Kullanıcıları yeni çıkan fidye yazılımlarından korumayı amaçlayan Kaspersky Lab, CryptXXX kurbanlarının şifreli dosyaları temizlemelerine yardımcı olacak yeni bir şifre çözme aracı geliştirdi. Kötü amaçlı bir fidye yazılımı olan CryptXXX, dosyaları kilitlemek, verileri kopyalamak ve Bitcoin (sanal para) hırsızlığı yapmak için Windows cihazları hedef alıyor.
CryptXXX fidye yazılımı, internet kullanıcılarına virüslü ekler veya kötü amaçlı web sitelerine bağlantılar içeren spam e-postalar yoluyla gönderiliyor. Ayrıca Angler İstismar Kiti (EK) içeren web sayfaları da CryptXXX yayıyor. CryptXXX fidye yazılımı, bilgisayara girdikten sonra virüslü sistemin dosyalarını şifreliyor ve dosya ismine bir şifre uzantısı ekliyor. Ardından daha güçlü bir şifreleme algoritması olan RSA-4096 aracılığıyla kurbanlara dosyalarının şifrelendiği bildiriliyor ve onlardan verilerine yeniden erişebilmeleri için bitcoin fidyesi talep ediliyor.
Şu anda internette en az 50 fidye yazılımı gezinmesine rağmen, bu tehditlere ya da saldırıların etkisine karşı koyabilecek genel-geçer bir algoritma bulunmuyor. Ancak CryptXXX suçlularının RSA-4096 hakkında yaydıkları iddiaların abartıldığı ortaya çıktı ve Kaspersky Lab, şu anda Kaspersky Lab destek sitesinde de mevcut olan bir şifre çözme aracı geliştirmeyi başardı.
Kurbanlar, CryptXXX fidye yazılımı sistemlerine girmiş olsa bile Kaspersky Lab’in Üst Düzey Kötü Amaçlı Yazılım Analisti Fedor Sinitsyn’in çalışmaları sonucunda geliştirilen araç sayesinde fidyeyi ödemek zorunda kalmadan dosyalarını kurtarabilecekler. Kaspersky Lab aracının etkilenen dosyaların şifresini çözmek için ihtiyaç duyduğu tek şey, CryptXXX’den zarar gören en az bir adet dosyanın orijinal, yani şifrelenmemiş versiyonu.
Kaspersky Lab çözümleriyle geliştirilen Otomatik İstismar Önleme teknolojisi CryptXXX fidye yazılımının kullandığı Angler istismar kitini ilk aşamalardan tespit ettiği için, Kaspersky Lab çözümlerinin kullanıcılarına daha fazla koruma sunuluyor.
Kaspersky Lab ürünlerinin bu istismar kitini tespit etmesini sağlayan işaretler ise şunlar: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Virüsten korunmak için kullanıcıların yapması gerekenler ise şunlar:
- Düzenli olarak bilgisayarlarını yedeklemek.
- İşletim sistemi ve tarayıcılarla ilgili bütün önemli güncellemeleri yüklemek. CryptXXX tarafından kullanılan Angler istismar kiti, fidye yazılımlarını indirmek ve yüklemek için yazılım açıklarından da faydalanıyor.
- Bir güvenlik çözümü yüklemek. Kaspersky İnternet Security fidye yazılımlarına karşı çok katmanlı bir koruma sağlıyor. Kaspersky Total Security ise otomatik yedeklemeler yaparak bu çok yönlü korumayı tamamlıyor.
BT altyapılarını şifreli kötü amaçlı yazılımlardan koruyacak şekilde geliştirilen Anti-Cryptor teknolojisine sahip Kaspersky Windows Server Güvenlik uygulaması, işletmeler tarafından da kullanılabiliyor.