STOP şifre çözücüdeki Zorab Truva Atı

Siber suçlular, STOP Truva Atı tarafından şifrelenen dosyaların şifresini çözmek için bir araç kılığında gizledikleri bir fidye yazılımını yayıyor.

İnsanlar fidye yazılımlarının dosyalarını şifrelediğini fark edince ne yaparlar? Muhtemelen ilk önce paniğe kapılır, ardından endişe eder, sonra da saldırganlara herhangi bir fidye ödemeden veri kurtarmanın yollarını ararlar (bu beyhude bir çaba olsa da). Başka bir deyişle, çevrimiçi bir çözüm bulmak için sorunu Google’larlar veya sosyal ağlar üzerinden tavsiye isterler. Kötü amaçlı yazılımı STOP/Djvu kurbanlarına yardım etmeyi amaçlayan bir araca yerleştiren Zorab Truva Atı yaratıcılarının istediği de tam olarak buydu.

Yem olarak sahte STOP şifre çözücü

Siber suçlular, verileri şifreleyen ve sürüme bağlı olarak değiştirilen dosyalara djvu, .djvus, .djvuu, .tfunde, ve .uudjvu gibi bir uzantı atayan STOP/Djvu fidye yazılımı kurbanlarının zaten karşılaştığı sorunları daha da kötüleştirmeye karar vermişlerdi. Zorab’ın yaratıcıları, bu dosyaların şifresini çözdüğünü iddia ettikleri yardımcı bir program yayınladı, ancak bu program aslında dosyaları tekrar şifreliyordu.

Gerçekten de STOP’ın önceki sürümleri tarafından güvenliği ihlal edilen dosyaların şifresi çözülebiliyordu; Emsisoft Ekim 2019’da bir araç yayınlamıştı. Ancak modern sürümler, mevcut teknolojinin kıramayacağı daha güvenilir bir şifreleme algoritması kullanıyor. Yani en azından şimdilik, STOP/Djvu’nun modern versiyonları için herhangi bir şifre çözme programı mevcut değil.

“Şimdilik” diyoruz, çünkü şifre çözme araçları iki durumdan birinde ortaya çıkıyor: Ya siber suçlular şifreleme algoritmasında bir hata yapıyor (veya sadece zayıf bir şifre kullanıyor) ya da polis, sunucularını buluyor ve ele geçiriyor. Elbette, içerik oluşturucular anahtarları gönüllü olarak da yayınlayabilirler, ancak bu pek muhtemel değildir. Yayınlasalar bile, bilgi güvenliği şirketleri yine de kurbanların verilerini geri yüklemek için kullanabileceği kullanışlı bir yardımcı program oluşturmak zorundadır.

Bir şifre çözücünün sahte olup olmadığı nasıl anlaşılır

Adı sanı belli olmayan, anonim iyi niyetli kişilerin bir şifre çözme yardımcı programı yaratması, bilinmeyen bir siteye yerleştirmesi veya bir forum veya sosyal ağda doğrudan bir bağlantı sağlaması olasılığı çok düşüktür. Gerçek yardımcı programları, bilgi güvenliği şirketlerinin web sitelerinde veya nomoreransom.org gibi fidye yazılımlarıyla savaşmaya adanmış özel portallarda bulabilirsiniz. Başka bir yerde bulunan araçlara şüpheyle yaklaşın.

Siber suçlular paniğe güvenir; dosyalarını bir şifreleyiciye kaptıran birinin dosyaları kurtarmak için her şeyi yapabileceğini düşünürler. Bir aracın iyi niyetli olduğuna inansanız bile, sakin ve objektif kalmanız ve siteyi düzgün bir şekilde doğrulamanız önemlidir. Gerçekliği konusunda herhangi bir şüpheniz varsa o araca dokunmayın.