Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • İşletim Sistemleri ve Yazılımlar
  • Yazılım Genel
  • Güvenlik Programları
  • Bu Konuda
Şimdi Ara

TTNET Fatura Epostası Taklidiyle Bulaşan Cryptolocker Virüs Varyantı Yardımlaşma (10. sayfa)

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
785
Cevap
34
Favori
101.110
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
0 oy
Öne Çıkar
Cevapla
Sayfa: önceki 89101112
Sayfaya Git
Git
sonraki
Giriş
Mesaj
  • Panda antivirüs firmasıda virüs listesine az önce ekledi virüsü fakat kripto açma ile ilgili çalışma devam ediyor şeklinde beklemede inşallah kaspersky firması gibi olumsuz dönmez.


    Trj/Chgt.L adı ile tanımaktadır artık virüsü.
  • rentacar2 kullanıcısına yanıt
    TTNet ile ne alakası var ki olayın? TTNette mağdur bu durumdan. Gelen mail, avea, turkcell faturası da olabilirdi. TTnet seçilmesinin sebebi girilen captca, dalgın olanların farketmekte zorlanması vs.
  • dünden beri düşündüm beyaz hackerler size bir tio veriyorum şimdi

    C:\Users\%UserName%\AppData\Local\Microsoft
    C:\ProgramData\Microsoft

    Bu dizinde crypto ve cryptoContent adında iki klasör yaratıyor cryptoda rsa işlemini pcde gerçekleştiren yazılım var diğerindede dosyaların şifreleri edaha neyapayım size programıda siz yazın artık.

    Not : Varyantlar arası klasör dizinleri değişkenlik gösterebilir AppData Kalasörlerinin içinde arayın CryptoKlasörlerini



    < Bu mesaj bu kişi tarafından değiştirildi veli_0300 -- 22 Kasım 2014; 0:12:48 >
    < Bu ileti m.bolumsonucanavari.com kullanılarak atıldı >
  • veli_0300 kullanıcısına yanıt
    Teknik bilgim yok sayılır ancak CryptoContent klasörü bende mevcut değil. Dün bir ara malwarebytes ile C:\ahbvjlic.exe ve bir registry girdisini karantinaya almıştım (6 saat civarı böyle kaldı) sonra verilerin geri dönülemez şekilde kalmasını engellemek için karantinadan alıp aktive ettim. O esnada content i imha etmiş olabilir diyebilir miyiz yahut farklı bir dizin aramalıyım.

    Güncelleme: C:\Users\%UserName%\AppData\LocalLow\Microsoft\CryptnetUrlCache dizininde Content ve MetaData olmak üzere 2 klasör buldum içlerinde 226'şar tane birbirinin kopyası key var sanıyorum (umarım). Ancak şifrelenmiş dosyalar 3500'ün üzerinde. Dosya başına bir anahtar mı olmalı yoksa X sayıda dosyaya bir anahtar mı veriyor (bunu mantıksız buldum) ?



    < Bu mesaj bu kişi tarafından değiştirildi Roby -- 22 Kasım 2014; 3:33:48 >
    < Bu ileti mobil sürüm kullanılarak atıldı >
  • yaptığınız mğdehaleye göre değişir yarın rsa ile şifremele işlemini gerçekleştiren virüsün orjinal yazılımını burda paylaşacağım dll leri ile birlikte.Virüs tıklanınca internetten download işlemi gerçekleştiriyor sanırım ve bu dosyayı program olarak locale kuruyor sonra çalışmaya başlıyor. Benim Bulduğumçözüm bu 2 dosya mevcut birisi Crypto Adında Dieğri Bende CryptoContent Crypto Nun içinde yazılım var Diğerinin içinde şifreler Ancak dosyaları bu şifrelerle Cryptoluyor anladığım kadarıyla çünkü Ocrypto File yi decode ederken yazılı olan şifre işe yarıyor.

    < Bu ileti mini sürüm kullanılarak atıldı >
  • arkadaşlar dediklerinizde haklı olabilirsiniz fakat sizin her yaptığınız müdahale ve kurtulma yöntemini bulaştığı bilgisayarın internet bağlantısı var ise karşı tarafa gönderiyor ve bu sayede sürekli kendini değiştirip yeni varyant olarak sisteme adapte oluyor. yapılan işlemin internet yokken yapılması durumunda karşı tarafa veri aktaramayacağı için başarılı olması mümkün ve başarılı olsa dahi muhakkak dalgınlığıma geldi vs diyerek internete bağlıyken çözümü uygularsa bir kaç saat içinde yine boşa çalışılmış olur dikkat edin bu konuda. ben bile tırstım desem yeridir dünkü denememde bilgilerimin dışarıya aktarılmasını ve şifrelerimin açık olarak karşı tarafa gitmesi kötü bir deneyim oldu ayrıca diğer kişiler için önemli oldu. kaspersky maalesef dışarı gönderilen verileri okuyamadığı gibi üstüne üstlük siteye müdahalede dahi bulunamamıştı.
  • Yok bilgilerin disariya aktarilmasi gibi bir fonksiyon goremedim localde kurdugu bir programla sifreliyor ve sifreleride yne locale atiyor

    < Bu ileti mini sürüm kullanılarak atıldı >
  • dostum gönderme olayını normal yollar ile zaten asla algılayamıyorsun bak eklediğim resime bu bilgiler benden dışarıya virüsün yolladıklarından sadece bir kaç tanesi ve virüse ait linkin resmini alıntıladıydım onu dahi yolladı maalesef ve en kötü kısmı panda software daha değişik bir boyuta ulaştı varyant sürekli olarak kendisini yenileyebilme özelliğine sahip Bu sefer ESET firması gerçekten çok ileri gitti hiç bu tarz bir uyarı vb durum yokken haftalar öncesinden kriptoı virüsü hakkında uyarı ve nasıl olabileceğini göstermişti ama diğer firmaların 1 tanesinden bile bu şekilde uyarı yapılmadı ve yapılmadığı gibi eset yazılımlarındaki yapay zeka özelliğine sahip bir virüs türevi olması çok ama çok ilginç her şey eset firmasını işaret ediyor yada bu yapay zeka özelliğinin geliştirilmesinde görev almış bir programcının parmağı var.

    durumu pandanın tespit etmesindeki en büyük sebep ise artık cloud tabanlı olduğu için bir siteye ulaşmadan ilk önce kendi sunucularında doğrulama yapması ve bütün herşeyi kendi sunucusuna onaylatarak izin vermesinden kaynaklı kaspersky, Comodo, eset, trend micro bu firmalara virüsü tanımlama ve sildirme işlemini yaptırmadan önce hiç bir müdahalede bulunmadıkları gibi uyarıda vermiyorlardı aynı şekilde pandada tanımamasına karşın dışarıya çıkan bilgileri tespit edip dışarı çıkartılmasını engelleyebiliyordu şuanda tüm firmalar tanıyor neredeyse ama çözüm yok panda firmasından gelen cevapta maalesef kaspersky firması gibi asla kırılamaz cevabı oldu ve sebebine gelince virüsün sürekli olarak kendini yenileyerek geliştirmesi gösterilmiş durumda. virüsün bulaştığı kişiler maalesef ayvayı yedi ama hiç bulaşmamış kişiler geçici süreliğine güvendeler ama yeni varyantların oluşması nedeni ile neler olabileceği konusunda bilgimiz yok.


    We normally detect most of Cryptoware variants.

    The problem is that every day new variants are developed.



    Also there is another problem. If a machine is infected and the files of the victum are encrypted the files cannot be decrypted.

    So the customer must follow proactive protection measurements and a very efficient backup system.



    In order to avoid this or similar detections he can use the instructions mentioned in the following link.



    durum bundan ibaret zaten artık ne olduysa kripto açıyorum diyenleri sesi kesildi gerçekten bize kriptosunu açtığı bir sistemin videosunu paylaşabilirse ancak o şekilde inanabiliriz kriptoyu açma kısmı asla önemli değil işlem kısmını karartabilir ama birebir gerçek hiç kesme ve ekleme yapmadan şu 4 saatlik uğraşlarının sonucunda açılan kriptolu dosyaları görmek istiyoruz. shadow copy yada ntbackup vs gibi yollar ile yapıp oldu bitti diyenlere tek diyebileceğim saçma sapan şeyleri çözüm diye sunmayın zaten yedeği olan adamın sıkıntısı yok.




  • Önemli dosyalarınızın olduğu klasör izinlerini düzenleyerek diğer programların dosyaları bozmasını engelleyebilirler önlem olarak.
  • quote:

    Orijinalden alıntı: Hobar

    Önemli dosyalarınızın olduğu klasör izinlerini düzenleyerek diğer programların dosyaları bozmasını engelleyebilirler önlem olarak.

    o dedinde bir çözüm ama artık virüsler zeki oldukları için klasör izni vs hiç bir şey hatta uac en düzeyde dahi olsa tınlamıyorlar.
  • quote:

    Orijinalden alıntı: black_flood

    quote:

    Orijinalden alıntı: Hobar

    Önemli dosyalarınızın olduğu klasör izinlerini düzenleyerek diğer programların dosyaları bozmasını engelleyebilirler önlem olarak.

    o dedinde bir çözüm ama artık virüsler zeki oldukları için klasör izni vs hiç bir şey hatta uac en düzeyde dahi olsa tınlamıyorlar.

    O kadar yapabileceğini sanmıyorum ya. Xp de yapar belki de. windows 7 den sonrasında yapamaz. Kaldı ki bu virüs aslında normal bir program gibi çalışıyor. Başlangıca yerleşip dosyaları değiştiriyor. sistemin geneline müdahale yok. üşenmesem sanal pc de dener gösterirdim



    < Bu mesaj bu kişi tarafından değiştirildi Hobar -- 22 Kasım 2014; 11:54:28 >




  • Tübitak ta analizlerine devam ediyor bu arada arkadaşlar, bizim ulaştığımız bilgilerden farklı olarak yeni bir bilgi şu an için mevcut değil ancak bu işe mesai harcayan birilerinin olması da sevindirici.

    http://www.bilgiguvenligi.gov.tr/siniflandirilmamis/crytolocker-analizine-devam.html



    < Bu mesaj bu kişi tarafından değiştirildi molguner -- 22 Kasım 2014; 17:59:49 >
  • Bu postayı sadece TTNet üyelerine mi gönderiyorlar ?
  • Alakası yok ne müşterisi olunduğunun

    < Bu ileti mobil sürüm kullanılarak atıldı >
  • 1. Virüsün hangi dosyaları nerelerde oluşturduğunu tesbit etmek zor değil. Bunu çeşitli programlarla log olarak alabiliriz arkadaşlar.
    2. Silme konusunda sorun yaşayan arkadaş olursa, çeşitli log alma ve silme yazılım ve komutları ile virüsü silebiliriz. Ancak bu işlem, buradaki konu akışını bozmamak için ayrı bir konu açılarak yapılması uygun olur.

    Ayrıca, bir arkadaş virüs dosyasının upload adresini vermişti. Ödeme yaparak, şifreçözücü yazılımı elinde bulunduran arkadaşlar bu yazılımı paylaşabilirlerse veya bana ulaştırabilirlerse bazı uzman arkadaşların olduğu platformlarda sorunu gündeme getirebilirim.

    Bilgilerinize ...
  • yazılımı paylaşıcam diyenler nerde niye paylaşmıyorlar.
  • atacal kullanıcısına yanıt
    o dediğini yapacağız dosya var diyenler oldu ama tık yok kripto dehasıyım deyip 250 şer lira ödeme isteyenlerde oldu ama nedense işin içi yüzü gerçeklik boyutuna ulaşıp tübitak çeşitli antivirüs kuruluşlarından gelen yazılar eklenin buharlaştı bir anda. büyük ihtimal ile zaten her sistemde farklı kriptolama şekli uyguluyor ve her kriptolama yapılan sistemde oluşturulan kripto ile ilgili bilgi karşıdaki saldırgana gittiği için her sistem için ayrı bir kripto çözücü oluşuyor. virüsün sadece Windows platformlarını engelleyecek yapıda olması nedeni ile aslında Linux ortamında incelemenin daha mantıklı olacağını düşünüyorum ama eğer Linux ortamında bilgi yollarsa zararlı ona dahi bulaşan varyant çıkması mümkündür.
  • Şaka maka virüsler iyice gelişti artık.Virüslerden korunmak kurtulmaya göre daha kolaydır.Para isteyenlere pirim vermeyin bununda çözümü yakında çıkar.
  • atacal kullanıcısına yanıt
    Parayı ödeyip dosyalarını kurtaranlar kendilerini daha iyi hissediyor sanırım uygulamayı paylasmayinca. Bence sorun değil ama paylasilsaydi en azindan genel bir çözüm arardik. Pek faydasının olacağını düşünmesem de.



    < Bu mesaj bu kişi tarafından değiştirildi molguner -- 23 Kasım 2014; 13:23:24 >
    < Bu ileti mobil sürüm kullanılarak atıldı >
  • evet paylasacagim parayı ödedim cözdüm diyenlerin şifrelerinide bu hackerler kullanıyor sanırım :)
    • 
Sayfa: önceki 89101112
Sayfaya Git
Git
sonraki
- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz. DH’ye girerek kullanım izni vermiş sayılırsınız.
Anladım Veri Politikamız