FBI ve benzeri kanun koruyucuları taklit eden fidye tuzakları (ransomware), kullanıcılar için ciddi bir endişe haline gelmeye başladı. Üstelik, tuzaklar yeni eklenen ses dosyaları ve son olarak da sahte dijital imzalarla iyice geliştiler.
Aynı sahte dijital imzayı taşıyan iki örneğe rastladık, Trend Micro olarak ikisini de TROJ_RANSOM.DDR ismiyle tanımlarımıza ekledik. Kıdemli Tehdit Araştırmacısı David Sancho’ya göre dijital imzanın ismi ve yayınlayan kurum oldukça şüpheli. Sancho, bu dijital imzanın tüm amacının dijital imza kontrol mekanizmalarını aşmak olduğunu düşünüyor.
Bu dosyaların sistemlerine bulaşması için kullanıcıların kötü niyetle hazırlanmış sitelere girmeleri ya da sistemlerindeki Java açıklarını kullanan siteleri ziyaret etmeleri yeterli.
Bir kere çalıştırıldığında, TROJ_RANSOM.DDR sistemi esir alıyor ve kullanıcıların sisteme erişimini engelliyor. Bundan sonra, kullanıcıyı korkutacak ve talep edilen miktarı ödemesini sağlayacak bir uyarı mesajı görüntüleniyor. Kullanıcıları daha da korkutmak için bu uyarı mesajı genelde FBI gibi kanun koruyuculardan kaynaklanıyor gibi gösteriliyor ve kullanıcının Internet üzerinde yasadışı (ya da ayıp) bir şeyler yapmış olduğu iddia ediliyor.
Araştırmalarımıza göre, rastladığımız iki örnek iki farklı yasal kurumu taklit ediyor. İlk örnek FBI kaynaklı gibi gözüküyor, ikinci örnekse kendini İngiliz polisinin Police Central e-Crime Unit bölümünden gelmiş gibi göstermekte.
İlk olarak 2005 yılında Rusya’da görülen bu fidye tuzakları zaman içinde diğer Avrupa ülkelerine ve en sonunda ABD ve Kanada’ya sıçradı. Tüm bu tuzakların ortak noktası, sistemlerin kontrolünü ele geçirerek ve kullanıcıları korkutarak çeşitli yollardan kullanıcıdan para (başka deyişle “fidye”) koparması.
Editörün Notu: Bahsedilen fidye yazılımlarının Türk Emniyet Teşkilatı kaynaklı gibi gösterilmiş versiyonları ülkemizde de aktif olarak dağıtılmakta.
Bu tuzakların en yeni sürümleri, kurbanlarının konumlarını belirleyebiliyor. Yazılım bu sayede saldırganların, kurbanları hangi ülkedense o ülkenin polis teşkilatını taklit etmelerine olanak sağlıyor.
Dijital imzalar yazılım üreticileri tarafından ürünlerinin orijinalliğini belgelemek için kullanılmaktalar. Siber-korsanlarsa kullanım ömrü dolmuş ya da sahte dijital imza ve sertifikalar kullanarak zararlı yazılımları kullanıcılara masum uygulamalarmış gibi gösterebiliyorlar. Daha geçtiğimiz Ekim ayında Adobe firması kullanıcıları Adobe kaynaklı dijital imzalar taşıyan kötü amaçlı yazılımlara karşı uyardı. Çok konuşulan FLAME gibi kimi hedeflenmiş saldırı araçlarının da Microsoft kaynaklı sertifikalara sahip dosyalar içerdiği biliniyor.
Trend Micro Smart Protection Network™ uygulamamız kullanıcılarını bu tehditlerden aralarında TROJ_RANSOM.DDR varyantlarının da bulunduğu tuzakları belirleyerek ve silerek koruyor. Bu tehditle karşılaşmamak için kullanıcıların bilmedikleri siteleri ziyaret ederken dikkatlı olmaları ve kuşkulu yerlerden gelen linkleri tıklamamaları gerekiyor.
Polisiye fidye tuzakları hakkında en son bilgiler için yayınladığımız Police Ransomware Update isimli raporu gözden geçirmenizi öneririz.
Diana Lopera’nın katkılarıyla hazırlanmıştır.
23 Kasım 2012 3:24 AM tarihli güncelleme
TROJ_RANSOM.DDR tanımı TROJ_RANSOM.SMJA olarak değiştirildi.