Cryptolocker için Comodo Sandbox ve Symantec Endpoint Protection Sonar Karşılaştırması. Bu yazımda son zamanların moda virüsü olan Cryptolocker virüsünü iki farklı üreticinin ürünü ile test edeceğim ve nasıl aksiyon aldıklarını göreceğiz. Testime Comodo ile başlayacağım ve iki farklı Crypto zararlısı ile test edeceğim. Karşılaştırmayı yaparken iki Virüs programının güncellemeleri tam olarak yapılmıştır.
Resim-1
Resim-2
İlk olarak CryptoWall Malware ile test edeceğim. Zip dosyasını açtığım anda Comodo farkına varıp asıl zararlıyı sildi.
Resim-3
Resim-4
Bilgisayarımda hiçbir şekilde yayılmadı ve herhangi bir dosya şifrelenmedi.
Resim-5
Karantinaya baktığımda aşağıda ilgili zararlının exe sini yakaladığını görüyoruz.
Resim-6
İkinci testimizi meşhur olan mail ile yayılan Turkcell, TTNET vb şekilde gelen zararlı üzerinde yapalım. Teste başlamadan önce aslında biraz uyanık olmak gerektiğini belirtmekte fayda var.
Aşağıdaki maili inceleyelim
Soru : Mail Nereden Geliyor ?
Cevap : Sözde Turkcell
Yorum : E arkadaş madem Turkcell’ den geliyor. @demirhanelektrik.com nedir ya? Hiç mi sorgulamıyorsun
Soru : İlk sorunun cevabı gözünüzden kaçtı. Siz turkcell’ e Webmaster diye bir mail adresimi verdiniz?
Cevap: Hayır
Yorum : Biraz uyanık olun. Herşeyi tıklamayın.
Soru : Hattınız Turkcell’ mi
Cevap: Benim hattım Turkcell
Yorum: Hattım Turkcell ama kurumsal, yani faturamı şirket ödüyor. Bu mailin bende ne işi var? Sorgulayın.
Resim-7
Hadi hepsini yediğimizi varsayalım. Artık nasıl yeniyorsa anlamadım gitti. Tıkladım ve Turkcell sayfası açıldı. ifv.gsmfatura.org nedir ya? O kadar Polyanna’yız ki devam . Güvenlik kodunu da girdik ve sözde faturayı indirdik.
Resim-8
Aşağıda güzelim sözde faturamız duruyor :) . Tıklayayım bari.
Resim-9
Comodo başarılı şekilde Sandbox içerisinde çalıştırıyor ve size koruyor. Bu test sonucunda hiç bir zararlı makinama bulaşmadı ve herhangi bir belgem şifrelenmedi.
Resim-10
Aşağıda da karantinayı görebilirsiniz.
Resim-11
Sonuç olarak Comodo görevini başarılı şekilde yaptı. Sandbox teknolojisinin ne kadar önemli olduğunu görmüş olduk. Aynı test Sandbox kapatılarak yapıldığında zararlı bulaşıyor. Şimdi sıra diğer ürünü testimize geldi.
Resim-12
Comodo görevini başarılı şekilde yaptı bakalım Symantec nasıl aksiyon alacak. İlk olarak CryptoWall zararlısını zip dosyasından çıkardım.
Gözlem : SEP, zararlıyı tıklamadıktan sonra bir işlem yapmıyor. Yani Zararlı bir aksiyon almadıktan sonra exe dosyasını direk silmiyor. Comodo’da zip den çıkarırken sildiğini görmüştük.
İlgili Application’ı tıklıyorum ve çalıştırıyorum.
Resim-13
Sonar devreye giriyor ve zararlıyı engelliyor. Makinama herhangi bir zararlı bulaşmadı.
Resim-14
İkinci testimi de Turkcell fatura virüsü ile yapıyorum. İlk bölümdeki gibi güvenlik kodunu girip sözde faturamı indiriyorum.
Resim-15
Orda fatura güzel güzel duruyor PDF falan değil ama olsun yine de açayım ben !
Resim-16
Ve SEP yakalıyor.
Resim-17
Makinama herhangi bir zararlı bulaşmadı ve dosyalarım şifrelenmedi.
Sandbox Nedir?
Zararlıyı sanal ve izole bir alanda çalıştıran bir teknoloji. Sadece zararlı olmasına gerek yok herhangi bir uygulamayı da çalıştırabilirsiniz. Örneği şöyle devam ettirelim. İnternetten bir uygulama indirdiniz ama temiz olup olmadığından emin değilsiniz. Bunu Sandbox içerisinde çalıştırıp makinanıza yayılıyor mu ? Appdata altına birşeyler yazmaya çalışıyor mu ? veya dosyalarınızı şifreliyor mu ? bu gibi durumları burada öğrenebilirsiniz. Yani zararlıyı tamamen izole alanda analiz edebilirsiniz.
Symantec SONAR Nedir?
Symantec bu ürünü WholeSecurity’ den satın alıp kendi uygulamasına entegre etti. Asıl odağı Truva, Malware ,e postadan gelen zararlılar ve Zeroday e karşı koruma sağlamayı hedefliyor. Sonar sezgisel analiz kullanır. Bu da aslında henüz Zeroday olan ve imza bilgileri Symantec Database’lerde olmayan zararlılardan korunmanızı sağlar.
Son olarak da Virüs programınızın olmadığını varsayalım. Size bir mail geldi ve açmayı düşünüyorsunuz. Mailde From, to ve Subject Kısımlarına bir göz atın.
Resim-18
FROM : Turkcell Maili nasıl @demirhanelektrik.com diye bir yerden gelir.
To: Garip değil mi Webmaster diye bir yere mail atıyorlar.
Subject : Gramer’ i zorlamışlar ama sanki olmamış gibi. Hesabınız elinizde mi yazarsınız yoksa Ekim Faturanız Ektedir gibi bir tabir mi kullanırsınız?
Umuyorum Faydası Dokunmuştur
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs : Sandbox Nedir, Symantec SONAR Nedir, Cryptolocker Comodo Sandbox, Cryptolocker Symantec Endpoint Protection Sonar, Cryptolocker engellemek, Cryptolocker nedir, Cryptolocker bitcoin odeme, Cryptolocker odeme nasil yapilir, Cryptolocker cozum, Cryptolocker decrypter, Cryptolocker dan kurtulma, Cryptolocker virus, Cryptolocker unlock, Cryptolocker sifreli dosyalari acma, Cryptolocker indir, Cryptolocker gonder