Forum

Cryptolocker Vir...
 
Bildirimler
Hepsini Temizle

Cryptolocker Virüs detaylı bilgi;

42 Yazılar
7 Üyeler
0 Likes
1,375 Görüntüleme
(@AzadAzadoglu)
Gönderiler: 184
Reputable Member
Konu başlatıcı
 

Murat bey,

Orjinal dosyayı oradan siliniz, ben kendime aldım. Farklı amaçlar için kullanılmasını kimse istemez. 

 
Gönderildi : 03/07/2015 17:45

(@gokerersan)
Gönderiler: 13
Active Member
 

Üstat bir dosyada ben göndermek istedim.

https://drive.google.com/open?id=0B8oLCFebzwiDRGZwSVduUlgzblU

Süreci merak ediyorum. 

 
Gönderildi : 03/07/2015 18:08

(@AzadAzadoglu)
Gönderiler: 184
Reputable Member
Konu başlatıcı
 

Bu gönderdiğiniz dosyaları bu hale getiren ve buna sebep olan mail ile gelen dosya varmı acaba elinizde, kritik bir varyasyon yakaladık.

 
Gönderildi : 03/07/2015 18:43

(@muratgok)
Gönderiler: 220
Reputable Member
 

bizde yok azad bey maalesef

 
Gönderildi : 03/07/2015 19:12

(@AzadAzadoglu)
Gönderiler: 184
Reputable Member
Konu başlatıcı
 

Gelişme: 

Göker bey' in ilettiği dosyanın Private Kodu : 6595b64144ccf1df .. Bu şu demek : Yaklaştık.. Uzak kalmayın takipte kalın.. 

 
Gönderildi : 03/07/2015 19:24

(@gokerersan)
Gönderiler: 13
Active Member
 

Uzaklaşamıyorum zaten:)

Takipteyim üstat...

 
Gönderildi : 03/07/2015 19:36

(@AzadAzadoglu)
Gönderiler: 184
Reputable Member
Konu başlatıcı
 

Göker bey;

Dosyanız için ara ara bu alana bakınız. Bittiğinde link olarak ileteceğim. Ama önümüzde ki 2-3 saat beklemeyiniz. 

 
Gönderildi : 03/07/2015 20:14

(@gokerersan)
Gönderiler: 13
Active Member
 

Tamam üstat.

Takibe devam ediyorum. Nasıl yapıldığını da paylaşırsanız eğer çok kişinin faydalanacağını düşünüyorum. 

 
Gönderildi : 03/07/2015 20:22

(@muratsarikaya)
Gönderiler: 7
Active Member
 

Hocam bir gelişme var mı ?

 
Gönderildi : 03/07/2015 20:27

(@gokerersan)
Gönderiler: 13
Active Member
 

Umudu kesmemek lazım ama bu sefer adamlar sağlam çalışmış. 

 
Gönderildi : 04/07/2015 20:39

(@gokerersan)
Gönderiler: 13
Active Member
 

Kaldık heralde?

 
Gönderildi : 06/07/2015 11:38

(@AzadAzadoglu)
Gönderiler: 184
Reputable Member
Konu başlatıcı
 

Merhaba;

Rus forumlarında luck12345 isimli bu virüsün babasının çok yakın bir arkadaşından paylaşılan bilgi sonucu, örneğin win7 pc ' ye bulaşan bu virüs için şimdilik tek çözüm : Windows 7 setup ile dosya onarımının yapılması. Kernel ve diğer dll dosyaları üzerinde hasar oluşturan ve kendi gölge kopyasını tünel aracılığı ile 256 AES ile şifreleyen dosyanın crack' ini paylaşacağını duyurdu.

Bizde muhtemel crack için çabalıyoruz.

Yazılımımızdan örnek görüntü;

 

 
Gönderildi : 06/07/2015 15:28

(@AzadAzadoglu)
Gönderiler: 184
Reputable Member
Konu başlatıcı
 

Merhaba;

Sorun için kendi çapımızda uğraşıyoruz/ uğraşmaya devam edeceğiz;

Zararlı yazılım olan cryptolocker , Random olarak ürettiği AES key ile dosyaları şifreliyor. Daha sonra bu AES keyi, RSA public key ile şifreliyor ve sunucuyua gönderiyor. Decrypter tool'un içerisinde de her kullanıcıya özel Random üretilmiş olan AES key var. Bu keyi kullanarak dosyaları çözüyor. 

.onion uzantılı Database içerikli olan siteyi beyaz şapkalılar hack etmedikçe bu problem devam eder.

Microsoft bunu çözmek için hiçbir adım atmıyor ilginç olan bu.

Şimdilik post askıya alınabilir. 

 
Gönderildi : 06/07/2015 18:08

(@mehmetyayla)
Gönderiler: 544
Honorable Member
 

Bu postu bana mail ile gönderen arkadaşa;
Sistemin bahsedildiği gibi bir çözümü olamayacağını,

Çalışma prensibinin anlatıldığı şekilde olmadığını anlatmıştım.

Gelinen nokta maalesef beni doğruluyor.

 

 
Gönderildi : 06/07/2015 18:52

(@SefaYUKSEL)
Gönderiler: 66
Trusted Member
 

Microsoft'un bu konu ile alakalı bir açıklaması var mı?

 
Gönderildi : 06/07/2015 18:58

(@gokerersan)
Gönderiler: 13
Active Member
 

Yetkili abiler bu işe el atmadıkça çözüm imkansıza yakın gözüküyor.
yakalandıklarına dair haberler var ama ne derece doğru bilemiyorum.

 
Gönderildi : 06/07/2015 19:53

(@mehmetyayla)
Gönderiler: 544
Honorable Member
 

1- Microsoft bu işe karışmaz çünkü, siz de isterseniz bilgisayarınızdaki verileri bu yolla şifreleyebilirsiniz.
Microsoft'a şunu diyemezsiniz;
Ben dosyalarımı şifreledim bunu benim yerime kırın.

 2- 2013 yılında virüsün ilk yayımcıları yakalandı ve db'deki tüm şifrelenmiş veriler halka açık ortamdan dağıtıldı.
Fire Eye şirketinden bunu izleyebilirsiniz.

lakin bu varyant daha gelişmiş ve farklı kişiler. 

 
Gönderildi : 06/07/2015 20:44

(@AzadAzadoglu)
Gönderiler: 184
Reputable Member
Konu başlatıcı
 

Merhaba;

Yakalanma meselesi rus forumlarında tartışılıyor ancak herkesin ortak fikri şu : Rusya ABD veya Türkiye gibi değil, bu tarz uçuk insanları değerlendirmek üzere besliyor. Bu işten ciddi anlamda para kazanılıyor ve artık pazarı kuruldu bu işin. 5-10 TL' e cryptolocker virüs wallet' ler satılıyor forumlarda. Herkesin fikri olması için madde madde açıklıyayım istedim.

- Bu sağa sola saldıranların çoğu ufak tefek yazılım bilen lamel' ler ancak deep web olayını iyi biliyorlar. Rus forumlarında yada japon forumlarında cryptolocker işleyişi konusunda bilgi edinip, kendi yerel parasını bitcoin mixer' ler sayesinde bitcoin' e çevirip deep web' te söz hakkı alıyorlar.

- Deep web' te bu kişilerin ulaşabileceği wallet' ler var. Öncelikle bu wallet sahiplerine bitcoin ödeniyor ve içeri alınabilmeleri için user ve pass veriliyor.

- İçeri giriyorlar ancak yapabilecekleri kısıltı. Sadece yazılım için bir decompile edilmemiş hazır sabit bir yazılım indiriyorlar. Bu şu demek; Bu yazılım deep web arası tünel oluşturan tor ağına katılmak ve sürekli bağlı kalmak için gerekli.

- Ağ' da ortalama 72 saat geçirmeleri ve online kalmaları gerekiyor. Wallet yöneticileri ciddi anlamda disiplinli ve kontrollüler.72 saat sonunda, user ve pass verilen kişiye cryptolocker ile ilgili level açıyorlar 1.2.3.4.5.6. level olarak. Siz 72 saatin sonunda 3.level' de oluyorsunuz. Wallet yöneticileri sizin bilgisayarınıza 72 saat boyunca cryptolocker virüsü sızdırıp sizin hiç bir müdahale etmemenizi istiyorlar. En ufak bir açık arama, müdahale' de üyeliğiniz sonlandırılıyor.

-Özel bir ağ ile sizinle not defteri üzerinden konuşuyorlar , dikkatinizi çekerim " not defteri üzerinden "..

- 5.level' de iken size cryptolocker virüsü için farklı bir user pass veriyorlar. Bu user ve pass' ların level seviyeleri var . Minimum Türk lirası ile 750 tl' den başlayıp türk lirası ile 2000 tl' e kadar çıkıyor.

- Siz cebinizde ki para kadar level' e alınıyorsunuz. Cryptolocker yazılımını alabilmek için tekrar bitcoin yatırıyorsunuz. Örneğin 1000 TL ' lik leveldesiniz diyelim. Bu şu demek, hazır bir database üzerinden sürekli otomasyona bağlanmış bir sisteme dahil oluyorsunuz. Kısaca, bu alandan hisse alıyorsunuz.

- Program ile ilgili artık yetkiniz var ve kayıtlısınız. Size verilen user ve pass ile bir pc kriptolanır ise ve ödeme alınırsa bunun %100 ücreti size aktarılıyor. Yani , saldırgan kendi bilgisayarında bir program çalıştırıp mail adresi aramak zorunda kalmıyor.

- Cryto bulaşan bir bilgisayara özel olarak sistem oto key oluşturuyor. Bunu şu şekilde düşünün : Bir web sayfanız var ve üyelik alabiliyorsunuz. Siz webmaster ve adminsiniz ancak o kullanıcının şifresini dahi göremiyorsunuz, kullanıcı kendi şifresini sıfırlamak için özel bir link kullanıyor. Database' de saklanan sadece MD5 kodudur. İşte deep web' te ki sistemde böyle. Bu sistemi yöneten birileri var ve siz o site' ye üyesiniz, basitçe anlatmak istenirse bu.

- Sizin bilgisayarınıza bulaşan cryptolocker, bilgisayarınıza iner inmez gölge kopyaları ve anti virüs ahtapot kollarını sistemde kısa süreliğine etkisiz hale getiriyor. Buda şu şekilde : Tamamen admin yetkisi ile alakalı durum. Bakınız şu ana kadar bulaşan tüm cryptolocker virüsü admin yetkisi olan kullanıcılar tarafından olmuştur. ( Microsoft bu durumda size karışmaz, şifreleme yapan 3.party yazılımlar var hatta microsoft' un bitlocker' i var. Microsoft' a bunu kır çöz diyemeyiz. Onların insiyatif alması gerek. )

- Bu virüsü çözebilen çok eskiden bu yana halen liderliğini sürdüren biri var . Kevin mitnick üstad.  Bu üstad rus forumlarından birinde , savaşı siz başlattınız yazmış. Bunun üzerine bildiğiniz gibi, rusya ve abd arasında ciddi anlamda it dalaşı başlamıştır. Hatta wikileaks belgeleri bu crptolocker algoritması ile sızdırılmıştır.

- Bu virüs yazılımı rus forumlarında bunu inceleyen işi gücü yazılım ve kodlama olanlara göre , 3 ayda bir form değiştirip farklı tünellerden farklı kodlama teknikleri ile yayılıyor. lucky12345 isimli yani Jewgieniju Bogaczewie yani zeus kişisi yakalanmadı ve ciddi bir patlama yapmak üzere devlet destekli hazırlanıyor. Hatta adama ekip kurdukları yönünde söylentiler var.

- Eski' den siyah için çalışan hacker' lar bu kişinin yer edinememesi ve rus düşmanlığı için beyaz' a çalışır hale geldikleri söylentileri dolanıyor. Bunun bir örneği, rus haber alma teşkilatının 3 saat boyunca elektriğini kesen ismini tam hatırlayamadığım kişi.

- Şimdi yazılım kısaca şöyle çalışır : Virüs bilgisayarınıza iner, kullanıcı yetkisine bakar ve yetki var ise sistemin dibine ntdl dosyalarının olduğu bölüme iner ve kendini parçalayıp her root alanına dağılarak kendine öğretilen dosya uzantılarının formatını kayıt defteri ve ntdl decompiler sayesinde değiştirip dosyalara hasar vermeden istediği şekli aldırır. Şifreli dosya ve klasörlere erişim yeteneği yok, hatta virüsün girdiği anı yakalayabilirseniz eğer bilgisayarı açıp kapatınca devam etmediğini görürsünüz. Çünkü re-start sonrası devam etme yeteneği yok. Tüm uzantılar değiştikten sonra kullandığınız internet ağından özel bir ayna ağı ile deep web' te ki database sistemine der ki " Görev tamam " gerisi sende ! ..  Database bu bilgiyi aldıktan sonra bu yardımcı arkadaş için özel bir private key oluşturup beklemeye konulur. Bu sırada, sizin bilgisayarınızda crpytola' nan bazı alanlara ve özellikle klasör içlerine " .html uzantılı dosya kurtarma talimatı " bilgisi yerleştirir. Ağ kendini suspend konumuna alıp beklemede kalmaya devam eder. Buraya kadar herşey güzel mükemmel hatta harika. 

-* Sonrasında ise , siz uğraşır didinirsiniz hatta birsürü şey yapmaya çalışırsınız. Boşa kürek salladığınızın farkına varınca para bulur ve ödeme yoluna gidersiniz. Yönlendirici .html dosyasında bulunan bitcoin hesabına gerekli talimatlara göre parayı iletirsiniz ve " Parayı gönderdim " butonuna tıkladığınız an özel ağ uyanır ve hemen hesap kontrol edilir, ödeme var ise, özel key karşılığı olan yazılım hemen debug edilip indirme linkine indirilmek üzere hazır durumda bekletilir. Yani insiyatif meselesi diye birşey yok. Yazılımı göndermemesi demek o sistemin tamamen çöktüğü anlamına gelir inanın. Herşey otomasyon ve tıkır tıkır işlemektedir.

-- Biz arkadaşlarımızla, bu decrypter yazılımının ciddi anlamda içine girdik ve gördüklerimiz bırakın bu işi der şeklindeydi. İş ciddi anlamda çok büyük ve profesyonelce. Bir anda çıkmış birşey değil, bir kişinin yapabileceği bir işte değil. Farklı amaçlar için tasarlanıp kötü amaçlar için kullanılıyor şu anda . Tıpkı amerikan bilim kurgu filmi gibi ... 

-- Bizden uyarması, eğer gerçekten başaracağınızı düşünmüyorsanız para ödeme yoluna gidip dosyalarınıza kendiniz zarar vermeden işten kurtulup yazılımı bilgisayarınızdan kurtarın.

 

--- Tübitak kurumumuzun eli kolu bağlı hiçbirşey yapamadıklarını belirttiler. Yazışmalarımız olsun telefon görüşmelerimiz olsun tamamen olumsuz. Uğraştıklarını ancak henüz yol alamadıklarını belirttiler.  Bu şu demek : Ya bu iş panzehir olarak para karşılığı satılacak ya da bir firmanın yıldızı parlayacak..

Kalın sağlıcakla. 

Saygılar; 

 
Gönderildi : 07/07/2015 01:29

(@mehmetyayla)
Gönderiler: 544
Honorable Member
 

2013 yılından bu yana bu ve buna benzer saldırıların her aşamasını takip eden biri olarak yukarıdaki metinde birkaç itiraz noktam var.

1- Evet  EVGENIY MIKHAILOVICH BOGACHEV virüsün babası ama o ağ çökertildi. Şifrelenen verilerin private key'leri dağıtıldı.
Aksi olsaydı yani devlet güdümünde çalışan ya da istihbarat servisleri tarafından desteklenen kişi veya kişiler olsaydı bu ağ çökertilmez, kişilerin şifreleri dağıtılmazdı. 

2- Evet bu virüsün kopyaları çeşitli deep web platformlarında satınalınabiliyor, dağıtılıyor ve lamer diyebileceğimiz belki yaşı çok daha küçük kişiler tarafından test, oyun alanı haline gelmiş durumda ama ben bu güne kadar çok organize yapı görmedim.

3- Kevin Midnick'in bu şifrelemeyi kırdığı bilgisi yanlış.

4- Wikileaks belgeleri bu virüsle yayıldığı bilgisi de yanlış, zira Wikileaks belgeleri amerikan donanmasında görevli bir asker tarafından dışarıya sızdırılan yazışmalardan ibaret. Çalınmış bir bilgi yok, sızdırılmış veri var. Onun için adında "sızdırma" ifadesi geçer zaten.

Özetle;

Eğer düzenli yedek alır, ve gerekli önlemleri sağlarsanız virüs size zarar veremez.
Virüs enfekte olduktan sonra tabii ki maliyetini karşılarsanız çözümü var. Bu düzenli yedek almamanızın faturası olarak görebilirsiniz. 

 
Gönderildi : 07/07/2015 12:53

Sayfa 2 / 3
Paylaş: