Emotet: Trojandan kendinizi en etkin şekilde nasıl koruyabilirsiniz?

Emotet nedir?

Emotet, orijinal olarak bankacılık Trojanı biçiminde geliştirilen, kötü amaçlı bir bilgisayar yazılım programıdır. Hedefi, yabancı cihazlara erişmek ve hassas özel verileri gözetlemektir. Emotet, temel antivirüs programlarını kandırması ve onlardan saklanmayı başarmasıyla tanınır. Kötü amaçlı yazılım sisteme girdiğinde bir bilgisayar solucanı gibi yayılır ve ağdaki diğer bilgisayarlara sızmaya çalışır.

Emotet genellikle spam e-postalar yoluyla yayılır. İlgili e-postada kötü amaçlı bir bağlantı veya virüs taşıyan bir belge bulunur. Belgeyi indirdiğinizde veya bağlantıyı açtığınızda, kötü amaçlı yazılım otomatik olarak bilgisayarınıza indirilir. Bu e-postalar gerçeğe son derece yakın bir görünümle hazırlanır ve birçok kişi Emotet yüzünden zarar görmüştür.

Emotet - süre ve açıklama

Emotet, ilk olarak 2014 yılında Alman ve Avusturya bankaları müşterilerinin Trojandan etkilenmesiyle keşfedildi. Emotet, müşterilerin oturum açma verilerine erişim kazanıyordu. Birkaç yıl içinde virüs küresel ölçekte yayılmayı başardı.

Emotet, evrim geçirerek bir bankacılık Trojanından, Yazılım Yükleyici adı verilen ve cihazlara kötü amaçlı yazılım yükleyen bir Trojana dönüştü. Böylece sistemdeki gerçek hasardan sorumlu bir yapıya kavuştu.

Birçok durumda aşağıdaki programlar "yüklenir":

Trickster (aynı zamanda TrickLoader ve TrickBot olarak da bilinir): Banka hesabı oturum açma verilerine erişim sağlamayı deneyen bir bankacılık Trojanı.
Ryuk: Aynı zamanda Cryptotrojan veya Fidye Yazılımı olarak da bilinen ve verileri şifreleyerek bilgisayar kullanıcısının bu verilere veya tüm sisteme erişmesini engelleyen bir Şifreleme Trojanı.

Emotet'in arkasındaki siber suçluların hedefi, kurbanlarından para sızdırmaktır. Örneğin, kurbanlarını erişim sağladıkları şifreli verileri paylaşmakla veya ifşa etmekle tehdit ederler.

Emotet kimleri hedefler?

Emotet, bireyleri hedeflediği gibi şirketleri, kuruluşları ve yetkili kurumları hedefleyebilir. 2018'de Emotet tarafından ele geçirildikten sonra, Almanya'daki Fuerstenfeldbruck hastanesi, virüs yayılımını kontrol altına almak için 450 bilgisayarı kapatmak ve kurtarma kontrol merkezi bağlantısını kesmek zorunda kaldı. Eylül 2019'da Berlin Temyiz Mahkemesi, Aralık 2019'da ise Giessen Üniversitesi virüsten etkilendi. Hannover Tıp Fakültesi ve Frankfurt am Main şehir yönetimi Emotet kurbanları arasında yer aldı.

Bunlar Emotet'ten etkilenen kuruluşların yalnızca birkaçıdır ve etkilenen ancak ifşa edilmeyen şirket sayısının çok daha yüksek olduğu düşünülmektedir. Ayrıca etkilenen birçok şirketin itibarlarının zarar görmesi korkusuyla ihlali bildirmek istemediği varsayılmaktadır.

Bunun yanı sıra Emotet'in ilk günlerinde genellikle şirketleri ve kuruluşları hedef aldığının, bugün ise Trojanın öncelikle bireyleri hedeflediğinin akılda tutulması önemlidir.

Hangi cihazlar Emotet riski altındadır?

Başlangıçta Emotet virüsü yalnızca Microsoft Windows işletim sisteminin en son sürümlerinde algılanıyordu. Bununla birlikte, 2019 yılının başından itibaren Apple tarafından üretilen bilgisayarlar da Emotet'ten etkilenmeye başladı. Suçlular, kullanıcıları Apple destek bölümünden gönderilmiş gibi görünen bir sahte e-posta ile tuzağa çekmeyi başardı. E-postada yanıt vermeyen şirketlerin "hesaplarına erişimin engelleneceği" belirtiliyordu. Kurbanlara daha sonra Apple hizmetlerinin devre dışı bırakılmasını ve silinmesini önlemek için bağlantıyı kullanmaları söyleniyordu.

Emotet Trojan nasıl yayılır?

Emotet genellikle Outlook toplama adı verilen yöntemle yayılır. Trojan, zaten etkilenen kullanıcılardan gelen e-postaları okur ve yanıltıcı gerçek içerik oluşturur. Meşru ve kişisel bir görünüme sahip olan bu e-postalar bilindik spam e-postalarından farklıdır. Emotet, bu kimlik avı e-postalarını arkadaşlar, aile üyeleri ve iş arkadaşları gibi kaydedilen kişilere gönderir.

E-postalarda genellikle alıcının indirmesi gereken virüs taşıyan bir Word belgesi veya tehlikeli bir bağlantı bulunur. Gönderici olarak her zaman doğru bir ad görüntülenir. Böylece alıcı e-postanın güvenli olduğunu düşünür: Her şey meşru bir e-posta gibi görünmektedir. Birçok durumda alıcılar tehlikeli bağlantıya tıklar veya virüs içeren eki indirir.

Emotet, ağa erişim sağladığında yayılabilir. Bu süreçte, kaba kuvvet yöntemini kullanarak hesapların parolalarını kırmaya çalışır. Emotet'in diğer yayılma yöntemi, Windows'da bulunan ve kötü amaçlı yazılımın insan müdahalesi olmadan yüklenmesine olanak sağlayan EternalBlue ve DoublePulsar güvenlik açıklarından yararlanmaktır. 2017'de, para sızdırmaya yönelik Trojan WannaCry, EternalBlue güvenlik açığından yararlanarak büyük bir siber saldırı gerçekleştirdi ve yıkıcı bir hasara neden oldu.

Emotet'in arkasında kim var?

Alman Bilgi Güvenliği Federal Ofisi (BSI) şu açıklamada bulundu:

"Emotet'i geliştirenler yazılımlarını ve altyapılarını üçüncü taraflara kiralayan kişilerdir".

Suçlular aynı zamanda hedeflerine ulaşmak için ek kötü amaçlı yazılımlara güvenmektedir. BSI suçluların finansal motivasyona sahip olduklarına inanıyor ve yaptıklarını casusluk olarak değil siber suç olarak yorumluyor. Emotet'in arkasında kimin bulunduğu sorusuna hala kesin bir yanıt verilemiyor. Hangi ülkelerde geliştirildiğine yönelik birçok dedikodu mevcut olsa da güvenilir bir kanıt bulunmuyor.

Emotet ne kadar tehlikelidir?

ABD Ulusal Güvenlik Bakanlığı, Emotet'in büyük yıkım gücüne sahip ciddi oranda pahalı bir yazılım olduğu sonucuna varmıştır. Olay başına temizleme maliyetinin yaklaşık bir milyon ABD doları civarında olduğu tahmin edilmektedir. Bu nedenle Alman Bilgi Güvenliği Federal Ofisi (BSI) başkanı Arne Schoenbohm, Emotet'i "kötü amaçlı yazılımların kralı" olarak adlandırmaktadır.

Emotet şüphe götürmez şekilde tarihteki en karmaşık ve en tehlikeli kötü amaçlı yazılımlardan biridir. Polimorfik yapıya sahip olan virüsün kodunun her erişildiğinde bir miktar değiştiği belirlendi.

Birçok antivirüs programının imza tabanlı arama gerçekleştirmesi, antivirüs yazılımının virüsü belirlemesini zorlaştırır. Şubat 2020'de Binary Search güvenlik araştırmacıları Emotet'in artık Wi-Fi ağlarına da saldırdığını keşfettiler. Etkilenen bir cihaz bir kablosuz ağa bağlandığında, Emotet yakındaki tüm kablosuz ağları tarar. Bir parola listesi kullanan virüs, ağlara erişim sağlamaya ve böylece diğer cihazlara bulaşmaya çalışır.

Siber suçlular toplumun korku duyduğu şeylerden avantaj sağlamayı severler. Dolayısıyla Emotet'in Aralık 2019'dan bu yana dünya çapında yaşanan koronavirüsün uyandırdığı korkudan fayda sağlaması şaşırtıcı olmamıştır. Trojanın arkasındaki siber suçlular genellikle toplumu koronavirüs hakkında bilgilendirmeyi ve eğitmeyi amaçlıyormuş gibi görünen sahte e-postalar oluşturmaktadır. Bu nedenle, gelen kutunuzda böyle bir e-posta görürseniz e-postadaki tüm ek veya bağlantılara ekstra dikkatli yaklaşın.

Kendimi Emotet'e karşı nasıl koruyabilirim?

Emotet ve diğer Trojanlara karşı koruma sağlamak için yalnızca antivirüs programlarına güvenmek yeterli değildir. Polimorfik virüsün algılanması son kullanıcılar için yalnızca ilk adımdır. Emotet veya diğer sürekli değişen Trojanlara karşı %100 koruma sağlayan bir çözüm mevcut değildir. Yalnızca organizasyonel ve teknik önlemler alarak enfekte olma riskini minimumda tutabilirsiniz.

Emotet'ten korunmaya yönelik ipuçları aşağıda verilmiştir:

Güncel kalın. Emotet'le ilgili gelişmelerden düzenli olarak haberdar olun. Bunu yapmanın Kaspersky Resource Center raporlarını okumak veya kendi araştırmanızı yapmak gibi birçok yolu mevcuttur.
Güvenlik güncellemeleri: Olası güvenlik açıklarının kapatılması için üreticiler tarafından sağlanan güncellemelerin en kısa süre içinde yüklenmesi çok önemlidir. Bu durum, Windows ve macOS işletim sistemlerinin yanı sıra tüm uygulama programları, tarayıcılar, tarayıcı eklentileri, e-posta istemcileri, Office ve PDF programları için geçerlidir.
Virüs koruması: Kaspersky Internet Security gibi eksiksiz bir virüs ve kötü amaçlı yazılım koruması programı yüklediğinizden ve bilgisayarınızın güvenlik açıklarına karşı düzenli olarak taranmasını sağladığınızdan emin olun. Bu yaklaşım size en yeni virüsler, casus yazılımlar vb. kötü amaçlı unsurlara karşı mümkün olan en iyi korumayı sağlayacaktır.
E-postalardaki şüpheli ekleri indirmeyin veya kuşku uyandıran bağlantılara tıklamayın. E-postanın sahte olup olmadığından emin değilseniz risk almayın ve gönderen kişiyle iletişim kurun. Bir makronun indirilen bir dosyayı çalıştırmasına izin vermeniz isteniyorsa bunu hiçbir durumda kabul etmeyin ve dosyayı derhal silin. Bu önlemler, Emotet'in bilgisayarınıza kolayca erişmesini engelleyecektir.
Verilerinizi düzenli olarak bir harici depolama cihazına yedekleyin. Böylece virüs bulaşması durumunda her zaman yeniden yükleyebileceğiniz ve cihazınızda bulunan verilerin kaybolmasını önleyen bir yedeklemeye sahip olursunuz.
Tüm oturum açma işlemlerinizde (çevrimiçi bankacılık, e-posta hesabı, çevrimiçi mağazalar) mutlaka güçlü parolalar kullanın. Parolanız için ilk köpeğinizin adını değil, harfler, sayılar ve özel karakterlerden oluşan rastgele bir dizilim belirleyin. Bu parolaları kendiniz düzenleyebilir veya çeşitli programlar tarafından oluşturulmalarını sağlayabilirsiniz. Ayrıca, günümüzde birçok program iki aşamalı kimlik doğrulama olanağı sunmaktadır.
Dosya uzantıları: Bilgisayarınızın, dosya uzantılarını varsayılan olarak görüntülemesini sağlayın. Bu eylem "Photo123.jpg.exe". gibi kötü amaçlı program olma ihtimali yüksek olan şüpheli dosyaların algılanmasını sağlar.

Emotet'i nasıl kaldırabilirim?

İlk olarak, PC'nizin Emotet'ten etkilendiğinden şüpheleniyorsanız panik yapmayın. E-posta iletişimlerinizde yer alan kişiler potansiyel olarak risk altında olduğundan yakınınızdaki kişileri bilgilendirin.

Ardından Emotet'in yayılma riskini azaltmak için bilgisayarınız ağa bağlı ise ağ bağlantısını kesin. Daha sonra, tüm hesaplarınızın (e-posta hesapları, web tarayıcıları vb.) oturum açma verilerini değiştirmelisiniz Bu işlemi virüsten etkilenmeyen veya aynı ağa bağlı olmayan bir cihazda gerçekleştirin.

Emotet polimorfik bir yapıya sahip olduğundan (virüsün kodu her erişildiğinde bir miktar değişime uğrar), temizlenen bir bilgisayar etkilenen bir ağa bağlandığında hızlı bir şekilde tekrar enfekte olabilir. Bu nedenle, ağınıza bağlı tüm bilgisayarları sırayla temizlemelisiniz. Bu işlemde size yardımcı olması için bir antivirüs programı kullanın. Alternatif olarak, rehberlik ve yardım için antivirüs yazılımı sağlayıcınız gibi bir uzmanla iletişime geçebilirsiniz.

EmoCheck: Araç gerçekten Emotet'e karşı yardımcı oluyor mu?

Japon CERT (Bilgisayar Acil Durum Müdahale Ekibi), bilgisayarınızın Emotet virüsünden etkilenip etkilenmediğini kontrol etmek için kullanılabilecek EmoCheck adında bir aracı piyasaya sundu. Bununla birlikte, Emotet polimorfik bir yapıya sahip olduğundan EmoCheck, bilgisayarınızın etkilenmemiş olduğuna dair %100 garanti sağlamaz.

EmoCheck, tipik karakter dizelerini algılar ve sizi olası Trojan bulaşmasına karşı uyarır. Ne var ki virüsün değişebilme özelliği nedeniyle bilgisayarınızın gerçek anlamda temizliğinin garantisinin verilemeyeceği akılda tutulmalıdır.

Son görüşler

Trojan Emotet, siber güvenlik tarihindeki en tehlikeli kötü amaçlı yazılımlardan biridir. Kişilerden, şirketlere ve küresel yetkili kuruluşlara kadar herkes kurban olabilir. Bunun nedeni, Trojanın sisteminize sızmayı başardığında sizi gözetleyen başka bir kötü amaçlı yazılım yüklemesidir.

Emotet kurbanlarının büyük bölümü verilerini geri alabilmeleri için fidye ödemeye zorlanmaktadır. Ne yazık ki hiçbir çözüm Emotet bulaşmasına karşı %100 koruma sağlayamaz. Bununla birlikte, bulaşma riskini azaltmak için birçok önlem alınabilir.

Bilgisayarınıza Emotet virüsünün bulaştığını düşünüyorsanız bilgisayarınızı temizlemek için bu makalede belirtilen eylemleri uygulamalı ve bilgisayarınızın Kaspersky kötü amaçlı yazılım koruması çözümleri gibi kapsamlı bir antivirüs çözümüyle korunduğundan emin olmalısınız.

İlgili makaleler: