Virüs - Trojan - Keylogger - BotNet
Cryptolocker Virüsü 16 Kasım 2014 Dalgası
Cryptolocker Virüsü 16 Kasım 2014 Dalgası
-
Arkadaşlar Selam,
Başlıkta özellikle belirttim tarihi zira daha önce 2013 yılında ve 2014 yılı başında piyasaya sürülen CryptoLocker virüsünün evrim geçirmiş halidir.
Kısaca virüs; Bilinçsiz şirket çalışanlarının ttnet tarafından gönderilmiş gibi hazırlanan fake faturayı açıldığında ağda bulunan; server, storage ve makinanın kendisi üzerindeki dosyaları şifreliyor. Malesef 16 Kasımdan bu yana çözüm bulunamadı. Çok zekice hazırlanmış yazılım.Bende yaklaşık üç gündür 4-5 saat uykuyla virüsü çözmeye çalışıyorum ancak çok karmaşık daha hiç yol alamadım.
Bir arkadaşımın destek verdiği firmalardan ikiside etkilenmiş durumda. Bu bahsettiğim firmalar öyle irili ufaklı firmalar değil ikiside baba baba büyük firmalar. Birisi için hackere bitcoinden para transferi yaparak decryption yazılımı satın aldık ancak sadece efente olan bilgisayarda işe yarıyor. Tersine mühendislik ile exeleri kırdık yine bir şey yok...
Şimdi asıl öğrenmek istediğim forumda bu virüsten etkilenenler veya virüs üzerinde çalışanlar var mı? Aramızda dosyaları nasıl kırabileceğimiz konusunda tartışalım, fikir alışverişi yapalım.
-
Zemana bunun hakkında araştırma yapmış, belki karşılaşmışsınızdır. Konu hakkında yeterli teknik bilgiye sahip değilim ama yazıdan anladığım kadarıyla bu seferki bayağı sıkıntılı bi virüs. Bulaşmadan önce çok dikkatli olunmalı.
İlgili link: http://blog.zemana.com/2014/11/dosyalarnz-sifreleyen-telefon-faturasna.html
MadJack tarafından 19/Kas/14 13:47 tarihinde düzenlenmiştir -
cozumu simdilik yok,
sifreleme programini ureten firma bile bu uygulamada acik yok sadece sifreleyen kisi acabilir diye aciklama yapmisti.
ve sana verdikleri decrypt sifresi sadece o bilgisayar icin ise yariyor her bilgisayari farkli sekilde cryte ediyor.
aklima gelen her bilgisayarin ya hdd numarasi vs bilgileriyle sifreliyor olabilir.
hani bazi lisansli programlarin aktivasyon mantigi gibi, x bilgisayarda calisiyor ama hdd yi sokup y bilgisayarina taktiginda yazilim tekrar lisans istiyor.
sunu deneyebilirsen;
decryption edilmis hdd deki verileri yedekledikten sonra, decryption edilmemis bir bilgisayara tak bakalim sifreli mi gorunecek sifresiz mi ?
sifreli gorunuyor ise; adam sifrelemek icin hdd seri numarasi degil de bilgisayara ait bir dosya ile sifreliyor
sifresiz gorunuyor ise zaten sorun giderilmis olur
simdi yazarken dusundum de bu kadar basit olacagini sanmiyorum :S
not : biraz karisik yazmis olabilirim umarim anlatabilmisimdir.
-
@mfe25 Zemana ekibi bir önceki saldırıda çözüm üretmişti. Şimdilik birşey yok takipteyim.
@underzero Virüsü hazırlayan herif çok iyi çalışmış. Elinde zaten bir sabit (RSA key) bir değişken (user_id=xxxx) var. User id bilgisayara göre değişkenlik gösteriyor. Denemeler yaptık, internet kapalıyken virüs enfekte olmuyor. İnterneti açıp fatura.exeyi çalıştırğımızda tor ağındaki herifin sitesiyle konuşup makineye user_id ataması yapıyor. Sonrası hep .encrypted :)
Muhtemelen RSA'yı databasede tutuyor. Gerçekten çok zekice yazmış piç.Bu arada incelemek isteyen olursa virüsü upload edebilirim.
-
http://efatura.ttnet-fatura.biz/?993877958
Dallamanın biride buraya koymuş takipteyim bende. Bitcoin üzerinden ödeme istiyorlar.
-
av yokmuydu ?
bu son ttnet fatura virusu benim iki farkli networkdeki kullanicim acmaya calisirken av engellemisti.
varsa hangi av vardi (meraktan soruyorum)
-
Bizim firmada böyle bir durum yaşadık, daha ç-önce bununla alakalı konu açmıştım.
http://www.tahribat.com/Forum-Turk-Telekom-Sahte-Fatura-Aldatmacasi-198407/
-
@underzero Firmalardan birinde Nod32 birinde ise Kaspersky vardı. İkisinden de kaçmış, şu anda yakalıyor ama iş işten geçti tabi. Bu bahsettiğim yeni dalga zaten, o yüzden virüs programların database almaları zaman aldı. Virüs programı ziktir et kullanıcılar bilinçsiz hocam.
-
@JOE eski çözümler işe yaramıyor malesef hocam.
-
şimdi ben açmasam bile ağımdaki birisi açsa yinede bana bulaşacakmı yani bu şey. Yurt gibi bi yerden bahsediyorum
-
Eğer aranızda paylaşım klasorunuz varsa (maplenmiş) evet bulaşır. çok değişik çalışıyor.