Cryptolocker Virüsü 16 Kasım 2014 Dalgası

19/Kas/14 13:26

Kısayol

Şikayet

Özel Mesaj

bldead

Kayıt Tarihi: 29/Temmuz/2005

Arkadaşlar Selam,

Başlıkta özellikle belirttim tarihi zira daha önce 2013 yılında ve 2014 yılı başında piyasaya sürülen CryptoLocker virüsünün evrim geçirmiş halidir.

Kısaca virüs; Bilinçsiz şirket çalışanlarının ttnet tarafından gönderilmiş gibi hazırlanan fake faturayı açıldığında ağda bulunan; server, storage ve makinanın kendisi üzerindeki dosyaları şifreliyor. Malesef 16 Kasımdan bu yana çözüm bulunamadı. Çok zekice hazırlanmış yazılım.Bende yaklaşık üç gündür 4-5 saat uykuyla virüsü çözmeye çalışıyorum ancak çok karmaşık daha hiç yol alamadım.

Bir arkadaşımın destek verdiği firmalardan ikiside etkilenmiş durumda. Bu bahsettiğim firmalar öyle irili ufaklı firmalar değil ikiside baba baba büyük firmalar. Birisi için hackere bitcoinden para transferi yaparak decryption yazılımı satın aldık ancak sadece efente olan bilgisayarda işe yarıyor. Tersine mühendislik ile exeleri kırdık yine bir şey yok...

Şimdi asıl öğrenmek istediğim forumda bu virüsten etkilenenler veya virüs üzerinde çalışanlar var mı? Aramızda dosyaları nasıl kırabileceğimiz konusunda tartışalım, fikir alışverişi yapalım.

bldead

Alıntı yap

19/Kas/14 13:46

Kısayol

Şikayet

Özel Mesaj

MadJack

Kayıt Tarihi: 07/Temmuz/2014

Zemana bunun hakkında araştırma yapmış, belki karşılaşmışsınızdır. Konu hakkında yeterli teknik bilgiye sahip değilim ama yazıdan anladığım kadarıyla bu seferki bayağı sıkıntılı bi virüs. Bulaşmadan önce çok dikkatli olunmalı.

İlgili link: http://blog.zemana.com/2014/11/dosyalarnz-sifreleyen-telefon-faturasna.html

MadJack tarafından 19/Kas/14 13:47 tarihinde düzenlenmiştir

Everyone sees just what they want to see.

Alıntı yap

19/Kas/14 13:54

Kısayol

Şikayet

Özel Mesaj

Çömez
underzero

Kayıt Tarihi: 20/Ocak/2003

cozumu simdilik yok,

sifreleme programini ureten firma bile bu uygulamada acik yok sadece sifreleyen kisi acabilir diye aciklama yapmisti.

ve sana verdikleri decrypt sifresi sadece o bilgisayar icin ise yariyor her bilgisayari farkli sekilde cryte ediyor.

aklima gelen her bilgisayarin ya hdd numarasi vs bilgileriyle sifreliyor olabilir.

hani bazi lisansli programlarin aktivasyon mantigi gibi, x bilgisayarda calisiyor ama hdd yi sokup y bilgisayarina taktiginda yazilim tekrar lisans istiyor.

sunu deneyebilirsen;

decryption edilmis hdd deki verileri yedekledikten sonra, decryption edilmemis bir bilgisayara tak bakalim sifreli mi gorunecek sifresiz mi ?

sifreli gorunuyor ise; adam sifrelemek icin hdd seri numarasi degil de bilgisayara ait bir dosya ile sifreliyor

sifresiz gorunuyor ise zaten sorun giderilmis olur

simdi yazarken dusundum de bu kadar basit olacagini sanmiyorum :S

not : biraz karisik yazmis olabilirim umarim anlatabilmisimdir.

pist bak bi ! - Ban Golu Canavari

Alıntı yap

19/Kas/14 14:23

Kısayol

Şikayet

Özel Mesaj

bldead

Kayıt Tarihi: 29/Temmuz/2005

@mfe25 Zemana ekibi bir önceki saldırıda çözüm üretmişti. Şimdilik birşey yok takipteyim.

@underzero Virüsü hazırlayan herif çok iyi çalışmış. Elinde zaten bir sabit (RSA key) bir değişken (user_id=xxxx) var. User id bilgisayara göre değişkenlik gösteriyor. Denemeler yaptık, internet kapalıyken virüs enfekte olmuyor. İnterneti açıp fatura.exeyi çalıştırğımızda tor ağındaki herifin sitesiyle konuşup makineye user_id ataması yapıyor. Sonrası hep .encrypted :)
Muhtemelen RSA'yı databasede tutuyor. Gerçekten çok zekice yazmış piç.

Bu arada incelemek isteyen olursa virüsü upload edebilirim.

bldead

Alıntı yap

19/Kas/14 14:33

Kısayol

Şikayet

Özel Mesaj

janni

Kayıt Tarihi: 06/Nisan/2010

UnhideWhenUsed="false" Qat="true" Name="Normal"/> UnhideWhenUsed="false" Qat="true" Name="ing 1"/> Name="ing 2"/> Name="ing 3"/> Name="ing 4"/> Name="ing 5"/> Name="ing 6"/> Name="ing 7"/> Name="ing 8"/> Name="ing 9"/> 1"/> 2"/> 3"/> 4"/> 5"/> 6"/> 7"/> 8"/> 9"/> Name="caption"/> UnhideWhenUsed="false" Qat="true" Name="Title"/> Paragraph Font"/> UnhideWhenUsed="false" Qat="true" Name="Subtitle"/> UnhideWhenUsed="false" Qat="true" Name="Strong"/> UnhideWhenUsed="false" Qat="true" Name="Emphasis"/> UnhideWhenUsed="false" Name="Table Grid"/> Name="Placeholder Text"/> UnhideWhenUsed="false" Qat="true" Name="No Spacing"/> UnhideWhenUsed="false" Name="Light Shading"/> UnhideWhenUsed="false" Name="Light List"/> UnhideWhenUsed="false" Name="Light Grid"/> UnhideWhenUsed="false" Name="Medium Shading 1"/> UnhideWhenUsed="false" Name="Medium Shading 2"/> UnhideWhenUsed="false" Name="Medium List 1"/> UnhideWhenUsed="false" Name="Medium List 2"/> UnhideWhenUsed="false" Name="Medium Grid 1"/> UnhideWhenUsed="false" Name="Medium Grid 2"/> UnhideWhenUsed="false" Name="Medium Grid 3"/> UnhideWhenUsed="false" Name="Dark List"/> UnhideWhenUsed="false" Name="Colorful Shading"/> UnhideWhenUsed="false" Name="Colorful List"/> UnhideWhenUsed="false" Name="Colorful Grid"/> UnhideWhenUsed="false" Name="Light Shading Accent 1"/> UnhideWhenUsed="false" Name="Light List Accent 1"/> UnhideWhenUsed="false" Name="Light Grid Accent 1"/> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 1"/> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 1"/> UnhideWhenUsed="false" Name="Medium List 1 Accent 1"/> Name="Revision"/> UnhideWhenUsed="false" Qat="true" Name="List Paragraph"/> UnhideWhenUsed="false" Qat="true" Name="Quote"/> UnhideWhenUsed="false" Qat="true" Name="Intense Quote"/> UnhideWhenUsed="false" Name="Medium List 2 Accent 1"/> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 1"/> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 1"/> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 1"/> UnhideWhenUsed="false" Name="Dark List Accent 1"/> UnhideWhenUsed="false" Name="Colorful Shading Accent 1"/> UnhideWhenUsed="false" Name="Colorful List Accent 1"/> UnhideWhenUsed="false" Name="Colorful Grid Accent 1"/> UnhideWhenUsed="false" Name="Light Shading Accent 2"/> UnhideWhenUsed="false" Name="Light List Accent 2"/> UnhideWhenUsed="false" Name="Light Grid Accent 2"/> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 2"/> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 2"/> UnhideWhenUsed="false" Name="Medium List 1 Accent 2"/> UnhideWhenUsed="false" Name="Medium List 2 Accent 2"/> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 2"/> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 2"/> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 2"/> UnhideWhenUsed="false" Name="Dark List Accent 2"/> UnhideWhenUsed="false" Name="Colorful Shading Accent 2"/> UnhideWhenUsed="false" Name="Colorful List Accent 2"/> UnhideWhenUsed="false" Name="Colorful Grid Accent 2"/> UnhideWhenUsed="false" Name="Light Shading Accent 3"/> UnhideWhenUsed="false" Name="Light List Accent 3"/> UnhideWhenUsed="false" Name="Light Grid Accent 3"/> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 3"/> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 3"/> UnhideWhenUsed="false" Name="Medium List 1 Accent 3"/> UnhideWhenUsed="false" Name="Medium List 2 Accent 3"/> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 3"/> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 3"/> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 3"/> UnhideWhenUsed="false" Name="Dark List Accent 3"/> UnhideWhenUsed="false" Name="Colorful Shading Accent 3"/> UnhideWhenUsed="false" Name="Colorful List Accent 3"/> UnhideWhenUsed="false" Name="Colorful Grid Accent 3"/> UnhideWhenUsed="false" Name="Light Shading Accent 4"/> UnhideWhenUsed="false" Name="Light List Accent 4"/> UnhideWhenUsed="false" Name="Light Grid Accent 4"/> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 4"/> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 4"/> UnhideWhenUsed="false" Name="Medium List 1 Accent 4"/> UnhideWhenUsed="false" Name="Medium List 2 Accent 4"/> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 4"/> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 4"/> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 4"/> UnhideWhenUsed="false" Name="Dark List Accent 4"/> UnhideWhenUsed="false" Name="Colorful Shading Accent 4"/> UnhideWhenUsed="false" Name="Colorful List Accent 4"/> UnhideWhenUsed="false" Name="Colorful Grid Accent 4"/> UnhideWhenUsed="false" Name="Light Shading Accent 5"/> UnhideWhenUsed="false" Name="Light List Accent 5"/> UnhideWhenUsed="false" Name="Light Grid Accent 5"/> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 5"/> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 5"/> UnhideWhenUsed="false" Name="Medium List 1 Accent 5"/> UnhideWhenUsed="false" Name="Medium List 2 Accent 5"/> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 5"/> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 5"/> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 5"/> UnhideWhenUsed="false" Name="Dark List Accent 5"/> UnhideWhenUsed="false" Name="Colorful Shading Accent 5"/> UnhideWhenUsed="false" Name="Colorful List Accent 5"/> UnhideWhenUsed="false" Name="Colorful Grid Accent 5"/> UnhideWhenUsed="false" Name="Light Shading Accent 6"/> UnhideWhenUsed="false" Name="Light List Accent 6"/> UnhideWhenUsed="false" Name="Light Grid Accent 6"/> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 6"/> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 6"/> UnhideWhenUsed="false" Name="Medium List 1 Accent 6"/> UnhideWhenUsed="false" Name="Medium List 2 Accent 6"/> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 6"/> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 6"/> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 6"/> UnhideWhenUsed="false" Name="Dark List Accent 6"/> UnhideWhenUsed="false" Name="Colorful Shading Accent 6"/> UnhideWhenUsed="false" Name="Colorful List Accent 6"/> UnhideWhenUsed="false" Name="Colorful Grid Accent 6"/> UnhideWhenUsed="false" Qat="true" Name="Subtle Emphasis"/> UnhideWhenUsed="false" Qat="true" Name="Intense Emphasis"/> UnhideWhenUsed="false" Qat="true" Name="Subtle Reference"/> UnhideWhenUsed="false" Qat="true" Name="Intense Reference"/> UnhideWhenUsed="false" Qat="true" Name="Book Title"/> graphy"/> Name="TOC ing"/> mso-ascii-theme-font: minor-latin; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: 'Times New Roman'; mso-bidi-theme-font: minor-bidi; mso-ansi-: TR; mso-fareast-: EN-US; mso-bidi-: AR-SA;">http://efatura.ttnet-fatura.biz/?993877958

Dallamanın biride buraya koymuş takipteyim bende. Bitcoin üzerinden ödeme istiyorlar.

Alıntı yap

19/Kas/14 14:40

Kısayol

Şikayet

Özel Mesaj

Çömez
underzero

Kayıt Tarihi: 20/Ocak/2003

av yokmuydu ?

bu son ttnet fatura virusu benim iki farkli networkdeki kullanicim acmaya calisirken av engellemisti.

varsa hangi av vardi (meraktan soruyorum)

pist bak bi ! - Ban Golu Canavari

Alıntı yap

19/Kas/14 14:41

Kısayol

Şikayet

Özel Mesaj

JOE

Kayıt Tarihi: 07/Mart/2003

Bizim firmada böyle bir durum yaşadık, daha ç-önce bununla alakalı konu açmıştım.

http://www.tahribat.com/Forum-Turk-Telekom-Sahte-Fatura-Aldatmacasi-198407/

Not late for nothing

Alıntı yap

19/Kas/14 14:45

Kısayol

Şikayet

Özel Mesaj

bldead

Kayıt Tarihi: 29/Temmuz/2005

@underzero Firmalardan birinde Nod32 birinde ise Kaspersky vardı. İkisinden de kaçmış, şu anda yakalıyor ama iş işten geçti tabi. Bu bahsettiğim yeni dalga zaten, o yüzden virüs programların database almaları zaman aldı. Virüs programı ziktir et kullanıcılar bilinçsiz hocam.

bldead

Alıntı yap

19/Kas/14 14:51

Kısayol

Şikayet

Özel Mesaj

bldead

Kayıt Tarihi: 29/Temmuz/2005

@JOE eski çözümler işe yaramıyor malesef hocam.

bldead

Alıntı yap

19/Kas/14 14:52

Kısayol

Şikayet

Özel Mesaj

OttomanSlap

Kayıt Tarihi: 16/Mayıs/2012

şimdi ben açmasam bile ağımdaki birisi açsa yinede bana bulaşacakmı yani bu şey. Yurt gibi bi yerden bahsediyorum

Alıntı yap

19/Kas/14 14:59

Kısayol

Şikayet

Özel Mesaj

bldead

Kayıt Tarihi: 29/Temmuz/2005

Eğer aranızda paylaşım klasorunuz varsa (maplenmiş) evet bulaşır. çok değişik çalışıyor.

bldead

Alıntı yap