Yeni şifre çözücü, Cryakl/Fantomas kurbanlarını kurtardı

Haberler Tehditler

Fidye yazılımı kurbanlarına yardım eden No More Ransom projesinden iyi haberler var: Kaspersky Lab ile işbirliği yapan Belçika polisi, Fantomas olarak da bilinen Cryakl adlı fidye yazılımının yeni sürümleriyle şifrelenmiş dosyaları kurtarmak için gereken anahtarları elde etmeyi başardı. Güncellenmiş şifre çözücü aracı, projenin web sitesinde mevcut.

Cryakl nedir?

Trojan fidye yazılımı Cryakl (Trojan-Ransom.Win32.Cryakl) son zamanlarda ön plana çıkmış durumda. Başlarda bu yazılım, sözde bir kabahatla ilgili işlem yapan bir tahkim mahkemesinden geliyor gibi görünen e-postaların içine eklenmiş arşivler aracılığıyla dağıtılıyordu. Bu mesajlar insanları endişelendirdiği için, daha tecrübeli kimselerde bile bu ekleri açma isteği doğabiliyor. Daha sonra, bu e-postalar farklı şekiller almaya başladı. Artık, mesela yerel bir ev sahipleri derneğinden gönderilmiş gibi gözükebiliyorlar.

Kurbanın bilgisayarındaki dosyaları şifrelerken, Cryakl suç merkezine gönderdiği uzun bir anahtar yaratıyor. Bu anahtar olmadan kötü amaçlı yazılımın etkilediği dosyaları kurtarmak imkansız. Sonrasında, Cryakl masaüstü duvar kağıdını, yazılımı geliştirenlerin iletişim bilgileriyle ve bir fidye isteğiyle değiştiriyor. Cryakl aynı zamanda 1964’ün Fransız film kötü karakteri Fantomas’ın maskesinin görüntüsünü ekrana yansıtıyor. Yazılımın diğer adı da buradan geliyor. Cryakl çoğunlukla Rusya’daki kullanıcıları etkiledi. Bu yüzden hakkında edinilen bilgilerin çoğu Rusça.

Olaylar ve rakamlarla fidye yazılımının tarihi ve evrimi

Başarı hikayesi

Önceden de belirttiğimiz gibi, uzmanlarımızın ve Belçika polisinin ortaklaşa yürüttüğü çabalar sonucunda ana anahtarlar ele geçirildi. Konu hakkında inceleme, bilgisayar suçları ekibinin Belçika’daki fidye yazılımı kurbanlarını fark etmesiyle başladı. Bu ekip sonrasında komşu bir ülkede bir suç merkezi keşfetti. Belçika federal savcısının yönettiği operasyon, etkilenmiş makinelerden ana anahtarları alan suç merkezi sunucularını etkisiz hale getirdi. Sonrasında daha önce de yapmış olduğu gibi, Kaspersky Lab emniyet teşkilatlarına yardım etmek için işe koyundu. Sonuçlar her zamanki gibi çok iyiydi: Uzmanlarımız ortaya çıkarılan verileri incelediler ve şifre çözücü anahtarları ayıkladılar.

Bu anahtarlar çoktan No More Ransom sitesindeki RakhniDecryptor aracına eklendi ve Belçika federal polisi de projenin resmi ortağı oldu. 2016 Temmuz’undan beri çalışan No More Ransom, bugüne kadar fidye yazılımlarının dosyalarını kullanılamaz hale getirdiği on binlerce insanlara karşılıksız yardım etti ve siber şantajcılarının en az 10 milyon avro kazanmasını engelledi.

No More Ranson: Epey verimli bir yıl

Cryakl fidye yazılımıyla şifrelenmiş dosyalar nasıl kurtarılır

No More Ransom sitesi, Cryakl’ın etkilediği dosyaların şifrelerini çözmek için iki araç sağlıyor. İlkinin adı RammohDecryptor. Bu yazılım 2016’da yayınlandı ve Cryakl’ın eski sürümlerinde çalışıyor. Bu programı NoMoreRansom.org adresinden indirebilir, şifre çözme işlemi için yapılacakları buradan öğrenebilirsiniz.

İkinci araç olan RakhniDecryptor’u, Belçika polisinin ele geçirdiği sunuculardan aldığımız ana anahtarları ekleyerek yakın bir zamanda güncelledik. Bunu da aynı siteden indirebilirsiniz. Yapmanız gerekenler şurada belirtiliyor. Cryakl’ın yeni sürümlerinin etkilediği dosyaların şifrelerini çözmek için RakhniDecryptor’u kullanmanız gerekiyor. Bu araçlardan herhangi biri Cryakl’ın etkilediği dosyaları tamamiyle eski hallerine getirecektir.

İleride nasıl korunabiliriz

Kripto fidye yazılımları söz konusu olduğunda, önlem almak etkilenmiş dosyaları kurtarmaktan daha ucuz ve daha basit. Başka bir deyişle, kendinizi şimdiden güvenceye almak ve sonrasında rahat uyumak dosyaların şifrelerini çözmekle uğraşmaktan çok daha iyi bir seçenek. Dosyalarınızı önceden koruyabilmek için bir iki tavsiye vermek isteriz:

  1. Mutlaka en önemli dosyalarınızın kopyalarını başka bir yerde bulundurun. Bu yer bulut, başka bir sürücü, bir bellek ya da başka bir bilgisayar olabilir. Yedekleme seçenekleri hakkında daha fazla bilgi için buraya bakabilirsiniz.
  2. Güvenli bir antivirüs yazılımı kullanın. Kaspersky Total Security gibi bazı güvenlik çözümleri bir yandan da dosya yedekleme konusunda yardımcı olabilirler.
  3. Güvenilir olmayan kaynaklardan program indirmeyin. Bu programların yükleyicileri bilgisayarınızda istemeyeceğiniz şeyler barındırıyor olabilir.
  4. Önemli ya da güvenilir gözükse bile, bilinmeyen göndericilerden gelen e-postalardaki ekleri açmayın. Şüpheye düşerseniz, resmi websitesinde kuruluşun telefon numarasını bulun ve kontrol etmek için bu numarayı arayın.