Stop Ransomware Şifre Çözme Aracı “STOPDecrypter”

Stop Ransomware Şifre Çözme Aracı “STOPDecrypter”

Sonunda, binlerce STOP fidye yazılımı kurbanı uzun zamandır bekledikleri rahatlamaya kavuşabilir.

Yeni Zelanda merkezli güvenlik şirketi Emisoft, kurbanların bazı dosyalarının kurtarılmasına yardımcı olabileceğini belirttikleri “Djvu” ve “Puma’yı” içeren bir fidye yazılımı ailesi olan “Stop” için bir şifre çözme aracı geliştirdi.

Stop, ID-Ransomware’in rakamlarına göre, tüm fidye yazılımı enfeksiyonlarının yarısından fazlasını oluşturduğu için, dünyanın en aktif fidye yazılımı olduğuna inanılıyor.

Eğer bilgisayarınıza hiç fidye yazılımı bulaşmadıysa, şanslı kişilerden birisiniz. Fidye yazılımları, karmaşık bir şifreleme yöntemi kullanılarak dosyaların şifrelenmesini sağlayan bir virüstür. Günümüzde ki bazı suçlular fidye yazılımlarını bilgisayarlara bulaştırarak karşılığında para talep etmektedir ve bu yöntem suçluların para kazanmalarını sağlayan en yaygın yöntemlerden biridir. “Stop” fidye yazılımı bulaştığı bilgisayardaki dosya uzantılarını değiştirerek şifreler. Örneğin “.jpg” ve “.png” dosyalarını “.radman”, “.djvu” ve “.puma” uzantıları ile değiştirerek yeniden adlandırır. Bilgisayarına virüs bulaşan kişiler talepte bulunduğu zaman belirli bir fidye karşılığında -genellikle kripto para birimi cinsinden birkaç yüz dolar- dosyalarının kilidini açabilirler.

Bütün fidye virüsleri eşit şekilde yapılmamıştır. Bazı güvenlik uzmanları, farklı yöntemler kullanarak fidye yazılımına güç sağlayan koddaki güvenlik açıklarını bularak tersine mühendislik yapıp şifreyi çözdüler ve ödeme yapmadan bazı kurbanların dosyalarının kilidini açmayı başardılar.

Stop, Emsisoft’taki güvenlik araştırmacılarının crack’ladığı son fidye yazılımıdır.

“En son bilinen kurban sayısı yaklaşık 116.000. Toplam mağdur sayısının dörtte biri olduğu tahmin ediliyor. ” (STOP İÇİN)

Michael Gillespie

Emsisoft’un araç(tool) geliştiricisi ve güvenlik araştırmacısı Michaei Gillespie geliştiricisi, Stop’ın çok karmaşık bir fidye yazılımı olduğunu belirterek, geliştirdiği şifre çözme aracı için “Normal şartlarda bulabileceğinizden daha karmaşık bir şifre çözme aracı” dedi.

Stop’un çalışma mekanizmasına göre, saldırganın sunucusundan gelmiş çevrimiçi anahtarı ya da sunucuya ulaşılamadığında kullanılan çevrimdışı anahtarı kullanarak kullanıcı dosyalarını şifreleniyordu. Gillespie, birçok kurbanın saldırganın web altyapısının çalışmaması sebebiyle ya da enfekte olmuş bilgisayardan sunucuya ulaşılamadığından bilgisayarlarının çevrimdışı key kullanılarak enfekte olduğunu söyledi.

İşte araçlar böyle çalışıyor:

Gillespie, fidye yazılımı saldırganlarının her bir kurbana şifrelenilen her dosyanın ilk beş baytıyla birleştirilen bir“master key” verdiğini söyledi. Bazı resim dosyaları, .png gibi, her dosyasında aynı ilk beş baytı içeriyor. Böylece orijinal dosya ile şifrelenmiş dosyayı bazı matematiksel hesaplamalarla kıyaslanarak  sadece bir .png dosyası yerine tüm .png dosyalarının şifresi açabiliyor.

Bazı dosya türlerinde gerekli olan 5 bayt aynıdır. .docx ve .pptx gibi çoğu Microsoft Office dokümanları .zip dosyaları ile aynı beş bayta sahiptir. Bu dosya türlerinden herhangi birinde, şifrelenmiş dosyanın şifrelenmeden önceki hali ve kendisi ile dosyanın şifresi çözülebilmektedir.

Sorun şu ki, şifre çözme aracı her derde deva değildir. Kısaca kurban kurtarmak istediği her dosya türünden şifrelenmiş dosyanın şifrelenmeden önceki halini ve kendisini bulması gerekiyor” dedi Gillespie.

Sistem fidyeci yazılımdan temizlendikten sonra kurbanın e-postasında şifrelenilen dosyanın formatına sahip daha önceden gönderilmiş veya önceden yedeklenmiş dosyalarda varsayılan Windows duvar kâğıdı gibi dosyaları araması lazım, dedi.

Kullanıcı “şifrelenmiş dosyanın şifrelenmeden önceki hali ve kendisini” gönderi portalına yükledikten sonra sunucu matematiksel işlemleri yapacak, hangi dosya eşlerinin uyumlu olduğunu öğrenecek ve hangilerinin şifresinin çözülebileceğini söyleyecektir.

Ancak bazı gizli tuzaklar var, dedi Gillespie.

“Eğer çevrimdışı bir key ile şifrelenmemişse, maalesef Ağustos 2019’dan sonraki herhangi bir enfeksiyonda yapılabilecek pek bir şey yok. ” dedi. Eğer çevrimiçi key saldırganın sunucusundan gelmişse, kurbanlar gerçekten şansız. “Portala gönderilen dosyaların 150 kilobaytın üzerinde olması gerekir yoksa şifre çözme araçları işe yaramaz, çünkü fidye yazılımı dosyanın bu kadarını şifreler. Bazı dosya uzantılarının kurtarılması imkânsız değilse de her dosya uzantısı dosyanın ilk beş baytını farklı şekilde işlediğinden zor olacaktır.” diye ekledi.

“Kurbanın gerçekten uğraşması gerekiyor” dedi.

Bu Gillespie’nin ilk rodeosu değil. Bir süredir, dosyaları çevrimdışı bir anahtarla şifrelenmiş olan mağdurlar için şifre çözme anahtarlarını manuel olarak işliyordu. ‘’STOPDecrypter’’ olarak adlandırılan -bazı mağdurların dosyalarını çözen- tam gelişmemiş bir şifre çözme aracı inşa etti. Ancak aracı güncel tutmak onun ransomware akıncılarıyla oynadığı bir kedi-fare oyunuydu. Bu saldıranlar kurnazlıkla onu yenmek için yeni şifrelenmiş dosya uzantılarını defeder.

“Sürekli gözleri ayak parmaklarımın üzerindeydi.” dedi.

STOPDecrypter’ın piyasaya sürülmesinden bu yana, Gillespie, stop ransomware tarafından şifrelenen sistemlere sahip insanlardan binlerce mesaj aldı.

Ancak bazı kurbanlar dosyalarını geri almak için daha fazla çaresiz oldukları gibi, Gillespie hüsranlarının yüküyle karşılaştı.

“Sitenin moderatörleri sabırla yanıtlıyorlardı. Onlar barışı korudular.” dedi.

“Forumlardaki diğer birkaç gönüllü de mağdurlara bazı şeyleri açıklamaya yardımcı oluyor.”

“Her küçük şeyde yardım etmeyi düşünen birçok topluluk desteği vardı.” dedi.

Gillespie sözlerini “Bu araç aynı zamanda Europol’ün “Artık Daha Fazla Fidye Virüsü Yok” Projesine de eklenecek ve böylece gelecekteki mağdurlara da bir şifre çözme aracının mevcut olduğu bildirilecektir.” diyerek bitirdi.

Kaynak : TechCrunch

Related Posts

Facebook Comments