Bir çok bilgisayar kullanıcısının canını yakan, bilgisayarında önemli veriler bulunduran, muhasebe kayıtları tutan bir çok kişinin bilgisayarı bilgisayar korsanlarınca ele geçiriliyor.

TTNet ya da GSM şirketlerinden geliyormuş izlenimi verilen "fatura" e-maillerine dikkat!

nternet kullanıcılarını hedef alan ve geçtiğimiz aylarda uzun süre internet kullanıcılarına musallat olan KriptoKilit saldırıları, bertaraf edildikten sonra güncel sürümü ile daha büyük tehdit olarak karşımıza çıktı.

Trabzonda’da bir çok kişinin etkilendiği “kriptokilit” saldırıları sonucu çok sayıda şirket ve mali müşavir zor günler geçirdi.

Mailinize gelen TTNET ya da GSM şirketlerinden geliyormuş izlenimi veren fatura e-maillerine tıkladığınızda, Kendini açık bir şekilde CryptoLocker olarak tanıtan bu yeni zararlı yazılım, yine kullanıcılara ait belli uzantılara sahip dosyaları şifreliyor ve bu verilerin kurtarılması için kullanıcılardan “Şifre çözme yazılımı” adında bir yazılım satın almaları isteniyor.

Kullanıcının bilgisayarına bulaşıp, kullanıcılara ait verileri şifreleyen ve verilere ulaşım için para isteyerek kullanıcılara şantaj yapan zararlı yazılım, normal bilgisayar kullanıcılarını ciddi bir şekilde tehdit ediyor. Zararlı yazılımın görevi tamamlandıktan sonra, şifrelenen verilere, saldırganın yardımı olmadan ulaşmanın bir yolu maalesef henüz bulunmuyor. Fakat şifreleme işlemi bitmeden önce zararlı yazılımın varlığı anlaşılabilirse gerekli şifrelere ulaşıp, şifrelenmiş verileri açmak mümkün olabiliyor.

İşte Virüsün Bulaşma Şekli:

1-Zararlı yazılım "fatura e-postaları" şeklinde kullanıcılara "yüksek fatura tutarı" olan e-posta gönderiyor.

2-Faturanın yüksek tutarından ötürü fatura hakkında bilgi almak isteyen kullanıcılar faturayı görmek istediklerinde şekilde gösterilen web adresine yönlendiriliyorlar. Kapçayı girip indir butonuna tıklanıldığında “.zip” uzantılı bir dosya indiriliyor. Bu dosyanın içinde ise “.exe” uzantılı fatura dosyası bulunuyor.

3- İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına bulaşıyor ve içi boş olmayan .doc, .docx, .pdf, .txt, .7z, .rar, .zip tipinde olan dosyalar şifreleniyor.

4-Şifrelenen dosyaların yeni uzantıları .encrypted oluyor.

5-Zararlı yazılım bilgisayardaki verileri şifreleme işlemini bitirdikten sonra ekrana bir sayfa çıkarıyor. zararlı yazılım şifrelenen veriler karşılığında Şifre çözme yazılımı adı altında bir yazılımın satın alınmasını istiyor. Ve bu yazılımın alınmasına kadar bazı evrelerin takip edilmesi gerekiyor.

Virüs şifreleme eylemini tamamladıktan sonra ekrana gelen bir yazı ile kullanıcının bilgisayarındaki şifreleri kaldırabilmesi için gerekli evreleri takip etmesi isteniyor.

Kullanıcı Borsaya yönlendiriliyor.

-Gelen talimat doğrultusunda kullanıcının adresi verilen bir internet adresine üye olması talep ediliyor.

-Bu adrese üye olma işlemini tamamlayan kullanıcıya gelen bir mail, onu Borsaya yönlendirerek belirtilen şirket üzerinden 820.00 Tl lik hisse senedini alması isteniyor (Bu alınan hisse senedi bedeli kullanıcılarda farklı rakamlar olabiliyor)

- Hisse senedi alım bilgilerinin yine kullanıcı tarafından farklı bir adrese gönderilmesi talep ediliyor, bu adrese gönderilen alım belgeleri ardından yine farklı bir mail ile kullanıcının neler yapması gerektiği bilgisi geliyor.

- Gelen bu yeni mailde kullanıcının Borsadan aldığı hisse senetlerinin devri ile ilgili yeni bir adres yönlendirmesi yapılarak, kullanıcının aldığı hisse senetlerinin devri isteniyor.

- Hisse senedi devredildikten sonra gelen bir mail ile kullanıcının şifrelenen bilgisayarına virüs programı yükleme işlemi başladığı ve 3 – 4 saat bir sürenin ardından Bilgisayarın normale döneceği bilgisi geliyor.

- Bu mailin gelmesinin ardından 30 dakika ile 3 saat arasında geçen bir sürede Bilgisayardaki şifreleme kalkarak normal şekline dönüyor.