Uyarı: CryptoLocker - Fidye Virüsü Uyarısı

  • Konbuyu başlatan symbazz
  • Başlangıç tarihi
  • Cevaplar 10
  • Görüntüleme 1K
 Yazdır

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Arkadaşlar, daha dün bir arkadaşımın bilgisayarına bulaştı ve iki laptop ve biri 1 tb diğeri 4 tb iki harddiskini şifrelemiş ve açmak için fidye istiyorlar. Ekte resimlerini paylaştım. Bu konu hakkında bilgi topluyorum. Sizlerinde katkılarınız olursa sevinirim. Şu an 4 tb harddisk bende, araştırıyorum ve nasıl kurtarılacağını bulmaya çalışıyorum.

Denilen şu ki; bu virüs İŞ BANKASI dekontları yada TÜRKTELEKOM mailleri ile yayılıyormuş. Bu tarz mailleri açmayalım. Bu arkadaşa da bir dosya indirme sitesinde indir butonuna basınca yüklenmiş. Bir anda onay almadan yüklemeye başlıyor, kısa sürüyormuş ve engel olamıyormuşsunuz.

Bilgisayarınızı açtığınızda, bir süre sonra şöyle bir ekranla karşılaşıyorsunuz.

Görseli görüntülemek için izniniz yok! Lütfen giriş yapınız veya üye olunuz.


Dosya ve klasör içeriği böyle oluyor.

Görseli görüntülemek için izniniz yok! Lütfen giriş yapınız veya üye olunuz.


Üzerinde çalıştığım harddisk detayı da burada.

Görseli görüntülemek için izniniz yok! Lütfen giriş yapınız veya üye olunuz.


Bu harddiski nadir kullandığım bir laptopuma taktım ve onun üzerinde bu harddiski kurtarmaya çalışacağım. En azından bulaşırsa da tekrar yazılım atarım.

Aşağıda bazı bilgileri ve bazı yerlerdeki makaleleri paylaşacağım.
 
Moderatör tarafında düzenlendi:

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Bu varyantta adamlar bitcoin istiyorlar. 500EU karşılığı bitcoin istiyorlar. Ülkemizde yakın zamanda Bitcoin alımı ve satımı yasaklandığı içinde bu ödemeyi yapamıyorsunuz. Yapsanızda açılacağıda zaten kesin değil.

Bir makale şöyle yazmış:

"CryptoLocker veya daha anlaşılır bir ifade ile, bilgisayarlarınızdaki tüm dosyaları çok güçlü biçimde şifreleyen ve dosyalarınızın bazen adını, bazen de sadece uzantısını değiştirerek sizden fidye talep eden zararlı yazılımlar…

Bilindiği üzere, cryptolocker veya şifreleme virüsü olarak adlandırılan ve mail, internet, RDP gibi birçok farklı yolla bulaşan zararlıların yüzlerce farklı çeşidi ve yüzlerce farklı isimle adlandırılan türü bulunmaktadır. Bizler buna cryptolocker varyantları diyoruz.
Bu yüzlerce varyantın büyük çoğunluğuna çözüm üretilebileceği gibi, ne yazık ki çözümü olmayan veya hiç olmayacak türlerde bulunmaktadır.

Bu yazı, sizi çözüme ulaştırmak ve yaşadığınız soruna dair bilgi vermek amacıyla hazırlanmıştır. Zira bu zararlılar, klasik bir virüs gibi hareket etmediğinden, kişi veya kurumların uyguladığı çözümler başarısız kaldığında, panik ve karamsarlık oluştuğunu gözlemliyorum.

Herhangi bir çözüm aracı üretilmemiş olsa dahi, özellikle MS SQL ( MDF/LDF ), MySQL , PST (outlook data), Ms Acess, dosyalarında kurtarma/onarma oranı ciddi oranda -%99,9- yüksektir .


An itibarı ile sayısına ulaşmış tüm cryptolocker sürümlerine karşı şuana kadar bilinen en etkili ve basit çözüm “Shadow Explorer” uygulamasıdır.
Lütfen herhangi bir işlem yapmadan önce, eğer gölge kopyalarınız silinmemişse, buradan dosyalarınızı Shadow Explorer ile kurtarma yolunu deneyiniz.
Eğer gölge kopyalarınız silinmemiş, ama Shadow Explorer ile kurtardığınızda dosyalar bozuk geliyorsa, bilgisayarı yetkisiz bir kullanıcı ile açıp, gölge yedeklerinizi bu şekilde almayı deneyebilirsiniz.
Shadow Explorer için :

Ayrıca; Eğer dropbox, gdrive, one drive gibi bulut yedekleme platformlarını kullanıyorsanız ve bu platformlarda etkilenmiş ise, lütfen buluttaki bu dosyalar/klasörler üzerine sağ tuş ile tıklayıp önceki sürümler özelliğini kullanarak dosyalarınızın bir önceki sürümünü geri yükleyiniz.

Ek olarak; eğer yetkin değilseniz, virüsün değiştirdiği dosya uzantılarını silmeyiniz, değiştirmeyiniz. Bunun bir faydası olmayacaktır.
Yine virüsün bıraktığı txt/html dosyalarını silmeyiniz, değiştirmeyiniz.

Virüs bulaşmış sistemlerinizi, kullanarak temizleyebilirsiniz.
Zemana Anti Malware için :
Zemana AntiLogger için :
( AntiLogger : Reklam, Bankacılık Zararlıları, Ransomware, KeyLogger gibi tuzaklarından sizi büyük oranda korur )
Not: bu uygulama zararlı bulaşmış bilgisayarlardaki dosyaları kurtarmaz, sadece çalışan zararlıyı uzaklaştırır. Yine uygulamayı bu türden saldırılardan korunmak için de kullanabilirsiniz. Fakat ısrarla vurgulamak isterim ki, bu tür zararlılardan, herhangi bir güvenlik çözümünü kullanarak %100 korunamazsınız, bu tür uygulamalarla riski minimize etmiş olursunuz.
[ %100 koruma = Yedek ve hatta yedeğin yedeği ]

Öncelikle belirtmeliyim ki;
Cryptolocker virüsü bilgsayarınızın isletim sistemine ve calisma prensibine zarar vermez. (yeni tip virüsün bilgisayarı çalışamaz hale getirdiği iddia edilse de, şimdilik böyle bir vaka ile karşılaşılmamıştır.) Virüs (zararlı yazılım ); aslinda sizin de farkli araclarla yapabileceginiz bir sifreleme uygular ve dosyalarınızın uzantısını değiştirerek ( Encrypted, Enc, Locky, Zepto, Thor, Axx, Crypted, Crypt, Cerber3, Cerber4, dharma , wallet , india.com , aol.com, spora, hakunamatata, locked, zyka, kraken_cc, mail.cz, fgb45ft3pqamyji7.onion, wcry, wannacry, mole, atlas, master, svn,wlu,jaff, arena, cesar vb… bu liste çok uzayacaktır. ) ya da daha farklı uzantılara çevirebilir, ya da dosya ismini tamamen değiştirebilir. çeşitli açık kaynak şifreleme kütüphaneleriyle ve çok güçlü olan bu şifreleme, cesitli yol ve yontemlerle kirilmaya calisilsa dahi, yillar alacak kadar karisik ve uzun bir şifrelemedir. Çözüm; şifreyi kırmaya yönelik ya da bu yolla değil, zararlı yazılımlardaki geliştirici hataları , algoritma hataları, arka kapılar ve zayıflıklar gibi yöntemlere dayanır.

Bu yazılım bilgisayardan kolaylıkla temizlenebilir, asıl sorun bilgisayardan temizlemek değil, şifreli dosyaları açmaktır. Virüsü temizleseniz, hatta format atsanız dahi, dosyalar şifreli olarak kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü temizlemek değil, dosyaları kurtarmak olmalı. ( format atarak ya da antivirüs programıyla taratarak onarabileceğinizi düşünüyorsanız, bozulan herhangi bir dosyanızı temiz bir makinaya taşıyarak test edebilirsiniz. )

Nasıl Bulaşır ?
Her zararlının kendine has bulaşma yöntemleri olsa da, geneli şöyledir;
+ Mail ekine ve linkine tıkladığınızda
+ Torrent’lerden ya da farklı bir kaynaktan indirdiğiniz resmi olmayan oyun, film, müzik dosyalarıyla
+ Uzak Masaüstü zaafiyeti ( RDP ) ya da diğer servislerin açıklıklarını kullanarak.
+ Online film, dizi izleme platformlarında çalıştırdığınız flash/java eklentileriyle
+ Ele geçirilmiş ve resmi olduğunu düşündüğünüz kaynaklardan indirdiğiniz uygulamalar ile
( örnek : ammyy admin )
+ Web tarayıcı eklentileriyle
+ Çeşitli blog ve haber portalları ( istemsiz )
+ Çeşitli ilan siteleri ( istemsiz )
 
Moderatör tarafında düzenlendi:

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Makalenin devamı:

"Nasıl Çözülür?
+ Bahse konu virüs çok çabuk gelişme sağladığından, kronolojik olarak paylaştığım çözüm önerileri sizin de göreceğiniz üzere virüsün bir sonraki sürümünde geçerliliğini yitirmektedir.
+ İlgili zararlılar eğer çözüm bulunmuşsa bir sonraki sürümü ile yayıldığından, hangi varyant ve hangi sürüm olduğu önemlidir. (varyant tespiti için de iletişime geçebilirsiniz)
+ Paylaştığım araçlar yalnızca bahsedilen sürüm için geçerlidir.

Örnek olarak, ülkemizde sık görülen ve çözümü üretilmiş zararlılardan bazıları şöyledir;
TeslaCrypt 1-2-3-4 ( ccc, vvv, xxx, mp3, ezz, ecc, uzantı olmadan )
CrySis ( xtbl, ytbl, india , arena, cezar, cesar )
Cerber-1 ( cerber )
Globe 2-3 ( decrypt2017, hnumkhotep, duhust vs…)
Jigsaw ( jigsaw )
Nemucod ( nemucod )
Dharma ( .dharma )
Wallet (.wallet )
Wannacry (wcry)
AES-NI (aes-ni)
Locky ( ykcol, lukitus )

Güncelleme ( 20.10.2017 )
ACCDFISA 2.0 olarak adlandırılan ve dosya uzantılarını “exe” haline getiren ve tam ismini, dosyaadi. to get password . id. xxxxxxx ([email protected]) .exe olarak değiştiren zararlı uzak masaüstü açıklarınızı kullanıyor. her platformda defaten bu konuda uyarmaya çalışıyoruz. Umarım VPN ya da Secure RDP kullanmadan RDP protokolünün dışarıya açılmaması konusunu öğreniriz. Bu zararlının yol açtığını enfeksiyon bazı durumlarda çözülebiliyor.

Güncelleme ( 05.09.2017 )
CryptoMIX olarak adlandırılan ve dosya uzantılarını .arena olarak değiştiren yeni bir varyant tespit edilmiştir. Bu varyantın tehlikesi hem mail spam hem de açık RDP portlarını kullanıyor olmasıdır. SQL, rar, zip, pst gibi dosyalar çok büyük oranda çözülebilmekte olup, diğer dosya türleri için iletişime geçmenizi tavsiye ederim.

Güncelleme ( 26.09.2017 )
Locky olarak adlandırdığımız ve dosya türlerini ykcol olarak değiştiren yeni bir zararlı tespit edilmiştir.

Güncelleme ( 26.05.2017 )
AES-NI varyantı için çözüm üretilmiştir :

Güncelleme (22.05.2017 )
onion ya da atlas olarak dosyaları şifreleyen ve RDP portunu kullanan yeni dharma/wallet varyantı tespit edilmiştir. ( RDP portalarınızı dışarıya kapatmanız önemlidir )

Güncelleme ( 21.05.2017 )
Wannacry için ücretsiz çözüm yayımlanmıştır :

Güncelleme ( 21.05.2017 )
Yine uzak masaüstü açığı kullanılarak ( RDP ) gerçekleşen ve ACCDFISA v2 olarak adlandırılan ve dosya uzantılarını (!! to get password email id to [email protected] !!) gibi değiştiren zararlı, bazı büyük boyutlu dosyalar için çözüm üretilebilmektedir.


Güncelleme (18.05.2017 )
Dharma/Wallet olarak adlandırılan ve uzunca zaman birçok insanı etkileyen zararlı için çözüm üretilmiştir.
Çözücü için :

Güncelleme ( 12.05.2017 )
WannaCry olarak adlandırılan ve dosyaların uzantılarını *.wcry olarak değiştiren zararlı hakkındaki makalemi şuradan okuyabilirsiniz :
Eğer bilgisayarınızı etkilenmeden sonra kapatmadıysanız #WannaKiwi ile dosyalarınızı kurtarabilirsiniz :
Çözüme dair notlar, linkte verilmektedir.
Çözüme dair notlar:
( Genel Tanımlamalar )

Çözüm kronolojisi :
Güncelleme ( 01.05.2017)
Uzak masaüstü açıklarından faydalanan Nemesis/CrypON olarak adlandırılan ve dosyaların uzantılarını, fgb45ft3pqamyji7.onion olarak değiştiren bir varyant tespit edilmiştir.

Güncelleme ( 05.03.2017 )
E-mail ekinde (sipariş maili ) bir ofis (excel) dosyası ile gelen ve dosya uzantılarını
6 farklı karakterle değiştiren TorrentLocker V4 saldırısı aktiftir.
 
Moderatör tarafında düzenlendi:

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Makalenin devamı;

"Güncelleme ( 02.03.2017 )
E-mail ekinde bir ofis (word/excel) dosyası ile gelen ve dosya uzantılarını
sage olarak değiştiren sage virüsü aktiftir.

Güncelleme ( 02.03.2017 )
Muhtemel yine RDP ( uzak masaüstü ) ile gelen bir çeşit zararlı dosya uzantılarını
( SN-000000000000- [email protected][email protected] ) olarak değiştirmekte ve dosyalarınızı şifrelemektedir.

Güncelleme ( 01.03.2017 )
Dharma fidye virüsü için, geliştiricileri tarafından master key yayınlanmış ve bu master key kullanılarak uzantısı .dharma olan dosyalarınız için çözüm üretilmiştir.
Görüleceği üzere, zararlıyı yazan kişiler, zaman zaman belli amaçlarına ulaştıktan sonra çözümü de yayınlayabiliyorlar. Bu sebeple her ne olursa olsun dosyalarınızı saklamanızı tavsiye ederim.
Dharma dosyalarınızın çözümü için

Güncelleme ( 04.01.2017 )
Hakunamatata veya Spora virüsü olarak adlandırılan ve dosyaların uzantısını da aynı isimle değiştiren ve RDP Brute-Force ile hak elde edip dosyaları şifreleyen yeni bir zararlı tespit edilmiştir.
Korunmak için :
Öncelikle RDP ( remote desktop ) portunu kesinlikle ( port değiştirilmiş olsa da ) dışarıya açmayın. RDP yapmanız gerekiyorsa VPN kullanarak yapın.
Ek olarak Secure RDP için :

Güncelleme ( 31.01.2017 )
TorrentLocker V4 artık Akbank / Access hesap özeti olarak gelmektedir. İş bankası türevi ile aynı olan zararlı ( isb . com) alan adını kullanmaktadır.

Güncelleme ( 18.01.2017 )
Yeni bir TorrentLocker saldırısı ile karşı karşıyız. İş Bankası ” Talimatsız EFT işlemi ” şeklinde gelen oltalama saldırısı, yine dosyaları ” 6 haneli rastgele ” uzantıya çevirmekte.
CybeReason uygulaması bu oltamala saldırısını engellemeyi başardı.

Güncelleme ( 18.01.2017 )
Globe V2-V3, yani dosyaları .decrypt2017 veya .hnumkhotep gibi rastgele 10 karakterlerle değiştiren varyant için umuma açık çözüm üretilmiştir. Çözümü kullanabilmeniz için mutlaka herhangi bir şifreli dosyanın birebir aynı boyutta şifresiz hali olmalıdır. İki dosyayı aynı anda tool’un üzerine bırakmanız yeterlidir.
Decrypter :

Güncelleme ( 18.01.2017 )
2017 ‘nin ilk TorrentLocker saldırısı Türk Telekom Faturası olarak geliyor. TTNET Faturası konu başlığı taşıyan bu oltalama maillerine tıklayıp, daha sonra ilgili bağlantıdan linkteki dosyayı indirip çalıştırmanız durumunda dosyalarınız şifrelenerek, her dosyanın sonuna rastgele 6 haneli bir dosya uzantısı ekleniyor. Yukarıda verdiğim uygulamalar; [ Zemana ve CybeReason ] bu oltamala saldırısını engellemeyi başardı.

Güncelleme ( 09.01.2017 )
2017 ‘nin ilk Cryptolocker vakalarından birisi, MongoDB açığı sayesinde binlerce veritabanının şifrelenmesi olayıdır. Kendilerini Kraken olarak adlandıran bir grup MongoDB’de bulduğu bir açıkla veritabanlarını şifrelemiştir.

Güncelleme ( 22.11.2016 )
Yine RDP açıklarından faydalanarak dosyaları şifreleyen yeni bir tür ile karşı karşıyayız. Aşağıdaki algoritmayla dosyaları yeniden isimlendiren virüs ” dharma ” ” wallet ” ya da
” zzzzz ” olarak adlandırılmaktadır. Örnek dosya algoritması şöyledir :
( dosyaadi. [<mailformatı>] .dharma / .wallet / .zzzzz )
örnek mail’lerden bazıları :
[ [email protected] , [email protected] , [email protected] , [email protected] , [email protected] , [email protected] , [email protected], [email protected], [email protected] ]

Güncelleme ( 21.12.2016 )
TorrenLocker V4 saldırısı şekil değiştirerek saldırıya devam etmektedir.
Yeni saldırıda mail ” Aras Kargo Teslim Edilemedi ” , “Kargonuz Teslim Edilmedi ” Aras Kargo Adres Güncelleme ” gibi yollarla gelmekte ve kişilerden adres bilgilerini düzenlemesi istenmeketedir. Aksi durumda 30 TL para isteyecekleri tehtidi ile de kullanıcı bu işlemi yapmaya zorlanmaktadır. Veri Düzenleme Formu indirildiğinde bir “.exe” dosyası çalışmakta ve zararlı sisteme enjekte olmaktadır.

Güncelleme ( 15.11.2016 )
Yeni bir torrentlocker v4 saldırısı başlamış ve yine phishing mail Turkish Airlines Cargo , Turkish Cargo , Turkish Kargo ya da THY Kargo olarak gelmektedir ve dosya uzantılarını rastgele 6 değişik karakterle değiştirmektedir.
 
Moderatör tarafında düzenlendi:

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Makalenin devamı ;

"Güncelleme (05.11.2016)
CrySis yani XTBL olarak şifrelenen dosyalarınız için decrypter üretilmiştir.
Aşağıdaki uygulamayı indirerek XTBL olarak şifrelenen dosyalarınızı çözebilirsiniz.
Örneğin : ( systemdown, datalord, vegclass)
Decrypter için :

Güncelleme (23.11.2016)
Locky olarak bilinen ve daha önce .locky , .thor , zepto gibi uzantılarını gördüğümüz zararlı .aesir veya .zzzzz (5 adet) , osiris, thor, gelmeye başlamıştır. Konusunda “Scanned Images” olan mailler vasıtası ile bulaşan zararlıya karşı dikkatli olunmalı.

Güncelleme ( 02.11.2016 )
Yeni bir torrentlocker v3 saldırısı başlamış ve bu kez phishing mail Turkish Airlines Cargo , Turkis Cargo ya da THY Kargo olarak gelmektedir.

Güncelleme ( 01.11.2016)
Son günlerde yoğun XTBL saldırısı olmaktadır. Bu saldırının özellikle RDP ( Remote Desktop ) açığı bulunan sistemleri etkilediği sanılmaktadır. Saldırı sonucunda dosyaların içeriğinde veya sonunda ” [email protected] , [email protected], [email protected], [email protected] , [email protected], [email protected] ” gibi ve sonu XTBL ile biten dosyalara dönüştürülmektedir. Bu vesile ile RDP’nin mutlaka kapatılması gerekmektedir.

Güncelleme (30.09.2016 )
TrendMicro; bir çok varyantı decrypt edebilen bir araç yayınladı. Aşağıdaki linkini ve hangi varyantlarda etkili olduğunu açıkladığım uygulama ile işlem sağlayabilirsiniz.
Çözebildiği Türler:
Cerber1-2, CryptXXX V1, V2, V3,V4, SNSLocker, 777, XORIST, XORBAT, Stampado, Chimera, Nemucod, LeCherif, Mircop, Jigsaw, Globe/Purge.
İlgili aracı indirmek için :
Aracı indirdiğinizde ve zipten çıkardığınızda “Select” butonu yardımıyla varyant seçebilirsiniz.

Güncelleme ( 02.09.2016 )
Türkiye’de fazla görülmeyen DXXD zararlısı için çözüm üretildi.
Bu varyant dosya isimlerine [email protected] , [email protected] ifadelerini ekliyordu.
İlgili çözüm aracını indirmek için:

Güncelleme ( 21.09.2016 )
Ammyy Admin gibi, Anydesk gibi çok bilinen uygulamaların resmi web siteleri ele geçirilerek zararlı dosya yüklenmesi gibi, Usb disk’lerden otomatik çalıştırma gibi seçenekler aktif ise .cerber3 malware’i bulaşmaktadır. Bu tip fidye virüslerinden korunmak için mutlaka sandbox tarzı yazılımlar kullanılmalıdır.

Güncelleme ( 31.08.2016 )
Uzun zamandan sonra tekrar Türkcell – Turkcell e-fatura zararlısı yeniden aktif hale geldi. Dosyaların uzantısını .enc ( Enc ) olarak değiştirir.

Güncelleme (05.08.2016)
Chimera, CoinVault, Shade için hazırlanmış çözüm uygulaması linktedir.
Decrypter için :

Güncelleme (30.06.2016)
Antivirüs üreticisi AVG Türkiye’de çok fazla görülmeyen birkaç farklı varyant için decrypter tool (çözüm aracı ) üretti. Yukarıda belirttiğim gibi, bu varyantlar Türkiye’de fazla görülmedi ama hem bu sayfanın birçok yabancı kaynaktan da ziyaret edilmesi, hem de denemekte fayda olacağı düşüncesiyle ilgili kaynağı paylaşıyorum. Diğer decrypter araçları için yazıyı okumaya devam edebilirsiniz.
AVG Decrypter için :

Güncelleme (13.05.2016)
Türkcell faturası görünümünde gelen TorrentLocker v3 daha agresif ve daha aktif.
” Türkcell Fatura Bildirim, Turkcell faturanız sunulmuştur “ gibi konuları içeren ve içeriğinde Turkcell Faturası olduğunu iddia eden mailleri açmadan siliniz ve çevrenizdeki insanları uyarınız. ( uzantı : encrypted )

Güncelleme (25.05.2016)
TorrentLocker V3 olarak adlandırılan zararlı artık Digiturk faturası olarak gelmekte ve dosyaların uzantısını *.encrypted olarak değiştirmektedir.
Lütfen konu alanında DIGITURK, Digiturk, Dijiturk vs… olan mailleri açmadan siliniz.
Bu varyant için çözüm üretilip üretilmediğine dair bilgiye örnek bir dosyayı mail ile göndererek alabilirsiniz.

Güncelleme (19.05.2016)
Daha önce dosyaları vvv, ccc olarak şifreleyen Tesla yazılımı, v3 ile xxx,ttt,micro,mp3 olarak şifreliyordu. V4 ile de uzantı koymadan şifrelemeye başlamıştı. Bugün yaşanan bir gelişme ile Tesla virüsünün tamamına ilişkin çözüm üretildi.
vvv,ccc,xxx, ttt, micro, mp3 veya dosyalarınız uzantısız olarak şifrelenmişse çözüm için aşağıdaki decrypter’ı indirin ve Tesladecoder’ı çalıştırın. Set key butonuna basarak ilgili dosya uzantısını seçiniz, ( sizin sürüm hangisi ise ) daha sonra decrypt all butonuna tıklayarak çözümü gerçeşleştirebilirsiniz.
Decrypter’ı indirmek için :

Güncelleme (18.05.2016)
Mail ile excel,pdf, js olarak gelen ve random karakterler atayarak dosyaların uzantısını .locky olarak değiştiren Locky Ransomware için yurtdışı kaynaklı bir firma çözüm üretti. Çalışmanın karşılığında belli bir ücret istemekteler .

Güncelleme (27.04.2016)
Antivirüs üreticisi Kaspersky .crypt uzantılı dosyalar için bir çözüm aracı ( rannoh decryptor ) yayınladı. İlgili aracı indirmek ve denemek için :

Güncelleme ( 19.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık “PTT Posta Hizmetleri Kargo Bildirimi” olarak gelmektedir. İlgili varyantta, kargonun teslim alınmadığı durumda 25 TL günlük tazminat uygulanacağı bilgisi verilerek, maili alan kişiyi kandırmaya yönelik bir strateji hedeflenmiş. Zararlı çalıştıktan sonra dosyaların uzantısı .encrypted olarak değişmektedir.
( Yukarıda bahsettiğim güvenlik firması; lisans satınalması karşılığında çözüm üretmekte ve ayrıca koruyucu yazılım sağlamaktadır. )

Güncelleme ( 12.04.2016)
Fidye ödenmediği durumda her yeniden başlatmada 1000 dosya silmekle tehdit eden Jigsaw Ransomware çözümü için :

Güncelleme ( 11.04.2016)
Petya Ransomware‘i için çözüm üretildi:

Güncelleme ( 04.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık TTNET Faturası olarak gelmektedir.
 
Moderatör tarafında düzenlendi:

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Makalenin devamı ;

"Güncelleme ( 25.03.2016) – Türkiye’de henüz bu varyant görülmemiştir –
Petya Ransomware sisteminize bulaştığında harddiskinizi tamamen erişilmez hale getiriyor. Sistem enfekte olduğunda öncelikle bilgisayarınızın onarılması için kapatılması gerektiğine dair bir uyarı alıyorsunuz, sistemi yeniden başlattığınızda ise, sistem tamamen kullanılamaz hale gelmekte. Eğer sistemi reboot etmemişseniz, aşağıda Petya için geliştirilmiş bir çözüm bulunmakta :

Güncelleme ( 23.03.2016)
Crypted uzantılı Nemucod varyantı için üretilen decypter tool’unu kullanabilirsiniz :

Güncelleme ( 16.03.2016)
TeslaCrypt 4 yayınlandı. Bu varyant dosya uzantılarını değiştirmiyor. Ve halihazırda bu varyant için bilinen veya üretilen bir çözüm bulunmamaktadır.
Aşağıda dizin ve kayıf defteri değişiklikleri verilmiştir:

%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_[random] C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe HKCU\Software\ HKCU\Software\\data
Güncelleme ( 12.03.2016):
Yine farklı türden bir şifreleme vakası; dosya uzantılarınızın ” xtbl ” olarak değişmesini sağlıyor.

Güncelleme ( 02.03.2016):
Torrentlocker yine türkcell maili olarak gelmeye devam ediyor. ( encrypted uzantısı ) Bir önceki varyantta olduğu gibi virüs mail hesabınızı kullanarak kendisini başka cihazlara da mail ile göndermeye çalışıyor. Dosyalarınızın tamamını yedekledikten sonra, bilgisayarınızı formatlayıp, cihazınızda bir mail hesabı varsa bu hesabın şifresini değiştirmeniz önemle duyurulur. ( yurtdışı kaynaklı bir firma lisans maliyeti talep ederek çözüm üretmektedir )
Ayrıca bu varyant için detaylı malware analizini incelemek ve örnek binary dosyasını indirmek için :

Güncelleme ( 16.02.2016):
Mail ile gelen ve ekinde doc, xls uzantılı bir fatura olduğu düşünülen bu varyant dosya uzantınızı Locky olarak değiştirmektedir. Tanımadığınız kişilerden gelen ve alakasız içerik barındıran mailleri doc,xls,pdf uzantısına sahip olsa da açmayınız.

Güncelleme ( 14.02.2016)
UmbreCrypt and HydraCrypt için EmsiSoft tarafından bir decrypter yayınlandı.
Bu iki varyantın Decrypter aracı için:

Güncelleme (10.02.2016)
TeslaCrypt artık dosya uzantılarını mp3 olarak değiştiriyor.

Güncelleme (19.01.2016)
Cryptolocker/TorrentLocker 19.01.2016 tarihi itibarı ile Türkcell maili olarak gelmekte ve dosya uzantısını encrypted olarak değiştirmektedir.

Güncelleme (15.01.2016)
15.01.2016 tarihi itibarıyla virüs form değiştirmiş ve artık şifrelediği dosyaların uzantısı micro
olarak değişmektedir.

Güncelleme (13.01.2016)
xxx çok global olduğu için TeslaCrypt 3.0.1’de dosya uzantısı .ttt olarak değişmektedir.

Güncelleme ( 12.01.2016 )
Maalesef TeslaCrypt virüsü güncellendi ve artık dosyaları .xxx dosya uzantısı ile şifreliyor. Teslacrypt bu sürümde şifreleme tekniğinde bir değişikliğe gitti. Daha önce paylaştığımız TeslaCrack / TeslaDecoder maalesef bu sürümde işe yaramayacaktır.

Güncelleme ( 28.12.2015)
Çözümpark Bilişim Portalı’nda yayınlanan ve benimde katkı sağladığım sadece .vvv, ccc , abc, xyz, ecc uzantılı varyantı kapsayan çözüme dair link için

TeslaCrack ( Googulator ) uygulaması için :
( Yukarıda çözümpark linkini verdiğim uygulamanın orjinal çözüm ve kaynağı )

Güncelleme ( 03.05.2015)
[email protected] türevleri için üretilen decrypter tooluna şu adresten ulaşabilirsiniz :

Güncelleme ( 27.05.2015)
Cisco tarafından üretilen Talos Decrypter’ı tesla varyantı için deneyebilirsiniz :

Guncelleme (11 Şubat 2015) :
Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz. İlgili link İçin:

Güncelleme ( 11.02.2015 )
Kasperky tarafından üretilen brute force yöntemini kullanan decrypter’ı deneyebilirsiniz :

ID-RANSOMWARE:
+ Aşağıdaki linkini verdiğim servisi kullanarak, virüsün hangi türevine maruz kaldığınızı ve sizin tarafınızdan uygulanabilecek bir çözüm olup olmadığına göz atabilirsiniz. Bu servis şuan birçok farklı varyantı tanımlamaktadır. Fakat tanımlayamadığı versiyonlarda bulunmaktadır.
Eğer hangi tip zararlı ile muhatap olduğunuzu bilirseniz, çözüm aramanız şüphesiz daha kolay olacaktır.

Sürüm tespit uygulamasına “Ransom Note” kısmından virüsün size bıraktığı notu ve, “Sample Encrypted Data” kısmından 1 örnek dosya gösterin ve upload butonuna basın, dosyanın yüklenmesine müteakip, varyant kimliği gösterilecektir.
ID-RANSOMWARE Uygulaması için :

+ Eğer işletim sistemi kurulumunda otomatik gelen gölge kopya (shadow copy ) özelliği açıksa dosyalarınızı geri getirebilirsiniz. Fakat yeni varyant virüs bu kopyaları da silebilmektedir.
Shadow Explorer Uygulaması için :
Shadow Explorer açıldığında solda diskleriniz ve disklere tıklandığında gölge kopyalarınızı görebilirsiniz.
Eğer gölge kopyalarınıza shadow explorer ile ulaşamıyorsanız;
command prompt’u admin yetkisi ile açınız;
vssadmin list shadows
komutu ile gölge yedekleri teyit ediniz.
daha sonra bu gölge yedeği diskinizde herhangi bir alana linklemek için;
“mklink /d c:\shadowCopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\”
komutunu kullanabilirsiniz
Not:
c:\shadowcopy : linkleneceği alan
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\ : list shadow komutuyla aldığınız ekrandaki “Shadow Copy Volume” alanı.
 
Moderatör tarafında düzenlendi:

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Makalenin devamı ;

"Nasıl Korunulur ?
+ Çözümpark Bilişim Portalı’nda korunmayla ilgili paylaştığım iki yazıya gözatabilirsiniz.
Lakin unutulmamalı ki, bu tip saldırılardan korunmanın %100 yolu sağlıklı yedek almaktan geçer.
+ Grup ilkesi ile korunma :
+ Malwarebytes Antiransomware :
+ Crypto Monitor
Crypto Monitor Uygulaması free olarak dağıtılmaktadır :
Bu yazılım şifreleme işlemi başladığında ilgili işlemi durdurabilmektedir. Yalnız siz de 3. bir uygulama ile dosyalarınızı şifrelemek isterseniz uygulamayı pasifleştirmelisiniz.
+ Cryptolocker Prevention Kiti;
GPO ( Group Policy ) şablonlarını bilgisayarınıza indirip kullanmanızı sağlar.
( Kurulum uzmanlık gerektirebilir, kurulum açıklaması indireceğiniz klasörün içindedir ) : CryptoLocker Prevention Kiti için :
+ Cryptolocker Prevention:
CryptoLocker Prevention uygulaması sizi büyük oranda koruyacaktır. Linkteki uygumalayı indirip aşağıdaki ayarları yapınız ( uygulama artık lisanslı – 27.03.2015 10 lisans 100 usd ) :
Uygulamayı indirmek için :

Hitman Pro :
HitmanPro uygulamasına 1 Kullanıcı için 24.95 usd karşılığı sahip olabilirsiniz
Hitman Pro uygulamasını indirmek için :
Ransomware Detection yazılımı :
Bu yazılım basitçe şu işi yapıyor;
eğer dosyalarınızı değiştiren bir kripto yazılımı tespit edilirse size mail ile haber veriyor. Maili alır almaz ilgili cihazı kapatırsanız belki hasarı küçük sıyrıklarla atlatırsınız.
İlgili yazılım için:

+ Ayrıca local policy uygulayarak bilgisayarınızın %appdata% ve %temp% klasörlerinden uygulama çalıştırmasını engellemeniz çok faydanıza olacaktır. Software Restriction Policy dediğimiz kurallar ile büyük oranda koruma sağlarsınız
Nasıl yapılır dökümanı şurada :
Ve Şurada:
+ Ayrıca tüm klasörleriniz için shadow copy özelliğini aktif edip, shadow copy yönetim aracı vsssadmin.exe’nin ismini değiştirmeniz de büyük fayda sağlar.
Neden vssadmin’in adını değiştirmeliyiz ve nasıl yapılır dökümanına şuradan ulaşabilirsiniz :
Why Everyone Should disable VSSAdmin.exe Now, makalesi için şuraya :

+ Mail sunucularınız için, mutlaka tehdit algılayıcı sistemlerin kurulması gerekir. Gelen mailler genelde temiz ip ve domainlerden geldiği için tehdit algılayıcı önlemler ip ve domain yasaklamaktan çok daha etkili yöntemler olacaktır. Bilgi için :

+ Mail veya güvenlik duvarı yöneten kişiler; linkini verdiğim adresi sürekli yasaklayabilir :

+ Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır. (Kaynak : difose)

+ Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir yerde bir yedeğini daha tutun.

+ Mail hizmeti aldığınız yerleri bu virüs ve alınması gereken önlemler hakkında uyarın.

+ Bilgisayarlarınızda dosya uzantılarını gösterin ve sonu .exe , .bat gibi uzantılarla biten fatura veya döküman gibi görünen hiçbir dosyayı açmayın.

Dosya uzantılarını nasıl gösterebilirsiniz (win7) ? :
Xp’de bir klasörde iken klasör seçenekleri ve “Bilinen dosya türleri için uzantıları gizle” kutucuğunun çentiğini kaldırın.

+ Lütfen bilgisayarınıza format attırmayın ve ayrıca her ihtimale karşı lütfen SIFRE_COZME_TALIMATI , HELP_RESTORE_FILES, HELP_DECRYPT dosyalarınızı da silmeyin. (Ta ki, dosyalarınızın üstüne bir bardak su içene dek)

Mail Sunucuları için :
+ Yazacağınız kural ile mail içeriğinde ve mail gönderen adresinde “ttnet” “turktelekom” gibi adresleri sizin onayınızdan geçerek kullanıcılara yönlendiriniz.

+ Aşağıdaki adresleri spam filtre yazılımlarımlarıyla bloke ediniz. (Yeni saldırı için)

Alan adları her geçen gün değiştiği için şu adresi takip ederek gereken güncellemeyi,
siz de sunucularınızda yapabilirsiniz :

Virüsün Kronolojisi :
Güncelleme ( 24.03.2015 ) :
Virüs yeni varyantında kriptolama işlemine başlamadan önce shadow copy yedeklerini silmeye veya bozmaya çalışmaktadır.Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu da yasaklayabilirsiniz.

Güncelleme (23.03.2015) :
Virüsün yeni varyantı; muhtemelen, ki kuvvetli bir ihtimaldir YSK’dan (Yüksek Seçim Kurulu ) geliyormuş gibi gelecek.
Türkiye’de seçim dönemi yaklaşmakta ve herşeyi online halletmeye alışmış olan bizler, seçmen bilgilerimize ulaşmak için her linke tıklayabilir durumdayız.
Seçmen bilgi kartınızı görüntülemek, oy kullanacağınız yere bakmak, oy kullanacağınız yeri değiştirmek için lütfen muhtarlarınıza müracaat ediniz ya da, YSK’nın online işlemler sayfasından bakınız. Bu amaçla size gönderilmiş olan hiçbir iletiyi açmayınız.

Güncelleme 14.03.2015 :
Virüsün son varyantlarında işe yaramıyor olsa da, TTNET, Telekom faturalarından etkilenmiş kişiler bana ulaşabilir. Eski varyantlar için yeni bir kaç çözüm üretildi.

Guncelleme 12.03.2015
Ttnet, türk telekom, turkcell derken sira Ptt kurumundan geliyor gibi gosterilen maillerde.
Bunun bir sonrasi hangi kurum olur bilinmez, lutfen onleminizi simdiden aliniz.

Güncelleme ( cryptowall virüsü )
Cryptolocker yaninda cryptowall virusunun de yaygin olarak bulastigi gorulmustur.
Bu virusun calisma prensibi yukarida anlatilanlardan farkli degildir.
Bu sebeple, panik yapmamaniz günün sonunda dosyalariniza eksiksiz ulasabileceginizin rahatligi icinde olmanizi tavsiye ederim.

Güncelleme 09.03.2015:
Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır.

Güncelleme 25.03.2015:
Üzülerek söylemeliyim ki;
Virüsün farklı kopyaları çok farklı insanların eline geçmiş durumda. Çocuk denebilecek yaşta kişiler bunları deneme amaçlı da olsa göndermekte bir sakınca görmemekteler.
Lütfen bu ve buna benzer saldırılar hakkında çevremizdekileri de uyaralım.

Guncelleme ( 30.03.2015)
Virus artik her gun maillestiginiz ve zombi olmus bir kontaginizdan gelebilir.
Lutfen yukarida belirtildigi gibi, dosya uzantilarini gosteriniz ve exe,bat,msi,vbs gibi uzantilari bulunan mail eklerini kimden gelirse gelsin acmayiniz.

Güncelleme ( 03.04.2015 )
Virüs artık ip yapısını değiştirdi, 46.254.20.32 bloğunu yasaklayın.

Güncelleme ( 25.06.2015 )
Bu sabah itibarıyla sahte fatura virüsü tekrar aktifleştirilmiştir. Türkcell e-fatura şeklinde gelen virüse karşı gereken tedbirleri vakit geçirmeden alınız.
Son varyant Cryptolocker virüsüne karşı detaylı bir analiz :
>Saldırı phishing yapılan marka ile alakasız yeni alınan ter temiz IP
adreslerden yapılıyor. Örnek. [email protected] ,
[email protected]
Phishing epostanın URL nin gövdesinde bulunan linkler saldırganlar
tarafından hacklenmiş konudan bihaber domain adreslerden oluşuyor. Örnek.
xxxx://atamaze.com
Hacklenen web sunucuda saldırganların yönlendirme sistemleri çalışıyor gelen
link talebi belirli aralıklarla değiştirilen phishingi yapılan markanın
adının geçtiği yeni açılan domain adreslere yönlendiriliyor. En son örnek.
xxxx://e-turkcell.net/ohcq59wn.php?id=bmF6QGdva2NlLmF2LnRy

25 Haz 2015 gece 02:00 civarında başlayan saldırıdan bu yana tespit edilen sahte
URL adresleri;

xxxx://turkcell1.com/f7a9qs7o.php?id=bmF6QGdva2NlLmF2LnRy
xxxx://iturkcell.net/u9j7rphw.php?id=Z29ya2VtLmdva2NlQGdva2NlLmF2LnRy
xxxx://turkcell24.net/klqxm94b.php?id=a3VicmEuY2VsaWtAaGl0aXRndW1ydWsuY29t
xxxx://turkcell-efatura.com/dbnugka.php?id=Ym9yYUBnb2tjZS5hdi50cg==

Bu adresler her yeni phising email saldırısından sonra bu şekilde değişicek
gibi görünüyor.
Şuana Kadar Fake URL adresleri barındırdığı sunucuların IP bloğu:
146.185.249.0/24
Zararlı dosya Yandex Disk de barındırılıyor zararlı dosyanın varyantıbelirli aralıklarla değiştiriliyor.( Avira )

Güncelleme ( 01.07.2015 )
Yeni domainler şöyledir :
companytutorial.com
mycapitalinbox.net
e-turkcell.net
turkcell1.com
iturkcell.net
turkcell-efatura.com
turkcell24.net

Güncelleme ( 28.08.2015 )
Yeni mail Turkish Cargo içeriği ile gelmektedir. Adres Değişikliği formu gibi bir mail alırsanız lütfen açmayınız.

Güncelleme ( 02.12.2015 ):
Virüs artık sadece mail ile değil, internetten indireceğiniz herhangi bir dökümandan, online film/dizi izleme platformlarından, torrentlerden indireceğiniz herhangi bir uygulama/oyunlardan, bir web adresinden bulaşabilmektedir. Lütfen dikkatli olunuz.
 
Moderatör tarafında düzenlendi:

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Makalenin devamı ;

"Amaç nedir ?
+ Öncelikle üreticilerin amacı para kazanmaktır.
+ İkinci olarak virüsün ilk üreticisinin amacı aynı zamanda botnet, yani her zaman kullanabileceği köle bilgisayarlar oluşturmaktı. ( Zeus BOTNET : )
+ Güç , kişisel tatmin, test vb…

Fidye Ödemeli miyiz?
+ Öncelikle fidyeyi ödemek saldırganlara daha çok motivasyon kazandıracağı için etik ve ahlaki olmayacaktır.
+ Saldırganların hedefi öncelikli olarak para kazanmak olduğu için sizden alabildiği kadar çok para almayı amaçlar
+ Yabancı ve yerli forumlarda ödeyenlerin bir kısmının verilerini geri alabildiği gibi, büyük bir kısmının da alamadığı yazılmaktadır. Benim de kişisel olarak ödeyip alan ve fazla sayıda alamayan insanlara şahitlik etmişliğim bulunmaktadır.

Özel not:
Çalışma yapması için herhangi birine cihazınızı vermeden önce mutlaka şifreli halleriyle dosyalarınızın yedeğini alınız/aldırınız.
 
Moderatör tarafında düzenlendi:

Paradox

Çalışkan üye
Yönetici
Kurucu
Moderatör
22 Ara 2016
14,511
5,652
163
www.yavuzcakar.com
Yanılmıyorsam burada belirtilen şifreleme Windows'un kendisi tarafından yapılıyor.
Virüs bu şifrelemeyi tetikliyor ve şifreleme anahtarlarını yalnızca kendisi biliyor.
Dosyalar ayrı ayrı ve güçlü bir şekilde şifreleniyor.
Bu durumda da bütün şifreleri tek tek kırmak imkansız bir hal alıyor.
Böyle bir durum ne benim ne de tanıdıklarımın başına gelmedi.
Konu hakkında yeterli bilgiye sahip değilim.

HDD verileri yedeklendikten sonra HDD biçinledirilirse ve sağlam bir veri kurtarma programı ile işlem yapılırsa,
Verilerin tamamı olmasa da büyük bir kısmı kurtarılabilir.
Bu bir varsayım.

Ayrıca bildiğim kadarıyla ücret karşılığı verileri kurtaran yerler var.
Hangi mantıkla çalışıyorlar, hiç bir bilgim yok.
Mantıklı olan, veriler çok değerli ise ücret ödemek gibi görünüyor.

Bundan sonrası içinde tedbir almak lazım.
Çoğu kişi, eminim bunlara sizde dahilsinizdir,
Programların bilmem neleri antivirüs programları tarafından siliniyor diye antivirüs programı kullanmıyor.
Programların çalışmasını kısıtladığı için Windows güvenlik sistemlerini devre dışı bırakıyor.
Hatta sistemini güncellemiyor.
Bu intihardır.

Gerek antivirüs progralarından gerekse Windows sistemlerinden her programa ayrı ayrı izin verilebilir.
Böylece hem bilgisayarınızda çalışmasını istediğiniz herşey sorunsuz bir şekilde çalışır hem de korumasız kalmazsınız.
 

symbazz

Çalışkan üye
Yasaklı üye
25 Ara 2016
3,806
2,404
163
54
Benim güvenlik duvarım ve antivirüsüm devamlı açıktır. Yalnız antivirüsten istisnaları ayarlarım ve böylelikle benden habersiz ve izinsiz önem verdiğim dosyaların silinmesini engellemiş olurum.
Şifrelemeyi windows üzerinden yapıyor sözünüze katılıyorum. Çünkü virüslü bilgisayar sorunsuz bir şekilde açılıyor. Bazı çözüm üreticiler, bir önceki geri yükleme noktasını yükleyince virüsten kurtulabileceğini söylüyorlar.
 

Paradox

Çalışkan üye
Yönetici
Kurucu
Moderatör
22 Ara 2016
14,511
5,652
163
www.yavuzcakar.com
Benim güvenlik duvarım ve antivirüsüm devamlı açıktır. Yalnız antivirüsten istisnaları ayarlarım ve böylelikle benden habersiz ve izinsiz önem verdiğim dosyaların silinmesini engellemiş olurum.
Şifrelemeyi windows üzerinden yapıyor sözünüze katılıyorum. Çünkü virüslü bilgisayar sorunsuz bir şekilde açılıyor. Bazı çözüm üreticiler, bir önceki geri yükleme noktasını yükleyince virüsten kurtulabileceğini söylüyorlar.

Şifrelenmiş sistem dosyası varsa geri yükleme bu konuda işe yarayabilir.
Lakin diğer dosyalar için yararlı olacağını düşünmüyorum.
Mantıklı da değil zaten.