Forum

Crptolocker Hakkınd...
 
Bildirimler
Hepsini Temizle

Crptolocker Hakkında Bilgilendirme

Selçuk HÜNER
(@selcukhuner)
Üye

Merhaba değerli Çözümpark ailesi,

Herkesin bildiği gibi mail ve diğer başka yöntemlerle yayılan bulaşan Cryptolocker virüsü bilgisayardaki dosyaları şifreleyerek ulaşılmaz hale getirmektedir.

Kısaca özetleyecek olursam yakın zamanda bir müşterinin sistemine bulaşan bu zararlı yazılım tüm dosyaları şifrelemiş olarak bize ulaştı.

Dosya uzantıları .vvv duruma gelmiş hiç bir dosya açılamaz durumda idi.

20 senenin verdiği tecrübe, sistemler başında geçen saatlerle kazanılan sabır ve inat ile Cryptolocker virüsünü kırmayı başardık.

Dosyaların kurtarılmasından sonra ilk fırsatta bir makale hazırlamayı düşünüyorum.

Bu konuda sorun yaşayan olursa uygulanması için bana ulaşabilir.

Aşağıdaki linklerde şifreler kırılmadan önce, kırılma anı ve sonrasını görebilirsiniz.

 

Bu vesile ile tüm Çözümpark ailesinin yeni yılını kutlar, sağlıklı bir yıl dilerim.

 

[url= http://i.hizliresim.com/MLy9z1.jp g" target="_blank">http://i.hizliresim.com/MLy9z1.jp g"/> [/img][/url]

[url= http://i.hizliresim.com/D4RkVo.jp g" target="_blank">http://i.hizliresim.com/D4RkVo.jp g"/> [/img][/url]

[url= http://i.hizliresim.com/qPl21d.jp g" target="_blank">http://i.hizliresim.com/qPl21d.jp g"/> [/img][/url]

 

 

 

Alıntı
Konu başlatıcı Gönderildi : 31/12/2015 14:26
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

makalenizi merakla beklemekle birlikte bu yazılımın ortalıkta dolaşan birkaç varyasyonu mevcut

yeni sürümlerde dosyaların uzantısı da değişmiyor sadece içeriği cryptolanıyor diye biliyorum

bulduğunuz yöntem tüm varyasyonlar için çözüm sağlıyormu peki ?

 

 

CevapAlıntı
Gönderildi : 31/12/2015 15:58
Mehmet YAYLA
(@mehmetyayla)
Üye

gariptir! btc ile ödeme yapıldığında satınalınan yazılım da aynı şekilde çözüyor.
evet btc ile kötü niyetli insanlara ödeme yaparakta bir key alabilirsiniz ve %99 işinizi görecektir lakin bu işlemin aşağıdaki sonuçları olacak.

+ siz ne kadar ödeme yaparsanız onlar o kadar çok saldırgan olacaklar. ve bu onları daha fazla motive edecektir. Belki siz kurtulacaksınız ama dolaylı da olsa potansiyel mağdurlar oluşturmuş olacaksınız. 
+ bazı gruplar maalesef sadece eğlence amaçlı yaptığından ödeme yapsanız dahi key alamayabileceğiniz az da olsa ihtimal dahilindedir. 

Ben size olayın anatominisini şöyle anlatayım :

30'dan fazla crypto virüsü varyantı var. bunların hepsi farklı hacking grupları tarafından yazılıyor. Bunların müşterileri var. Aslında bize virüsü enfekte eden adamlar bu grupların müşterileri. Yazılımcı gruplar ürettikleri yazılımı üyelikle satıyorlar ve kötü niyetli kişiye bir panel açıyorlar. Daha sonra enfekte olan her  kurban bu panele düşüyor ve işlemler bu panel üzerinden yürüyor. Bildiğimiz web kontrol panel gibi.

Hal böyle olunca, sizden bir eşyanızı çalıp bunun karşılığında size bu eşyayı satmaya çalışan birine nasıl davranırsanız öyle algılamanızı, harici yollarla çözümler üretmenizi tavsiye ederim.

Bazı çözümler önlem amaçlı umumla paylaşılamaz ama;
Dosyadan ptyhon ile alacağınız public key'i asal çarpanlarına ayırıp bu asal çarpanlar yoluyla private key elde etme yoluna gidebilirsiniz.

Konuyu açan arkadaşın bahsettiği gibi 20 senelik emek bunu yapabilir sanıyorum

 

Saygılarımla.  

CevapAlıntı
Gönderildi : 31/12/2015 16:51
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

Karanlık tarafta da  bir endüstri olmuş anlaşılan 🙂

CevapAlıntı
Gönderildi : 31/12/2015 16:52
Selçuk HÜNER
(@selcukhuner)
Üye

Merhaba Vasfi bey,

Dosya kurtarma işlemi tamamlandı. Aşama aşama dökümantasyonu hazırlıyorum.

Decrypting oldukça zahmetli ve detaylı bir yöntem.

Bulduğum yöntem şu an itibari ile dosya uzantılarını .vvv duruma getiren Cryptolocker 2.0 versiyonu.

Diğer versiyonlarda etkili olup olmadığını denemek gerekecek. Net bilgi şu an veremiyorum.

Decrypting işlemindeki yoğunluktan ve durumun heyecanından dolayı versiyon listesine şu an ulaşamıyorum. Bulunca yayınlayacağım.

2.0 versiyon hatırladığım kadarıyla dosya uzantıları .ccc .ecc .vvv olarak şifreliyor. Bazı yerlerde CryptoWall 4.0 olarak geçiyor varyantın ismi.

Decrypting yaparken işin prensibi şuna dayanıyor.

Dosyalar kriptolama teknolojisi ile public key ve private key ile şifreleniyor.

Eski versiyonlarda private key bilgisayarın içinde tutuluyordu.

Yeni versiyonda virüs yayıncısı tarafından oluşturulan sunucularda tutuluyor ve ulaşılamıyor.

Bu yüzden decrypting işlemi için ücret ödemek zorunda kalınıyordu yada dosyalara hiç ulaşılamıyordu.

Kırma süreci şu şekilde.

Şifreli her hangi bir dosyadan public key elde edilebiliyor.

Public key elde edildikten sonra factoring işlemi ( oldukça uzun sürüyor) kriptolu dosyalardan private key elde ediliyor.

Bulunan bu key komut satırından çalıştırılacak dosyanın içine yazılıyor.

Artık elimizde private key olan şifreleri kırmak için kullanacağımız dosyamız hazır hale geliyor.

Zaten işlemin buraya kadar olanı oldukça zahmetli ve uzun.

Sonrası komut satırından kolayca halledilebiliyor.

Dosyalar gözünüzün önünde şifreleri çözülüyor.

 

Makaleyi hazırlamak için bu hafta sonumu ve yılbaşı tatilimi ofiste geçirmek zorunda kalacağım sanıyorum.

İnşallah kısa süre sonra bitirebilirim.

 

 

 

 

 

CevapAlıntı
Konu başlatıcı Gönderildi : 31/12/2015 17:03
Mehmet YAYLA
(@mehmetyayla)
Üye

[quote user="Selçuk HÜNER"]

Merhaba Vasfi bey,

Dosya kurtarma işlemi tamamlandı. Aşama aşama dökümantasyonu hazırlıyorum.

Decrypting oldukça zahmetli ve detaylı bir yöntem.

Bulduğum yöntem şu an itibari ile dosya uzantılarını .vvv duruma getiren Cryptolocker 2.0 versiyonu.

Diğer versiyonlarda etkili olup olmadığını denemek gerekecek. Net bilgi şu an veremiyorum.

Decrypting işlemindeki yoğunluktan ve durumun heyecanından dolayı versiyon listesine şu an ulaşamıyorum. Bulunca yayınlayacağım.

2.0 versiyon hatırladığım kadarıyla dosya uzantıları .ccc .ecc .vvv olarak şifreliyor. Bazı yerlerde CryptoWall 4.0 olarak geçiyor varyantın ismi.

Decrypting yaparken işin prensibi şuna dayanıyor.

Dosyalar kriptolama teknolojisi ile public key ve private key ile şifreleniyor.

Eski versiyonlarda private key bilgisayarın içinde tutuluyordu.

Yeni versiyonda virüs yayıncısı tarafından oluşturulan sunucularda tutuluyor ve ulaşılamıyor.

Bu yüzden decrypting işlemi için ücret ödemek zorunda kalınıyordu yada dosyalara hiç ulaşılamıyordu.

Kırma süreci şu şekilde.

Şifreli her hangi bir dosyadan public key elde edilebiliyor.

Public key elde edildikten sonra factoring işlemi ( oldukça uzun sürüyor) kriptolu dosyalardan private key elde ediliyor.

Bulunan bu key komut satırından çalıştırılacak dosyanın içine yazılıyor.

Artık elimizde private key olan şifreleri kırmak için kullanacağımız dosyamız hazır hale geliyor.

Zaten işlemin buraya kadar olanı oldukça zahmetli ve uzun.

Sonrası komut satırından kolayca halledilebiliyor.

Dosyalar gözünüzün önünde şifreleri çözülüyor.

 

Makaleyi hazırlamak için bu hafta sonumu ve yılbaşı tatilimi ofiste geçirmek zorunda kalacağım sanıyorum.

İnşallah kısa süre sonra bitirebilirim.

 

 

 

 

 

[/quote]

 

evet çözüm internette dolaşmaya başladığı için nasılsa kısa zaman içinde bu çözüm de geçersiz kalacaktır.
En azından şimdilik ulaşabildiği kadar fazla kişiye ulaşsın ve en azından şimdiki vakalar çözüm üretebilsin

 

Çözüm :  https://github.com/googulator/teslacrack

CevapAlıntı
Gönderildi : 02/01/2016 05:16
Paylaş: