Fidye virüsü
Fidye yazılımı[1][2], şantaj yazılımı[3] veya fidye virüsü[4][5] olarak bahsedilen yazılımlar ransomware olarak adlandırılan fidye yazılımlarına verilen genel bir addır. Fidye virüsleri (İng. ransomware) bulaştığı bilişim sistemleri üzerinde dosyaları erişimi engelleyerek kullanıcılardan fidye talep eden zararlı yazılımlardır. Fidye virüsü, kurbanın cihazı (bilgisayar, akıllı telefon, giyilebilir cihazlar vb.) üzerinde gizlice kendini yükleyen veya kurbanın verisini rehin tutan kriptoviroloji ile kriptoviral alıkoyma saldırısı başlatan ya da fidye ödenene kadar kurbanın verisini yayınlamakla tehdit eden bir kriptoviroloji saldırısı başlatan bir bilgisayar zararlı yazılımıdır. Basit bir fidye virüsü, bilgili bir kişinin geriye çevirmesi zor olan bir şekilde sistemi kilitler ve kilidi açmak için ödeme isteyen bir mesaj gösterir. Daha da gelişmiş zararlı yazılımlar, kurbanın dosyalarını şifreler, bunları erişilemez kılar ve bunların şifresini çözmek için bir fidyenin ödenmesini talep eder.[6] Fidye virüsü, bilgisayarın Ana Dosya Tablosu (MFT)[7][8] veya tüm sabit sürücüsünü[9] de şifreleyebilir. Şifreleme anahtarı olmadan dosyaların şifrelerinin çözülmesine karşı olduğu için, fidye virüsü bilgisayar kullanıcılarının dosyalarına erişimini engelleyen bir erişim dışı bırakma saldırısıdır,[10]. Fidye virüsü saldırıları, geçerli bir dosya olarak kendisini gizleyen bir Truva atı kullanılarak yürütülmektedir.
Bilgi güvenliği |
---|
Güvenlik kategorileri |
|
Tehditler |
|
Korunma |
|
Başlarda Rusya’da popüler olsa da, fidye virüsü dolandırıcılığı uluslararası düzeyde yaygınlaşmıştır.[11][12][13] Haziran 2013'te, güvenlik yazılımı dağıtıcılarından McAfee, 2013 yılının ilk çeyreğinde, 2012 yılının ilk çeyreğindeki rakamın yarısından daha fazla olan, 250000’den fazla eşsiz fidye virüsü çeşidinin tespit edildiğini gösteren veriler yayınlamıştır.[14] Otoriteler tarafından alt edilene kadar 3 milyon dolardan fazla toplayan CryptoLocker [15] ve [Federal Araştırma Bürosu (FBI)|FBI] tarafından Haziran 2015 itibarıyla 18 milyon dolardan fazla topladığı tahmin edilen CryptoWall[16] gibi Truva atları sayesinde, şifreleme tabanlı fidye virüslerini içeren geniş çaplı saldırılar artmaya başlamıştır.
En bilinen fidye virüsü CryptoLocker olarak adlandırılan ve bulaştığı bilgisayarlardaki bir takım dosyaları şifreleyerek kaydeden; şifrenin geri açılması için ise ukash[17], bitcoin[18], para vb. emtialar talep eden virüstür.
Çalışma mekanizması
Dosya şifreleyen fidye yazılımları, Columbia Üniversitesi’nden Young ve Yung tarafından keşfedilmiş ve uygulanmıştır ve 1996’da IEEE Güvenlik&Gizlilik konferansında sunulmuştur. Buna “kriptoviral alıkoyma” denilmektedir ve aşağıdaki 3’lü protokol saldırgan ve kurban arasında yürütülmektedir.[19]
- [saldırgan→kurban] Saldırgan bir anahtar çifti oluşturur ve karşılık gelen açık anahtarı kötü amaçlı yazılımın içerisine yerleştirir. Kötü amaçlı yazılım bırakılır.
- [kurban→saldırgan] Kriptoviral alıkoyma saldırısını gerçekleştirmek için, kötü amaçlı yazılım rastgele bir simetrik anahtar üretir ve kurbanın verilerini bu anahtar ile şifreler. Kötü amaçlı yazılımın içerisindeki açık anahtarı da simetrik anahtarı şifrelemek için kullanır. Bu işlem hibrid şifreleme olarak bilinmektedir ve kurbanın simetrik şifreli metni ile beraber küçük bir asimetrik şifreli metinle sonuçlanmaktadır. Simetrik anahtarı ve geri dönüşü engellemek için orijinal açık metni sıfırlamaktadır. Kullanıcıya, asimetrik şifreli metni ve fidyeyi nasıl ödeyeceğini belirten bir mesaj gösterir. Kurban, asimetrik şifreli metni ve e-parayı saldırgana gönderir.
- [saldırgan→kurban] Saldırgan ödemeyi alır, saldırganın gizli anahtarı ile asimetrik şifreli metni çözer ve simetrik anahtarı kurbana gönderir. Kurban ihtiyaç duyduğu simetrik anahtar ile şifrelenmiş veriyi çözer ve böylece kriptoviroloji saldırısını tamamlanır.
Simetrik anahtar rastgele olarak üretilir ve diğer kurbanlara yardımcı olamaz. Hiçbir şekilde saldırganın gizli anahtarı kurbanlara gösterilmez ve kurban sadece küçük bir şifreli metni (asimetrik şifreli metin) saldırgana yollamak zorundadır.
Fidye virüsü saldırıları, indirilen bir dosya veya bir ağ servisindeki açıklık ile sisteme giren bir Truva atı aracılığıyla yürütülmektedir. Program daha sonra, sistemi bir şekilde kilitleyen veya sistemi kilitleyeceğini iddia eden ama gerçekte etmeyen bir payload çalıştırır. Payloadlar, kolluk kuruluşu gibi bir varlık tarafından, gerçekte olmadığı halde, sistemin illegal aktiviteler için kullanıldığını veya pornografi ve korsan medya gibi içerik içerdiğini iddia eden bir gerçek dışı uyarı gösterebilmektedir.[20][21][22]
Bazı payloadlar, ödeme yapılana kadar genellikle Windows kabuğunu kendisine adayarak sistemi kilitleyen veya kısıtlayan[23] veya düzeltilene kadar işletim sisteminin başlatılmasını engellemek için ana önyükleme kaydı ve/veya bölüm tablosunu değiştiren bir uygulamadan oluşmaktadır.[24] En karmaşık payloadlar dosyaları, sadece kötü amaçlı yazılım yazarının ihtiyaç duyulan şifre çözme anahtarına sahip olacağı şekilde şifrelemektedir.[19][25][26]
Ödeme görünürde her zaman nihai amaçtır ve kurban, dosyaları çözebilecek bir program sağlanarak veya payloadun yaptığı değişiklikleri geri döndürecek bir kilit açma kodu gönderilerek –ki bu durum bazen gerçekleşmeyebilir- fidye virüsünün kaldırılması için ödeme yapmaya ikna edilir. Fidye virüsünün saldırgan için çalışmasını sağlayan ana unsurlardan birisi, takip edilmesi zor uygun bir ödeme yöntemidir. Kablolu transfer, ücretli SMS,[27], Paysafecard gibi önceden ödenmiş servisler[11][28][29], ve dijital para birimi olan Bitcoin [30][31][32], gibi pek çok ödeme şekli kullanılmıştır. Citrix tarafından yürütülen bir 2016 sayımı, büyük firmaların bitcoini acil eylem planı olarak tuttuğunu ortaya çıkartmıştır.[33]
Geçmişi
Şifreleme fidye virüsleri
Joseph Popp tarafından 1989’da yazılan ve bilinen ilk kötü amaçlı yazılım alıkoyma saldırısı olan AIDS Truva atı, alıkoyan kişiye ödeme yapılmasını gerekli kılmayan bir tasarım hatası içermekteydi. Payloadu, sabit disk üzerindeki dosyaları gizlemekte ve sadece dosya isimlerini şifrelemektedir. Ayrıca, bir yazılımın belirli bir kısmını kullanmak için kullanıcının lisansının süresinin dolduğunu belirten bir mesaj göstermektedir. Şifre çözme anahtarının Truva atı kodundan elde edilebilmesine rağmen, bir kurtarma aracı alabilmesi için kullanıcıdan “PC Cyborg Corporation”a 189 dolar ödemesi istenmektedir. Truva atı da “PC Cyborg” olarak bilinmektedir. Popp’un eylemlerinden ötürü yargılanması için zihinsel olarak uygun olmadığı belirtilmiştir, ancak kötü amaçlı yazılımdan kazandığı geliri AIDS araştırmalara destek olarak vermeye söz vermiştir.[34]
Fidye saldırıları için açık anahtar kriptolojisi kullanımı, 1996’da Adam L. Young ve Moti Yung tarafından ortaya çıkarılmıştır. Young ve Yung şifre çözme anahtarının Truva atı kodundan elde edilebileceği ölümcül tasarım hatası olan, AIDS Bilgi Truva atının sadece simetrik kriptografiye dayanması özelliğini eleştirmiştir ve RSA algoritmasını ve Küçük Şifreleme Algoritmasını kurbanın verisini hibrid olarak şifrelemek için kullanan deneysel bir demo kripto virüsünü Macintosh SE/30 üzerinde üretmişlerdir. Açık anahtar şifrelemesi kullanıldığı için, kripto virüs sadece “şifreleme” anahtarını içermektedir. Saldırgan karşılık gelen “gizli” anahtarı gizli tutmaktadır. Young ve Yung’un orijinal deneysel kripto virüsü, kurbanın asimetrik şifreli metni, şifreyi çözen ve kurbana bir fidye karşılığında içerdiği simetrik şifre çözme anahtarını gönderen saldırgana asimetrik şifreli metni göndermesini sağlamaktadır. Elektronik para kullanılmadan çok daha önce, Young ve Yung “virüsü yazan kişi, paranın yarısı kendisine verilene kadar fidye miktarının tamamını elinde tutabilir. E-para önceden kullanıcı tarafından şifrelenmiş olsa da, bir kripto virüs tarafından şifrelenirse kullanıcının hiçbir işine yaramayacaktır.”[19] Bu tür saldırıları, hem açık hem de gizli saldırılardan oluşan kriptoviroloji olarak anılan alandaki saldırıların büyük bir sınıfı olan ve açık bir saldırı olan “kriptoviral alıkoyma” saldırısı olarak isimlendirmişlerdir.[19]
Zor kullanan fidye virüsü örnekleri Mayıs 2005'te yaygın hale gelmiştir.[35] 2006 yılının ortalarıyla beraber, Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip ve MayArchive gibi Truva atları, daha karmaşık RSA şifreleme şemalarını daha da artan anahtar uzunlukları ile beraber kullanmaya başlamıştır. Haziran 2006’da tespit edilen Gpcode.AG, 660-bit RSA açık anahtarı ile şifrelenmiştir.[36] Haziran 2008’de, Gpcode.AK olarak bilinen bir versiyonu tespit edilmiştir. 1024-bit RSA anahtarı kullanarak, uyarlanmış dağıtık bir çaba olmaksızın şifrenin kırılmasının hesapsal olarak kullanılamaz olduğuna inanılmaktaydı.[37][38][39][40]
Şifreleme fidye virüsleri, 2013 sonlarına doğru fidyeyi Bitcoin platformunu kullanarak toplayan CryptoLocker’ın yaygınlaşması ile tekrar yaygın hale gelmiştir. Aralık 2013'te,15 Ekim ve 18 Aralık tarihleri arasındaki Bitcoin işlem bilgilerine dayanarak ZDNet, CryptoLocker sahiplerinin kullanıcılardan 27 milyon dolar civarında bir gelir elde ettiğini tahmin etmektedir.[41] CryptoLocker tekniği takip eden aylarda kopyalanmıştır: CryptoLocker 2.0 (CryptoLocker ile ilgisi olmasa da), CryptoDefense(Windows’un kendi şifreleme API’lerini kullandığı için, gizli anahtarı hedef sistem üzerinde taşıma gibi bir tasarım hatasına sahiptir) [31][42][43][44] ve 2014 Ağustos’da keşfedilen ve Synology tarafından üretilen ağa bağlı depolama cihazlarını hedef alan özel bir Truva atı.[45] Ocak 2015'te, fidye virüsü benzeri saldırıların sızma ve Linux tabanlı web sunucularını hedeflemek için tasarlanmış fidye virüsleri ile web sitelerine karşı yapıldığı raporlanmıştır.[46][47][48]
Bazı fidye virüsleri, komuta ve kontrol sunucularına bağlanmak için Tor gizli servislerine bağlı olan vekil sunucuları kullanmaktadır. Bu sayede, suçluların tam lokasyonunun bulunabilmesini zorlaştırmaktadır.[49][50] Ayrıca, dark web dağıtıcıları da bu teknolojiyi bir hizmet olarak sunmaya başlamıştır.[50][51][52]
Symantec fidye virüsü saldırılarını en tehlikeli siber tehdit olarak sınıflandırmıştır.[53]
Şifreleme kullanmayan fidye virüsleri
Ağustos 2010’da, Rus yetkilileri WinLock olarak bilinen fidye virüsü Truva atına bağlantısı olan dokuz kişiyi tutukladı. Önceli gpcode Truva atından aykırı olarak, WinLock şifreleme kullanmıyordu. Bunun yerine, WinLock pornografik resimler göstererek sisteme erişimi kısıtlıyordu ve kullanıcıların makinelerinin kilitlerini açabilmeleri için kullanılacak bir kodu vermek için kullanıcılardan bir SMS (yaklaşık 10 dolar civarında tutan) göndermelerini istiyordu. Bu dolandırıcılık faaliyeti, Rusya ve çevre ülkelerdeki pek çok kullanıcıyı etkilemiştir – raporlara göre grup 16 milyon dolardan fazla kazanmıştır.[22][54]
2011’de, Windows Ürün Aktivasyonu’nı taklit eden ve “dolandırıcılık mağduru” olduğu için sistemdeki Windows yüklemesinin tekrar aktive edilmesi gerektiği konusunda kullanıcıları bilgilendiren bir fidye virüsü Truva atı ortaya çıkmıştır. Online aktivasyon seçeneği sunulmuştur, ancak kullanıcının 6 haneli kodu girmesi için 6 uluslararası numaradan birisini arramasını gerektirdiği için kullanılamazdır. Kötü amaçlı yazılım bu aramanın ücretsiz olduğunu iddia etse de, yüksek uluslararası telefon ücreti olan bir ülkedeki sahte operatör üzerinden yönlendirdiği ve aramayı beklemeye aldığı için, büyük miktarlarda uluslararası mesafe ücretine neden olmaktadır.[20]
Şubat 2013'te, Stamp.EK istismar kitine dayanan bir fidye virüsü Truva atı ortaya çıkmıştır; kötü amaçlı yazılım ünlülerin “sahte çıplak fotoğraflarını” teklif etmiştir ve SourceForge ve GitHub gibi proje hosting hizmeti veren siteler aracılığıyla yayılmıştır.[55] Temmuz 2013'te, kullanıcıyı pornografi içeren içerik indirmekle suçlayan bir web sayfası gösteren OS-X’e özgü bir fidye virüsü Truva atı ortaya çıkmıştır. Windows tabanlı benzerlerinin aksine, tüm bilgisayarı engellememektedir, ancak normal yollarla sayfayı kapatma girişimlerini engelleyecek şekilde, web tarayıcılarını istismar etmektedir.[56]
Temmuz 2013'te, bilgisayarı tesadüfen yaşı küçük kızlarla cinsellikle ile ilgili yapmış olduğu konuşmaları içeren 21 yaşında Virginia’lı bir adam, çocuk pornografisi içeriğine sahip olmakla suçlayan bir FBI mesajını taklit eden bir fidye virüsü tarafından kandırıldıktan sonra polise teslim olmuştur. Soruşturma suç içeren dosyaları ortaya çıkarmıştır ve adam çocuk istismarı ve çocuk pornografisi içeriği bulundurma suçlarıyla suçlandırılmıştır.[57]
Leakware (veya Doxware)
Fidye virüslerinin karşıtı bir saldırı da, kurbanının veriye erişimini engellemek yerine kurbanın bilgisayarından elde ettiği verileri yayınlamakla tehdit eden bir kriptoviroloji saldırısıdır.[58] Bir leakware saldırısında, kötü amaçlı yazılım hassas verileri ya saldırgana gönderir ya da alternatif olarak kötü amaçlı yazılımın uzak örneklerine gönderir ve saldırgan fidye ödenene kadar kurbanın verilerini yayınlamakla tehdit eder. Saldırı 2003'te West Point’te sunulmuştur ve Malicious Cryptography kitabında şu şekilde özetlenmiştir: “The attack was presented at West Point in 2003 and was summarized in the book Malicious Cryptography as follows, "Saldırı alıkoyma saldırılarından aşağıdaki şekilde farklılık göstermektedir. Alıkoyma saldırısında, kurbanın kendi değerli bilgilerine erişimi engellenmektedir ve geri almak için ödeme yapması gerekmektedir, ancak burada bahsedilen saldırıda, kurbanın veriye olan erişimi devam etmektedir ama ifşa edilmesi bilgisayar virüsünün tercihidir.".[59] Saldırı oyun teorisinden kaynaklanmaktadır ve orijinal olarak “sıfır olmayan toplama oyunları ve kalımlı kötü amaçlı yazılım”. Saldırı, kötü amaçlı yazılımın kurban kullanıcı veya şirkete (saldırının başarılı olduğunun kanıtının yayınlanmasıyla kaynaklanan itibar kaybı gibi) zarar verebilecek bilgilere olan erişimi ele geçirdiği bazı durumlarda finansal kazanca yol açabilmektedir.
Mobil fidye virüsü
PC platformlarındaki fidye virüslerinin artan popülaritesi ile, mobil işletim sistemlerini hedef alan fidye virüsleri de çoğalmıştır. Genelde, mobil fidye virüsü payloadları, kolayca online senkronizasyon ile geri getirilebileceği için verileri şifreleme mantıklı olmadığı için, bloklayıcılardır.[60] Mobil fidye virüsü, uygulamaların üçüncü parti kaynaklardan yüklenebilmesine izin verdiği için genellikle Android işletim sistemlerini hedeflemektedir.[60][61] Payload genellikle şüpheli olmayan bir kullanıcı tarafından yüklenen bir APK dosyası olarak dağıtılmaktadır; diğer tüm uygulamaların üzerinde bir engelleyici mesaj göstermeye çalışabilir.[61] Bir başka türü de, sisteme daha fazla erişim sağlayabilmek için kullanıcının “cihaz yöneticisi” izni vermesine neden olan bir tür clickjacking saldırısı kullanmaktadır.[62]
iCloud hesaplarını istismar etmek ve cihaza erişimi engellemek için Find My iPhone uygulaması kullanımı gibi farklı taktikler iOS cihazlarında kullanılmaktadır.[63] iOS 10.3’de, Apple, fidye virüsü web siteleri tarafından istisar edilen Safari tarayıcılardaki JavaScript pençelerinin işleyişindeki bir sorunu güncellemiştir.[64]
Kayda değer örnekler
Reveton
2012’de, Reveton olarak bilinen büyük bir fidye virüsü Truva atı yayılmaya başladı. Citadel Truva atına (ki o da Zeus Truva atına dayanır) dayanarak, payloadu bir kolluk kuvveti ajansından bilgisayarın lisanssız yazılım veya çocuk pornosu gibi illegal aktiviteler için kullanıldığını iddia eden bir uyarı göstermektedir. Bu davranışından ötürü, genelde “Polis Truva atı” olarak anılmaktadır.[65][66][67] Uyarı, sistemlerinin kilidini çözebilmek için, Ukash veya Paysafecard gibi anonim önceden ödenmiş nakit hizmetleri kullanarak bir ücret ödemeleri gerektiğini söylemektedir. Bilgisayarın bir kolluk kuvveti tarafından takip edildiği hissini oluşturmak için, ekran bilgisayarın IP adresini göstermektedir. Ayrıca bazı versiyonlar, kurbanın takip edildiği hissini vermek için kurbanın webcaminden bir kamera görüntüsü göstermektedir.[11][68]
Reveton başlangıçta farklı Avrupa ülkelerinde 2012 başlarında yayılmaya başladı.[11] Varyasyonları, kullanıcının bulunduğu ülkeye bağlı olarak o ülkedeki farklı kolluk kuvveti organizasyonlarının logolarıyla tasarlanmış taslaklar ile bölgeselleştirilmiştir; örneğin, Birleşmiş Krallık’ta kullanılan varyasyonlarda Metropolitan Polis Teşkilatına ait simgeler yer almaktadır. Kullanıcıyı özelliikle illegal olarak müzik indirmekle suçlayan bir başka versiyonunda PRS for Music logosu kullanılmıştır.[69] Kötü amaçlı yazılım hakkındaki bir halk duyurusunda, Metropolitan polisi bir soruşturmanın parçası olarak hiçbir zaman bir bilgisayarı kilitlemeyeceklerini açıklamışlardır.[11][21]
Mayıs 2012’de, Trend Micro tehdit araştırmacıları, Kuzey Amerika’daki kullanıcıların hedeflenebileceği anlamına gelen, Amerika Birleşik Devletleri ve Kanada için bazı taslaklar keşfetmişlerdir.[70] Ağustos 2012 itibarıyla, bir MoneyPak kartı kullanarak FBI’ye 200 dolar ceza ödenmesi gerektiğini belirten yeni bir Reveton varyasyonu Amerika’da yayılmaya başlamıştır.[12][13][68] Şubat 2013'te, bir Rus vatandaşı İspanyol otoriteler tarafından Reveton kullanan bir suç örgütüne olan bağlantısından dolayı tutuklanmıştır; diğer bir on kişi de kara para aklama suçundan tutuklanmıştır.[71] Ağustos 2014'te, Avast Software payloadunun bir parçası olarak parola çalma kötü amaçlı yazılımı da dağıtan yeni Reveton varyasyonları bulduklarını raporlamıştır.[72]
CryptoLocker
Şifreleme fidye virüsü, 2048-bit RSA anahtar çifti üreten ve bunu bir komut-ve-kontrol sunucusuna gönderen ve dosyaları belirli dosya uzantılarından oluşan bir beyaz liste kullanarak şifreleyen ve “CryptoLocker” olarak bilinen bir Truva atı ile Eylül 2013'te tekrar ortaya çıkmıştır. Kötü amaçlı yazılım, eğer ödeme 3 gün içerisinde yapılmazsa gizli anahtarı silmek ile tehdit etmektedir. Büyük uzunluktaki anahtar değerleri kullandığı için, analizciler ve Truva atından etkilenenler CryptoLocker’dan kurtulmanın aşırı derecede zor olduğunu düşünmektedir.[30][73][74][75] Belirlenen süre geçtikten sonra da, gizli anahtar hala bir online araç kullanılarak, ilave bir 10 BTC ile elde edilebilmektedir.[76][77]
CryptoLocker, 2 Haziran 2014'te US Adalet Bakanlığı tarafından resmen ilan edildiği üzere, Operation Tovar’ın bir parçası olarak Gameover ZeuS’un hacizi ile izole edilmiştir. Adalet Bakanlığı, Rus hacker Evgeniy Bogachev hakkında botnet üzerindeki dahili için iddianame düzenlenmiştir.[78][79] Kötü amaçlı yazılım ortadan kaldırılmadan önce, en azından 3 milyon dolar kar getirdiği tahmin edilmektedir.[15]
Genellikle windows XP kullanıcılarını hedef alıyor ve masaüstüne erişimi engelleyerek tam ekran bir not ile "polis tarafından pornografik içeriğe eriştiğiniz tespit edildi. Hızlı bir şekilde xxx TL ücreti xxx hesaba gönderin" minvalinde fidye talep etmekteydi.
Ancak ABD ve AB ülkelerinde aynı dönemde yaygın olarak kullanılan CryptoLocker benzeri virüsler Microsoft tarafından windows XP'ye olan desteğin durdurulduğuna[80] dair açıklamanın ardından işletim sistemlerini yükselten bu ülkelerde başarısızlığa uğramaya başladı. Bunun üzerine hacker'lar, korsan yazılımların yaygın olduğu Romanya, Türkiye, Hindistan gibi ülkelere yöneldiler. Zira bu ülkelerde hala windows XP kullanımı hatırı sayılır derecede yaygındı.
CryptoLocker.F and TorrentLocker
Eylül 2014'te, CryptoWall ve CryptoLocker (CryptoLocker 2.0 da olduğu gibi orijinal CryptoLockerla ilgisi yok) isimleri altında, ilk olarak Avustralya’daki kullanıcıları hedef alan bir Truva atı dalgası meydana gelmiştir. Truva atları, Avustralya Postası’ndan gelmiş gibi gösterilen başarısız teslimat uyarısı görüntüsü altındaki sahte e-postalar aracılığıyla yayılmıştır; bir sayfadaki bütün linkleri inceleyerek kötü amaçlı yazılım analizi yapan e-posta tarayıcılarını atlatabilmek için, bu varyasyon kullanıcıların bir siteyi ziyaret etmesini sağlayarak ve payloadu indirmeden önce bir CAPTCHA kodu girilecek şekilde tasarlanmıştır. Böylece otomatize tarama araçları payloadu tarayamamaktadır. Symantec “CryptoLocker.F” olarak sınıflandırdığı bu yeni varyasyonların farklılıklarından dolayı orijinal CrupytoLocker ile bir ilgisinin olmadığına karar vermiştir.[81][82] Truva atlarının kayda değer bir mağduru da Avustralya Yayın Şirketi’dir.[83][84][85]
Bu dalgadaki başka bir Truva atı olan TorrentLocker başlangıçta CryptoDefense gibi bir tasarım hatası içermekteydi; tüm makineler için aynı bit selini kullanmıştır ki bu da şifrenin çözülmesini çok basitleştirmiştir. Ancak, bu tasarım hatası daha sonra düzeltilmiştir.[42] Kasım 2014 sonları itibarıyla, sadece Avustralya’da 9000 ve devamında sadece Türkiye’de 11700 kullanıcıyı etkilediği tahmin edilmektedir.[86]
CryptoWall
Windows işletim sistemini hedef alan bir başka büyük fidye virüsü olan CryptoWall, ilk olarak 2014'te görülmüştür. Bir CryptoWall türü, birkaç büyük web sitesini hedef alan ve 2014 Eylül sonlarında Zedo reklam ağında yapılan bir kötücül reklam kampanyası parçası olarak dağıtılmıştır; reklamlar payloadu indirmek için tarayıcı eklenti istismarlarını kullanan sahte web sitelerine yönlendirme yapmaktadır. Bir Barracuda Networks araştırmacısı, payloadun güvenlik yazılımları tarafından güvenilir olarak görülmesini sağlamak için bir dijital imza ile imzalandığını belirtmiştir.[87] CryptoWall 3.0, JPG resmi olarak gizlenen çalıştırılabilir kodu indiren ve JavaScript ile yazılmış bir payloadu kullanmaktadır. Tespit edilmemek için, kötü amaçlı yazılım sunucularıyla haberleşmek için explorer.exe ve svchost.exe’nin farklı örneklerini oluşturmaktadır. Dosyaları şifrelerken, kötü amaçlı yazılım gölge kopya servisi bilgilerini de silmekte ve parolaları ve Bitcoin cüzdanlarını çalan bir casus yazılım yüklemektedir.[88]
Haziran 2015'te FBI, yaklaşık 1000 kurbanın CryptoWall ile etkilendiği için büro ile irtibata geçtiğini ve en azından 18 milyon doların alındığını raporlamıştır.[16]
En güncel versiyonu olan CryptoWall 4.0, antivirüsleri atlatacak şekilde kodunu geliştirmiştir ve sadece dosyalardaki verileri değil aynı zamanda dosya adlarını da şifrelemektedir.[89]
Fusob
Fusob en büyük mobil fidye yazılımı türlerinden birisidir. Nisan 2015 ve Mart 2016 arasında, bildirilen mobil fidye virüslerinin yaklaşık yüzde 56’sı Fusob’dur.[90]
Tipik bir mobil fidye virüsü gibi, insanları bir fidye ödemeye ikna etmek için korkutucu taktikler uygulamaktadır.[91] Program suçlayıcı bir otorite gibi davranmakta ve kurbanın 100 ila 200 dolar arasında bir ceza ödemesi gerektiğini veya aksi takdirde hayali bir ceza ile karşılaşacağını belirtmektedir. Oldukça şaşırtıcı bir şekilde, Fusob ödeme için iTunes hediye kartlarının kullanılmasını önermektedir. Ayrıca, kullanıcının ekranında yer alan bir zaman sayacı da kullanıcıların kaygılanmasına yol açmaktadır.
Cihazları etkileyebilmek için, Fusob kendisini pornografik vidyo oynatıcısı gibi göstermektedir. Bu yüzden, zararsız olduğunu düşünen kurbanlar farkında olmadan Fusob’u indirmektedir.[92]
Fusob yüklendiğinde, ilk olarak cihazda kullanılan dili kontrol etmektedir. Eğer Rusça veya diğer Doğu Avrupa ülkelerinde kullanılan bir dili kullanıyorsa, Fusob bir şey yapmamaktadır. Aksi takdirde, cihazı kilitlemeye ve fidye istemeye devam etmektedir. Kurbanların %40’ı Almanya’da, %14.5’i Birleşik Krallık’ta ve %11.4’ü Amerika Birleşmiş Devletlerin’de bulunmaktadır.
Fusob, başka bir büyük mobil fidye virüsü türü olan Small ile pek çok ortak özelliğe sahiptir. İkisi beraber 2015 ve 2016 arasındaki mobil fidye virüslerinin %93’ünü oluşturmaktadır.
Korunma yöntemleri
Diğer kötü amaçlı yazılım türlerinde olduğu gibi, güvenlik yazılımları, özellikle koruyucu yazılım için bilinmeyen yeni bir versiyon dağıltılmışsa, fidye virüsü payloadlarını tespit edemeyebilir. Özellikle şifreleme payloadlarında, sadece şifreleme işlemi başladığında veya bittiğinde tespit edebilmektedir.[93] Eğer bir saldırı erken aşamada tespit edilirse, şifrelemenin yapılması biraz zaman almaktadır; bu süreç tamamlanmadan önce kötü amaçlı yazılımın kaldırılması halihazırda kaybedilen verileri kurtaramaksızın veriyi ilave zararı engelleyecektir.[94][95]
Alternatif olarak, güvenlik yazılımlarının yeni kategorileri, özellikle aldatma teknolojileri, imza tabanlı bir yaklaşım kullanmaksızın fidye virüslerini tespit edebilmektedir. Aldatma teknolojisi gerçek BT varlıklarını sahte SMB paylaşımları ile çevrelemektedir. Bu sahta SMB paylaşımları fidye virüslerini aldatmakta, fidye virüslerinin bu paylaşım klasörlerini şifrelemesini sağlamakta ve sonrasında saldırıyı durduracak ve organizasyonu normal işleyişine geri döndürecek siber güvenlik takımlarına alarm ve haber vermektedir. 2016 yılında pek çok duyuru ile bu özelliği destekleyen pek çok dağıtıcı[96] bulunmaktadır.[97]
Güvenlik uzmanları, fidye virüsleri ile baş etmek için önleyici tedbirler önermişlerdir. Bilinen payloadları engellemek için yazılım veya diğer güvenlik politikalarının kullanımı saldırıların engellenmesinde yardımcı olacaktır, ancak tüm saldırılara karşı koruma sağlayamayacaktır. Etkilenen bilgisayar tarafından erişilemeyecek bir yerde (harici depolama aygıtları gibi) verilerin “çevrimdışı” kopyalarının bulunması fidye virüslerinin bu verilere erişimini engelleyecek ve verinin geri kurtarılmasını hızlandıracaktır.[30][98]
Başarılı bir geri dönüş mümkün olmasa bile, fidye yazılımları tarafından kilitlenen dosyaların şifresini çözmeyi amaçlayan birçok araç bulunmaktadır.[7][99] Eğer aynı şifreleme anahtarı tüm dosyalar için kullanılmışsa, şifre çözme araçları hem bozulmamış (kripto analiz jargonunda açık metin) kopyası hem de şifreli hali bulunan dosyaları kullanmaktadır; anahtarın bulunması, eğer mümkünse, birkaç gün sürebilmektedir.[100]
Daha fazla bilgi
- A. Young, M. Yung (2004). Malicious Cryptography: Exposing Cryptovirology. Wiley. ISBN 0-7645-4975-8.
- Russinovich, Mark (7 Ocak 2013). "Hunting Down and Killing Ransomware (Scareware)". Microsoft TechNet blog. 16 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mayıs 2017.
- Simonite, Tom (4 Şubat 2015). "Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)". MIT Technology Review.
- Brad, Duncan (2 Mart 2015). "Exploit Kits and CryptoWall 3.0". The Rackspace Blog! & NewsRoom. 23 Ağustos 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mayıs 2017.
- "Ransomware on the Rise". The Federal Bureau of Investigation Ocak 2015.
- Yang, T.; Yang, Y.; Qian, K.; Lo, D.C.T.; Qian, L.; Tao, L. "Automated Detection and Analysis for Android Ransomware". IEEE Internet of Things Journal, CONFERENCE, Ağustos 2015.
- Richet, Jean-Loup. "Extortion on the Internet: the Rise of Crypto-Ransomware" (PDF). Harvard. 5 Mart 2017 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 7 Mayıs 2017.
Kaynakça
- "Fidye yazılımı 'WannaCry' Türkiye dahil 99 ülkede binlerce bilgisayarı etkiledi". BBC. 4 Ağustos 2017. 4 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ağustos 2017.
- "Terminology Search - Microsoft Language Portal". Microsoft. 4 Ağustos 2017. 6 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ağustos 2017.
- "Yeni bir şantaj yazılımı yarım milyon bilgisayarı etkiledi". DonanımHaber. 4 Ağustos 2017. 6 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ağustos 2017.
- "Wannacry'ın Yaraları Sarılmadan Petya Virüsü Tehdidi". Milliyet. 4 Ağustos 2017. 4 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ağustos 2017.
- "Fidye virüsü telefonlara sıçradı!". Sözcü. 4 Ağustos 2017. 6 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ağustos 2017.
- Mehmood, Shafqat (3 Mayıs 2016). "Enterprise Survival Guide for Ransomware Attacks". SANS Information Security Training | Cyber Certifications | Research. sans.org. 5 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 3 Mayıs 2016.
- Jack Schofield (28 Temmuz 2016). "How can I remove a ransomware infection?". The Guardian. 20 Mayıs 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Temmuz 2016.
- Michael Mimoso (28 Mart 2016). "Petya Ransomware Master File Table Encryption". threatpost.com. 18 Ağustos 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Temmuz 2016.
- Justin Luna (21 Eylül 2016). "Mamba ransomware encrypts your hard drive, manipulates the boot process". Neowin. 5 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Kasım 2016.
- Dr. Sam Musa. "5 Steps to Take on Ransomware". 13 Ocak 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mayıs 2017.
- Dunn, John E. "Ransom Trojans spreading beyond Russian heartland". TechWorld. 2 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Mart 2012.
- "New Internet scam: Ransomware..." FBI. 9 Ağustos 2012.
- "Citadel malware continues to deliver Reveton ransomware..." Internet Crime Complaint Center (IC3). 30 Kasım 2012. 4 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mayıs 2017.
- "Update: McAfee: Cyber criminals using Android malware and ransomware the most". InfoWorld. 2 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Eylül 2013.
- "Cryptolocker victims to get files back for free". BBC News. 6 Ağustos 2014. 9 Ağustos 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ağustos 2014.
- "FBI says crypto ransomware has raked in >$18 million for cybercriminals". Ars Technica. 23 Ekim 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 Haziran 2015.
- https://en.wikipedia.org/wiki/Ukash
- https://tr.wikipedia.org/wiki/Bitcoin
- Young, A.; M. Yung (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. ss. 129-140. doi:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
- "Ransomware squeezes users with bogus Windows activation demand". Computerworld. 3 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mart 2012.
- "Police warn of extortion messages sent in their name". Helsingin Sanomat. 3 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mart 2012.
- McMillian, Robert. "Alleged Ransomware Gang Investigated by Moscow Police". PC World. 25 Aralık 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Mart 2012.
- "Ransomware: Fake Federal German Police (BKA) notice". SecureList (Kaspersky Lab). 4 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Mart 2012.
- "And Now, an MBR Ransomware". SecureList (Kaspersky Lab). 4 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Mart 2012.
- Adam Young (2005). Zhou, Jianying; Lopez, Javier (Edl.). "Building a Cryptovirus Using Microsoft's Cryptographic API". Information Security: 8th International Conference, ISC 2005. Springer-Verlag. ss. 389-401.
- Young, Adam (2006). "Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?". International Journal of Information Security. 5 (2). Springer-Verlag. ss. 67-76. doi:10.1007/s10207-006-0082-7.
- Danchev, Dancho (22 Nisan 2009). "New ransomware locks PCs, demands premium SMS for removal". ZDNet. 26 Nisan 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Mayıs 2009.
- "Ransomware plays pirated Windows card, demands $143". Computerworld. 3 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mart 2012.
- Cheng, Jacqui (18 Temmuz 2007). "New Trojans: give us $300, or the data gets it!". Ars Technica. 12 Eylül 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Nisan 2009.
- "You're infected—if you want to see your data again, pay us $300 in Bitcoins". Ars Technica. 10 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ekim 2013.
- "CryptoDefense ransomware leaves decryption key accessible". Computerworld. IDG. 3 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2014.
- "What to do if Ransomware Attacks on your Windows Computer?". Techie Motto. 23 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 Nisan 2016.
- Parker, Luke (9 Haziran 2016). "Large UK businesses are holding bitcoin to pay ransoms". 9 Haziran 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Haziran 2016.
- Kassner, Michael. "Ransomware: Extortion via the Internet". TechRepublic. 21 Haziran 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Mart 2012.
- Schaibly, Susan (26 Eylül 2005). "Files for ransom". Network World. 19 Ekim 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 17 Nisan 2009.
- Leyden, John (24 Temmuz 2006). "Ransomware getting harder to break". The Register. 7 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Nisan 2009.
- Naraine, Ryan (6 Haziran 2008). "Blackmail ransomware returns with 1024-bit encryption key". ZDNet. 3 Ağustos 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 3 Mayıs 2009.
- Lemos, Robert (13 Haziran 2008). "Ransomware resisting crypto cracking efforts". SecurityFocus. 3 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Nisan 2009.
- Krebs, Brian (9 Haziran 2008). "Ransomware Encrypts Victim Files with 1,024-Bit Key". The Washington Post. 31 Mayıs 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Nisan 2009.
- "Kaspersky Lab reports a new and dangerous blackmailing virus". Kaspersky Lab. 5 Haziran 2008. 2 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Haziran 2008.
- Violet Blue (22 Aralık 2013). "CryptoLocker's crimewave: A trail of millions in laundered Bitcoin". ZDNet. 23 Aralık 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Aralık 2013.
- "Encryption goof fixed in TorrentLocker file-locking malware". PC World. 6 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- "Cryptolocker 2.0 – new version, or copycat?". WeLiveSecurity. ESET. 22 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ocak 2014.
- "New CryptoLocker Spreads via Removable Drives". Trend Micro. 4 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ocak 2014.
- "Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files". ExtremeTech. Ziff Davis Media. 19 Ağustos 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ağustos 2014.
- "File-encrypting ransomware starts targeting Linux web servers". PC World. IDG. 12 Eylül 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Mayıs 2016.
- "Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks". SecurityWeek. 20 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Mayıs 2016.
- "Hackers holding websites to ransom by switching their encryption keys". The Guardian. 5 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Mayıs 2016.
- "New ransomware employs Tor to stay hidden from security". The Guardian. 26 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Mayıs 2016.
- "The current state of ransomware: CTB-Locker". Sophos Blog. Sophos. 5 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Mayıs 2016.
- Brook, Chris (4 Haziran 2015). "Author Behind Ransomware Tox Calls it Quits, Sells Platform". 29 Eylül 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Ağustos 2015.
- Dela Paz, Roland (29 Temmuz 2015). "Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block". 16 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Ağustos 2015.
- "Symantec classifies ransomware as the most dangerous cyber threat – Tech2" (İngilizce). 22 Eylül 2016. 25 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Eylül 2016.
- Leyden, John. "Russian cops cuff 10 ransomware Trojan suspects". The Register. 22 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Mart 2012.
- "Criminals push ransomware hosted on GitHub and SourceForge pages by spamming 'fake nude pics' of celebrities". TheNextWeb. 16 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 17 Temmuz 2013.
- "New OS X malware holds Macs for ransom, demands $300 fine to the FBI for 'viewing or distributing' porn". TheNextWeb. 3 Ocak 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 17 Temmuz 2013.
- "Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges". Ars Technica. 9 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Temmuz 2013.
- Young, A. (2003). Non-Zero Sum Games and Survivable Malware. IEEE Systems, Man and Cybernetics Society Information Assurance Workshop. ss. 24-29.
- A. Young, M. Yung (2004). Malicious Cryptography: Exposing Cryptovirology. Wiley. ISBN 0-7645-4975-8.
- "Ransomware on mobile devices: knock-knock-block". Kaspersky Lab. 26 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Aralık 2016.
- "Your Android phone viewed illegal porn. To unlock it, pay a $300 fine". Ars Technica. 18 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2017.
- "New Android ransomware uses clickjacking to gain admin privileges". PC World. 30 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2017.
- "Here's How to Overcome Newly Discovered iPhone Ransomware". Fortune. 15 Mayıs 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2017.
- "Ransomware scammers exploited Safari bug to extort porn-viewing iOS users". Ars Technica. 28 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2017.
- "Gardaí warn of 'Police Trojan' computer locking virus". TheJournal.ie. 5 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Mayıs 2016.
- "Barrie computer expert seeing an increase in the effects of the new ransomware". Barrie Examiner. Postmedia Network. 10 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Mayıs 2016.
- "Fake cop Trojan 'detects offensive materials' on PCs, demands money". The Register. 9 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ağustos 2012.
- "Reveton Malware Freezes PCs, Demands Payment". InformationWeek. 14 Mayıs 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ağustos 2012.
- Dunn, John E. "Police alert after ransom Trojan locks up 1,100 PCs". TechWorld. 2 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ağustos 2012.
- Constantian, Lucian. "Police-themed Ransomware Starts Targeting US and Canadian Users". PC World. Erişim tarihi: 11 Mayıs 2012.
- "Reveton 'police ransom' malware gang head arrested in Dubai". TechWorld. 14 Aralık 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ekim 2014.
- "'Reveton' ransomware upgraded with powerful password stealer". PC World. 2 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ekim 2014.
- "Disk encrypting Cryptolocker malware demands $300 to decrypt your files". Geek.com. 4 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Eylül 2013.
- "CryptoLocker attacks that hold your computer to ransom". The Guardian. 5 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ekim 2013.
- "Destructive malware "CryptoLocker" on the loose - here's what to do". Naked Security. Sophos. 8 Mayıs 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ekim 2013.
- "CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service". NetworkWorld. 5 Kasım 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Kasım 2013.
- "CryptoLocker creators try to extort even more money from victims with new service". PC World. 30 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Kasım 2013.
- "Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet". Computerworld. IDG. 3 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ağustos 2014.
- "U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator". Justice.gov. U.S. Department of Justice. 3 Eylül 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ağustos 2014.
- https://tr.wikipedia.org/wiki/Windows_XP#Windows_XP.27nin_geli.C5.9Fimi
- "Australians increasingly hit by global tide of cryptomalware". Symantec. 29 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- Grubb, Ben (17 Eylül 2014). "Hackers lock up thousands of Australian computers, demand ransom". Sydney Morning Herald. 20 Ekim 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- "Australia specifically targeted by Cryptolocker: Symantec". ARNnet. 3 Ekim 2014. 7 Ekim 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- "Scammers use Australia Post to mask email attacks". Sydney Morning Herald. 15 Ekim 2014. 16 Ekim 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- Steve Ragan (7 Ekim 2014). "Ransomware attack knocks TV station off air". CSO. 12 Ekim 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- "Over 9,000 PCs in Australia infected by TorrentLocker ransomware". CSO.com.au. 11 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Aralık 2014.
- "Malvertising campaign delivers digitally signed CryptoWall ransomware". PC World. 19 Temmuz 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 Haziran 2015.
- "CryptoWall 3.0 Ransomware Partners With FAREIT Spyware". Trend Micro. 18 Ekim 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 Haziran 2015.
- Andra Zaharia (5 Kasım 2015). "Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect". HEIMDAL. 10 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Ocak 2016.
- "Ransomware on mobile devices: knock-knock-block". Kaspersky Lab. 26 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Aralık 2016.
- "The evolution of mobile ransomware". Avast. 10 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Aralık 2016.
- "Mobile ransomware use jumps, blocking access to phones". PCWorld. IDG Consumer & SMB. 7 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Aralık 2016.
- "Yuma Sun weathers malware attack". Yuma Sun. 8 Ekim 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ağustos 2014.
- Cannell, Joshua. "Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014". Malwarebytes Unpacked. 14 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 19 Ekim 2013.
- Leyden, Josh. "Fiendish CryptoLocker ransomware: Whatever you do, don't PAY". The Register. 10 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ekim 2013.
- Shaw, Ray (20 Temmuz 2016). "The Best Defense Against Cyber Attack". IT Wire. itwire.com. 20 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Aralık 2016.
- Goedert, Joseph (26 Ağustos 2016). "Tool Turns Tables on Ransomware". information-management.com. Information Management. 4 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Aralık 2016.
- "Cryptolocker Infections on the Rise; US-CERT Issues Warning". SecurityWeek. 19 Kasım 2013. 10 Haziran 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Ocak 2014.
- "List of free Ransomware decryptor Tools to unlock files". Thewindowsclub.com. 10 Mayıs 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Temmuz 2016.
- "Emsisoft decrypter for HydraCrypt and UmbreCrypt Ransomware". Thewindowsclub.com. 5 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Temmuz 2016.
Dış bağlantılar
- Cryptovirology Labs website 18 Eylül 2020 tarihinde Wayback Machine sitesinde arşivlendi.
- Incidents of Ransomware on the Rise – Federal Bureau of Investigation
- Geeknights 20160418: Ransomware 5 Mart 2017 tarihinde Wayback Machine sitesinde arşivlendi.
- Fidye Virüslerinden Korunma Programları