Şifrelenmişi şifrelemek: STOP şifre çözücüdeki Zorab Truva Atı

İnsanlar fidye yazılımlarının dosyalarını şifrelediğini fark edince ne yaparlar? Muhtemelen ilk önce paniğe kapılır, ardından endişe eder, sonra da saldırganlara herhangi bir fidye ödemeden veri kurtarmanın yollarını ararlar (bu beyhude bir çaba olsa da). Başka bir deyişle, çevrimiçi bir çözüm bulmak için sorunu Google’larlar veya sosyal ağlar üzerinden tavsiye isterler. Kötü amaçlı yazılımı STOP/Djvu kurbanlarına yardım etmeyi amaçlayan bir araca yerleştiren Zorab Truva Atı yaratıcılarının istediği de tam olarak buydu.

Yem olarak sahte STOP şifre çözücü

Siber suçlular, verileri şifreleyen ve sürüme bağlı olarak değiştirilen dosyalara djvu, .djvus, .djvuu, .tfunde, ve .uudjvu gibi bir uzantı atayan STOP/Djvu fidye yazılımı kurbanlarının zaten karşılaştığı sorunları daha da kötüleştirmeye karar vermişlerdi. Zorab’ın yaratıcıları, bu dosyaların şifresini çözdüğünü iddia ettikleri yardımcı bir program yayınladı, ancak bu program aslında dosyaları tekrar şifreliyordu.

Gerçekten de STOP’ın önceki sürümleri tarafından güvenliği ihlal edilen dosyaların şifresi çözülebiliyordu; Emsisoft Ekim 2019’da bir araç yayınlamıştı. Ancak modern sürümler, mevcut teknolojinin kıramayacağı daha güvenilir bir şifreleme algoritması kullanıyor. Yani en azından şimdilik, STOP/Djvu’nun modern versiyonları için herhangi bir şifre çözme programı mevcut değil.

“Şimdilik” diyoruz, çünkü şifre çözme araçları iki durumdan birinde ortaya çıkıyor: Ya siber suçlular şifreleme algoritmasında bir hata yapıyor (veya sadece zayıf bir şifre kullanıyor) ya da polis, sunucularını buluyor ve ele geçiriyor. Elbette, içerik oluşturucular anahtarları gönüllü olarak da yayınlayabilirler, ancak bu pek muhtemel değildir. Yayınlasalar bile, bilgi güvenliği şirketleri yine de kurbanların verilerini geri yüklemek için kullanabileceği kullanışlı bir yardımcı program oluşturmak zorundadır. Shade fidye yazılımının vurduğu dosyalar için yayınlanan anahtarlar için de böyle oldu ve bu yıl Nisan ayında bir şifre çözme programı yayınladık.

Bir şifre çözücünün sahte olup olmadığı nasıl anlaşılır

Adı sanı belli olmayan, anonim iyi niyetli kişilerin bir şifre çözme yardımcı programı yaratması, bilinmeyen bir siteye yerleştirmesi veya bir forum veya sosyal ağda doğrudan bir bağlantı sağlaması olasılığı çok düşüktür. Gerçek yardımcı programları, bilgi güvenliği şirketlerinin web sitelerinde veya nomoreransom.org gibi fidye yazılımlarıyla savaşmaya adanmış özel portallarda bulabilirsiniz. Başka bir yerde bulunan araçlara şüpheyle yaklaşın.

Siber suçlular paniğe güvenir; dosyalarını bir şifreleyiciye kaptıran birinin dosyaları kurtarmak için her şeyi yapabileceğini düşünürler. Bir aracın iyi niyetli olduğuna inansanız bile, sakin ve objektif kalmanız ve siteyi düzgün bir şekilde doğrulamanız önemlidir. Gerçekliği konusunda herhangi bir şüpheniz varsa o araca dokunmayın.

Zorab ve diğer fidye yazılımlarına karşı kendinizi nasıl koruyabilirsiniz

• Kaynaklarına güvenmiyorsanız şüpheli bağlantıları izlemeyin veya yürütülebilir dosyaları çalıştırmayın. Bir şifre çözücü arıyorsanız en güvenilir kaynaklar, yani aramaya başlamanız gereken yerler; noransom.kaspersky.com, nomoreransom.org (birkaç şirket tarafından yürütülen ortak bir proje) ve diğer güvenlik çözümü sağlayıcılarının siteleri olacaktır. Başka bir yerde bir yardımcı program bulursanız kullanmayı düşünmeden önce yazarlarının ve yayınlandığı sitenin doğruluğunu kontrol etmenizi şiddetle tavsiye ederiz.
• Önemli dosyaların yedek kopyalarını oluşturun.
• Bilinen fidye yazılımlarını tespit eden ve bilinmeyen bir şeyle karşılaştığında dosyaları değiştirme girişimlerini tanımlayan ve engelleyen güvenilir bir güvenlik çözümü kullanın.

Fidye yazılımlarından korkan ancak diğer korumalara güvenen şirketler için de bağımsız Kaspersky Anti-Ransomware Tool yazılımını sunuyoruz. Kaspersky Anti-Ransomware Tool, çoğu güvenlik çözümüyle uyumlu olarak bu savunma hatlarını aşabilecek tehditleri tespit eder.