çeşitli ‘User’ klasörlerindeki .doc, .txt, .jpg, .mp3, .avi gibi dosyalarınızı ne yedekler ne de dolayısıyla geri getirir (zaten adı üstünde ‘s-i-s-t-e-m geri yükleme’)… Bu dosyaları ‘sistem geri yükleme’ye benzer bir şekilde geri getirmek Windows’un dahili yedekleme hizmetiyle ya da sizin tercih edeceğiniz başka otomatik yedekleme hizmetleriyle söz konusu olur. Sistemde öyle bir yedekleme hizmeti çalışmıyor ve bu tür periyodik yedekler otomatik olarak alınmıyorsa, ne yazık ki bundan da yararlanmak söz konusu değil (o tür yedeklerin olduğu yerde bunları konuşmaya gerek yok zaten, virüsü temizledikten sonra şifrelenmiş dosyalar yerine yedek versiyonları geçirilir, olur biter. Öyle bir yedekleme hizmeti de, siz ya da sizin adınıza başkası o tür bir yedekleme hizmetini yapılandırıp devreye soktuysa çalışır ancak).

Bu tür bir ‘encryption’da, şifreleme anahtarına sahip olan hackerın istediği ‘fidye’yi ödemek dışında (ki bunun garantisi yok çünkü karşınızdaki güvenilir / yasal biri değil) çare yok. ‘Bizim bilgisayardan anlayan bir arkadaş var, zehir gibi hacker, o şifrelenmiş dosyaları çözüyor’ gibi bilgiler de tamamen yalan yanlış çünkü bu 256 bit RSA şifreleme o şekilde çözülemez. Teorik olarak mümkün olsa bile, pratikte gereken deneme yanılma sayısına ömür yetmez. Sözgelişi NSA / FBI ile Apple arasında sorun yaratan, Amerika’nın Apple’dan istediği, ve Apple’ı ABD güvenliğinin zirvesiyle karşı karşıya getiren tam da böyle bir şifrelemenin anahtarlarıydı. Ya da Türkiye devleti kendi MİT’ine bulduramayıp Twitter’dan muhalif hesapların IP’sini istemesine yol açan da, Twitter’daki iletişimin benzer mantıkta şifrelenmesi…

Sonuç yerine

Kısacası, dünyada para / güvenlik dahil en kritik meselelerin emanet edildiği ve istisnai olarak çözüldüğünde olay olan (ki onlar da genelde başka güvenlik açıklarından yararlanılan dolaylı şifre kırma vakaları) bu tür bir şifreleme sistemine karşı, bilgisayar başında ‘şifre kırma’ denemeleriyle yapılacak bir şey yok (güvenlik sorusunun cevabını doğru tahmin ederek sevgilinizin Facebook şifresini güya ‘kırmaya’ benzeyen bir şey değil).

Dolaylı ve ‘küçük ihtimal’ de olsa şansın işe yarayabileceği ama pek umut bağlamamak gereken seçenekler var, o yüzden yedekleri yoksa ve kurtarılamayacaklarsa bile şifrelenen dosyaları saklamanız iyi olur.

Bunu kısaca açmak gerekirse: Interpol ve FBI (Microsoft’tan ve başka kuruluşlardan da yardım alarak) 10 ülkenin işbirliğini içeren bir operasyonla, çok yaygın bir cryptovirus şebekesinin de kullandığı bir ağı, ‘server’larını (sunucu) ele geçirdiler. Bu sunucularda, yaygın birkaç ‘ransomware cryptovirus’ın (kişisel belgeleri şifreleyip fidye isteyen virüsler) kullandığı şifreleme anahtarları da ele geçirildi. Bunun üzerine, bir güvenlik şirketi, online (çevrimiçi) bir hizmet yarattı. Şifrelenen dosyalarınızdan bir örneği oraya gönderiyorsunuz, dosyanızı inceleyip ele geçirilen anahtarlardan biriyle şifrelenip şifrelenmediğine bakıyor, eğer şanslıysanız ve o anahtarlardan biriyle şifrelendiyse o anahtarı ve dosyalarınızı ‘decrypt’ etme (şifrelemeyi çözerek açık hale getirme) yazılımını size gönderiyor… Ancak bu operasyonda ele geçirilen şifreleme anahtarları bugün için çok eski kalıyor (yanlış hatırlamıyorsam, son ele geçirilen anahtarlar bile bir buçuk yıllıktan eski olmalı). Yani daha yeni cryptovirus saldırılarında muhtemelen bu anahtarlar işe yaramayacak (zaten şu anda bu çevrimiçi hizmete de ulaşılamıyor)… Yine de, olası başka operasyonlar ve başka anahtarların ele geçirilmesiyle, bugün şifrelenen dosyalar da kurtarılabilir hale gelebilir. Eğer fidye ödenmeyecekse (ki bence çok hayati değilse bu kumara gerek yok) dosyaları yine de silmeyip saklamakta fayda var. Mesela altı ay sonra başka bir operasyonda ele geçecek anahtarlarla bu dosyalar için de kurtarma hizmeti verilebilir (ya da içeriden bilgi sızıntısıyla, ilgili ‘hacker’ grubuyla ilişkisi olan birileri anahtarları bir gün yayınlayabilir / anahtarları kullanıma sunarak dosyaları kurtaran bir yazılım dağıtabilir vs).

Sonuç: Yakında bir gün yeni çıkan ‘zekice’ bir yazılım ya da ‘bilgisayar kurdu bir arkadaş’ınız bu şifreleri çözemeyecek ama dosyalarınızı koruduğunuz sürece ele geçen ya da sızan anahtarlarla sunulan kurtarma hizmetlerinden yararlanma ihtimaliniz var.

Murat Aykul

Sevim Gözay ile birlikte tv8'de Stüdyo ve Netiket gibi programları yapan, daha sonra CNN Türk'te Cosmopolis'te birlikte çalışan, çalışma arkadaşı ve yakın arkadaşı, editör, yazar.

Journo E-Bülten