Yazarın bu bölümdeki diğer yazıları...
CrytoLocker Analizine Devam
Osman Pamuk, Alican Akyol, TÜBİTAK BİLGEM SGE   
19.11.2014

Ülkemizde tekrardan aktive olan Cryptolocker zararlı yazılımı[1] birçok kullanıcıyı mağdur etmeye devam etmektedir. Bulaştığı bilgisayarlardaki verileri şifreleyen zararlı yazılım, para karşılığı şifrelenen verilerin kurtarılmasını sağlamaktadır. Fakat bazı durumlarda, saldırgana ücret ödemeden, Cryptolocker zararlı yazılımı tarafından şifrelenen verileri kurtarmak için Microsoft tarafından geliştirilen shadow kopyalama teknolojisi de kullanılabilmektedir. Shadow kopyalama ile bilgisayardaki dosyaların, alanların (volume) otomatik ya da elle yedeklenmesi sağlanmaktadır[2]

Cryptolocker zararlı yazılımı dosyaların yedeklenmesi amacıyla kullanılan bu shadow dosyalarını silmeye çalışmaktadır. Bu işlem Şekil 1'de gösterilmektedir. Fakat özellikle yeterli haklarla çalıştırılamadığı takdirde silme işleminde her zaman başarılı olamamaktadır. Bu sebeple şifrelenmiş dosyaların yedeklerini shadow dosyalardan bulmak mümkün olabilmektedir. Bu özellik Vista ve üzeri sistemlerde shadow kopyalama varsayılan ayar olarak aktif iken, XP'de bu özelliğin elle(manuel) aktif hale getirilmesi gerekmektedir.

image1.png

Şekil 1-Zararlı Yazılımın Shadow Dosyalarını Silmeye Çalışması

Shadow dosyalarını listelemek için komut satırını admin haklarıyla çalıştırarak Şekil 2'de gösterildiği gibi "vssadmin list shadows /for=C:" komutu ile sistemdeki shadow kopya dosyaları görüntülenebilmektedir.

image2.png

 Şekil 2-Shadow Dosya Kopyalarının Görüntülenmesi

Bu dosyalardan uygun görülenlerden bir tanesi seçilerek "mklink /d c:\shadowCopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\" komutu (en sondaki ‘X’ karakterini değiştirme ve\’ karakterini koyma unutulmamalı) ile sembolik bir oluşturulabilmektedir. 

image4.png
 Şekil 3- Sembolik Link Oluşturulması
12345.png

 Şekil 4- Sembolik Linki Oluşturulan Shadow Klasörü

Daha sonra oluşturulan bu klasöre içinden istenilen dosyaların şifrelenmemiş hallerinin olup olmadığı kontrol edilebilmekte ve varsa şifrelenmemiş halleri kopyalanabilmektedir.

Shadow kopyalama özelliğini kullanmanın dışında, başarı şansı çok yüksek olmamakla birlikte, daha ileri veri kurtarma yöntemleri de kullanılabilmektedir[3].

Zararlı Yazılımın Yeniden Çalışmasını Engellenmek

Kayıt defterinde run (çalıştır) ın altında bilgisayarların her açılışında çalıştırılacak anahtarlar(key) bulunmaktadır. Cryptolocker zararlı yazılımı da kendisini buraya eklemektedir. Böylelikle her açılışta çalışmaktadır. 

Zararlı yazılımın tekrardan çalışmasını engellemek için bu dosyayı bulup kaldırmak gerekmektedir. Bunun için "regedit -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 'a girilmelidir.

image8.png

Şekil 5- Zararlı Yazılımı Kayıt Defterindeki Görüntüsü 

Şekil 5'te gösterildiği üzere, rastgele bir isimden (her bilgisayarda farklı olabilmekte) oluşan bir kayıt bulunmaktadır. Bu kayıtta "C:\Windows" altındaki yine rastgele isimli (her bilgisayarda farklı olabilmekte) bir ".exe" dosyasının yolu bulunmaktadır. Bu kayıt sayesinde zararlı yazılım her bilgisayar açılışında çalıştırılmaktadır. Bu kayıt silindiği takdirde ilgili zararlı yazılım sistem başlatıldığında bir daha çalışmayacaktır.

Zararlı Yazılım ve Mücadele Merkezi

Zararlı yazılım ve mücadele merkezimiz çalışmalarını, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı adına, TUBİTAK BİLGEM Siber Güvenlik Enstitüsü bünyesinde gerçekleştirmektedir. Analiz edilmesini istediğiniz zararlı yazılımları https://zar.sge.gov.tr web adresi ile bizimle paylaşabilir ve Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır eposta adresi ile bizimle iletişime geçebilirsiniz. 

Referans

[1] http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/guncel-cryptolocker-saldirisina-dikkat.html

[2] http://en.wikipedia.org/wiki/Shadow_Copy

[3] http://blog.zemana.com/2014/11/dosyalarnz-sifreleyen-telefon-faturasna.html   


Favori olarak ekle (2) | Görüntüleme sayısı: 34332

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.