Ransomware Nedir? Python İle Ransomware Örneği

Ransomware Nedir? Python İle Ransomware Örneği

Herkese merhaba. Bu yazımda fidye yazılımlarından diğer adıyla Ransomware den bahsedeceğim. Teori anlatımdan sonra, basit bir şekilde dosyayı XOR şifreleme yöntemi kullanarak şifreleyip decrypt etme işlemini anlatacağım. Peki ransomware nedir?

Ransomware Nedir?

Fidye yazılımı, kullanıcıların sistemlerine ya da kişisel dosyalarına erişmesini engelleyen ve yeniden erişim kazanmak için, hedeflerinden fidye ödemesi talep eden (genellikle bitcoin) kötü amaçlı yazılım türüdür. Ransomware saldırı türleri neredeyse her zaman parayla ilişkilidir ve diğer saldırı türlerinden farklı olarak genellikle mağdur saldırı durumunda bilgilendirilir ve saldırıdan kurtulmak için izlemesi gereken talimatları öğrenir.

Ransomware son zamanlarda gittikçe yaygınlaşan tehditlerden birisidir. Ülkemizde de bu saldırı türüne ait örnekler bulunmaktadır. Bu örneklerden birisi CrypteLocker virüsüdür. Bu virüs Turkcell, Türk Telekom faturası gibi görünerek, birçok kullanıcıya ciddi zararlar vermiştir.

Fidye yazılımı, önemli kişisel verilere erişme, bu verileri yayınlama, silme tehdidinde bulunarak mağdurlardan parasal istekte bulunan zararlı amaçlı yazılım türüdür.

Saldırganlar, ransomware yazılımlarında asimetrik ve simetrik şifreleme kullanırlar. Simetrik şifreleme yararlıdır, çünkü saldırganın dosyaları asimetrik şifrelemeye göre daha hızlı şifrelemesine izin verir. İçerisinde ransomware bulunan zararlı yazılım sisteme yüklendiğinde, yazılım gelişigüzel yeni bir şifre oluşturuyor ve oluşan bu parola ile sizin dosyalarınızı teker teker şifreler. Ardından bu parla yazılımın içindeki public key ile şifreler. Daha sonra ise dosya parolasını ve dosyaların şifrelenmemiş hallerini teker teker siler. Bu sayede çift anahtarlı şifreleme sisteminin diğer anahtarı olmadan dosyaların çözülmesi mümkün olmamaktadır.

Fidye yazılımı tanıtıldığında ilk kurbanları bireysel sistemlerdi. Bununla birlikte, siber suçlular, işletmelere fidye yazılımı sunduklarında tam potansiyelini fark etmeye başlamışlardır. Ransomware, işletmelere karşı o kadar başarılıydı ki üretkenliği durdurdu ve veri gelir kaybına neden oldu.

Görselde de 2017 yılına kadar, küçük ve orta ölçekli işletmelerin yüzde 35 inin fidye yazılımı saldırısı yaşadığı görülmektedir.

Ransomware yazılımının birçok türü bulunmaktadır. Biraz da türlerinden bahsedelim.

Ransomware Türleri

Çok çeşitli zararlı amaçlı yazılım türleri bulunmaktadır. Ransomware ise bunları kapsayan geniş bir terimdir. Bu zararlı yazılımların ortak noktası ise, fidye almak için sizi veya verilerinizi tehdit etmektir. Ransomware türleri zorluk olarak da çeşitlilik göstermektedir. En yaygın ransomware türleri aşağıdaki gibidir.

  • Dosya Şifreleyen Ransomware: Tüm dosyalarınızı şifreleyen ve şantajcılara bir fidye ödemediğiniz sürece onları kullanmanıza izin vermeyen programlardır. Genellikle kurbanın sistemlerine girerler, tüm dosyaları şifrelemeye başlarlar ve onları tamamen kullanışsız hale getirirler. Günümüzde bitcoin gibi şifreli para birimleri ve sağladıkları anonimlik, saldırganların ödeme alabilmeleri için mükemmel bir yoldur.
  • Dolap Fidye Yazılımı: Şifreleyeceği dosyalarla alakalı ayrımcılık yapmaz. Bilgisayarınıza girdiğinde her şeyi kilitleyebilir.
  • Scareware: Scareware, kullanıcılara sistemlerinde yanlış bir şey olduğunu düşündüren bir kötü amaçlı yazılım kategorisidir. Daha sonra temizlemek için başka bir yazılım satın alınması gerektiğini belirtir. Bilgisayarda kesinlikle yanlış bir şey yoktur, bu yazılımları satın almak ransomware i bilgisayarınıza enfekte etmekle sonuçlanır. Scareware, tüm kötü amaçlı yazılımlar arasında muhtemelen başa çıkılabilecek en kolay türdür. Tarayıcı sekmenizi kapatmanız yeterlidir ve açılır pencere kaybolacaktır. Antivirüs ile de tarama yaparak her ihtimale karşı kötü amaçlı yazılımdan korunma gerçekleştirilebilir.
  • Doxware: Fidyeyi ödemezseniz, yazılım fotoğraf veya videolarınızı riske atmakla, kişisel bilgileriniz veya finansal verileriniz gibi hassas bilgileri internet üzerinden yaymakla sizi tehdit eder. Doxware, hem işletmeler hem de kişisel olarak kesinlikle yıkıcı olabilir.
  • Ekran Kilidi Fidye Yazılımı: Bir fidye ödeyene kadar, bilgisayarınızı çalıştırmanıza izin vermez. Çoğu durumda, ekranın tamamını kaplayan bir pencerede uyarı bildirimi gibi görüntülenir. Kurbanın utanmasını sağlayacak nedenler sunarak, para ödemeye ikna etme fikrine dayanır. Daha gelişmiş programlar, birkaç gün boyunca kullanıcı etkinliğini izler ve daha inandırıcı ve korkutucu bir özelleştirilmiş uyarı görüntüler.

WannaCry Ransomware Saldırısı

2017 Mayıs ayında, küresel bir saldırı yaşandı. WannaCry adı verilen ransomware, Microsoft Windows işletim sistemli bilgisayarlara yayıldı. Kullanıcıların dosyaları rehin tutuldu ve bunların iadesi için Bitcoin cinsinden fidye istendi. Kurbanların tüm dosyaları kilitlenmiş ve bilgisayarlar işlem yapamaz hale gelmiştir.

Saldırıya maruz kalmış kurbanların bilgisayarlarına ait ekran görüntüsü yukarıdaki gibidir.

WannaCry, Metasploit Frameworkte sıkça kullandığım hatta kullandığımız “EternalBlue” açığından faydalanmıştır. EternalBlue, saldırıdan önce Shadow Brokers adlı bir grup bilgisayar korsanı tarafından kamuya açık bir hale getirildi. Microsoft, WannaCry fidye yazılımı saldırısından 2 ay önce, kullanıcıların sistemlerini bu güvenlik açığına karşı koruyan bir güvenlik yaması yayınlasa da birçok kullanıcı ve kuruluş sistemlerini düzenli olarak güncellemediğinden dolayı saldırıya maruz kaldı.

Saldırganlar, kurbanlarından 300 dolar değerinde bitcoin talep etti ve daha sonra fidye talebini 600 dolarlık bitcoine çıkardı. Dosyaların 3 gün içerisinde silineceği söylendi. Bir backdoor sayesinde bu ransomware güncelleme yapılmayan dünya çapındaki tüm bilgisayarla bulaşmıştır. Hatta İngiltere’de bir hastanede hastalar, kayıt edilemez hale gelmiştir.

WannaCry fidye yazılımı saldırısı dünya genelinde 230.000 bilgisayarı etkiledi. Ne kadar tehlikeli bir yazılım olduğunu siz düşünün…

Yaşanmış olan diğer ransomware saldırı türlerini https://mavidatakurtarma.com/hacker-saldirilari-kripto-crypto-ransomware-ve-encrypted-ransomware-hakkinda/ adresinden okuyabilirsiniz.

Basit Ransomware Uygulaması

Mantığı kavramak açısından basit bir ransomware uygulaması bulup paylaşmak istedim. Zararlı yazılım python ile yazılmıştır. Python oldukça açık, anlaşılır ve basit bir yazılım dilidir. Siber güvenlikle ilgilenen kişiler genellikle de python dilini tercih etmektedir.

Uygulamada anlatmak istediğim nokta, oluşturacağımız XOR şifresi ile, bir jpeg dosyasını kilitlemektir. XOR şifreleme türü, CTF yarışmalarında da kripto bölümlerinde sorulan bir türdür. Bit mantığında şifreleme yapar ve geri döndürülebilen bir şifredir. Uygulamada da jpeg dosyasını şifreledikten sonra yine XOR decrypt metodu ile dosyanın kilidini kaldıracağız.

Ransomware i yazarken Crypto kütüphanesinden yararladım. pycrypto, pyaes modulleri, ransomware de genellikle kullanılan kütüphanelerdir. Fakat pycrypto, pyaes e göre oldukça hızı şifreleme yapar. Görselde görüldüğü gibi “cipher = XOR.new(key)” komutu ile yeni bir XOR anahtarı oluşturulmuştur. Okunacak dosyanın path bilgisi gösterilmiş, dosyayı “rb(read byte)” olarak okunması belirtilmiştir. Dosyayı key ile şifreledikten sonra “rm(remove)” kaldırıp, yeni dosyaya yazması istenmiştir. Dosyayı yukarıdaki kodları kullanarak şifrelenmesini sağladık. Açılan “encrypt” fonksiyonunu kapatıp, dosyanın açılıp açılmadığını inceleyelim.

Linux konsol ekranından oluşturduğum “ransomware.py” dosyasını “python ransomware.py” komutu ile çalıştırabiliriz. Masaüstünde bulunan “index.jpeg” dosyasına tıkladığım zaman yukarıdaki hata ile karşılaştım. Buda demek oluyor ki XOR şifreleme yöntemi başarılı bir şekilde gerçekleşmiştir. Şimdi bu kilitlenen dosyayı açalım.

Aynı kod satırlarını kullanarak bu defa, decrypt etmek için bir key üretilir. “cipher.decrypt” kodu ile okunacak dosyanın decrypt işlemleri gerçekleştirilir ve “decrypty()” fonksiyonu kapatılır. Dosyayı çalıştırmak için, konsol ekranına “python ransomware.py” komutu girilerek python dosyası çalıştırılır.

Görüldüğü gibi, dosyanın bulunduğu konuma yönlendiğimiz zaman başarılı bir şekilde dosyayı görüntüleyebilmekteyiz. Hedef dosyayı başarılı bir şekilde şifreleyip, daha sonra dosyayı farklı bir şifre ile decrypt edebildik. Bu örnek daha da ilerletilebilir. Örneğin dosyaya tıklandığı zaman ekran kilitlenip fidye talep edilebilir ya da tüm sistemde “jpeg” uzantılı dosyaların şifrelenmesi gerçekleştirilebilir.

Ransomware Korunma Yöntemleri

Tüm korunma yöntemlerinden önce, mutlaka sistemlerinizin güncel olması gerekmektedir. WannaCry örneğinde olduğu gibi güncel olmayan sistemler saldırıya her zaman açık sistemlerdir. Fidye yazılımı veya başka zararlı yazılımlardan korunmak için bilgisayarlarda mutlaka bir Anti-virüs yazılımı olmalıdır.

  • Beyaz Liste Yazılımları: Güvenilen yani beyaz listede olan belli yazılımlar haricinde hiçbir yazılımın çalışmasına izin vermezler. Böylece zararlı, zararsız her türlü yazılım engellenmiş olur. Yeni uygulama kurulumları bu yöntemde biraz zordur.
  • En önemli verilerinizi ayrı bir ağ ya da aygıtta yedekleyebilirsiniz. Bulut yedeklemeleri, ransomware den korunmak için iyi bir yöntem olabilir.
  • Şüpheli ve güvenilmez web sitelerinden kaçının. Yalnızca resmi pazarlardan yazılım, uygulama ve medya indirin.
  • Ne olduklarını ve kimlerden geldiklerini bilmiyorsanız asla e-posta eklerini indirmeyin. En çok bulaşan yöntemlerden birisidir.
  • Sandbox(ATP) Çözümleri: Yeni uygulamaları bilgisayarda çalıştırmadan önce ayrı bir sistemde farklı farklı yöntemlerle dener ve yapmaya çalıştığı şeylere göre zararlı olup olmadığını tespit etmeye çalışır. Bu yöntem, çok farklı yöntemler ile iyi analizler içerdiği için büyük oranda zararlı yazılımları tespit ederek engeller.

Böyle bir şey başınıza gelirse eğer çoğu uzman, fidye ödememe konusunda tavsiyelerde bulunmaktadır. Uzmanlara göre fidyeyi ödemek suçluları dolandırıcılıklarını sürdürmeye teşvik eder. İkincisi ise, fidyeyi ödediğinizde dosyalarınızı geri alacağınızın bir garantisi maalesef yoktur. Bazı durumlarda saldırganlar, ürettikleri şifrelerin decryptlerini kendileri de bilmemektedir. Bu tür yazılımlardan uzak durmak için, internet ve bilgisayar kullanırken daha bilinçli olmak gerekmektedir.

Bu yazımda Ransomware yani fidye yazılımlarının ne olduğundan, türlerinden, örnek bir uygulama yaparak bahsetmeye çalıştım. Bir sonraki yazımda görüşmek üzere. Sağlıklı günler.

Kaynaklar

https://www.beyaz.net/tr/guvenlik/makaleler/ransomware.html

https://tr.safetydetectives.com/blog/fidye-yazilimi-nedir-saldirilar-nasil-engellenir/

https://www.kaspersky.com.tr/resource-center/threats/ransomware-wannacry

https://youtu.be/KaWvWaF-8gQ

Related Posts

Facebook Comments