Yeni Kayıt
Konudaki Resimler
önceki
< Bu mesaj bu kişi tarafından değiştirildi oasisngn -- 21 Kasım 2014; 2:15:45 > |
Hızlı 
Bildirim
TTNET Fatura Epostası Taklidiyle Bulaşan Cryptolocker Virüs Varyantı Yardımlaşma (8. sayfa)
Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Bu Konudaki Kullanıcılar:
1 Misafir - 1 Masaüstü
Giriş
Mesaj
-
-
quote:
Orijinalden alıntı: osmantuna
hocam bi gelişme var mı acaba banada cryptolanmış değilde sıkıştırılmış gibi geliyor dosyalar
Osmantuna arkadaşım bugün yoğunluktan dolayı çok az bakabildim kusura bakmayın.
1) virüse (faturaxxx.exe) ilk tıklandığında random olarak kendine bir işim üretip Windows ana dizinine atıyor. Windows başlangıcada kendini yazdırıyor. (ADOBE PHOTO DOWNLOADER) olarak.
2.) Explorer.exe yi de klonlayıp 32 bit şeklinde aktif ediyor görev yöneticisinde bakabilirsiniz. Bu Explorer.exe NOD32 nin güncel olmayan versiyonu dahi truva olarak görüyor.
3.) Virüs dosyayın öz niteliğini oynamadan önce daha teklikeli bir olay var oda linux hack programcılıkla uğraşanlar bilir SSH Cryptography yani işletim sisteminin shell konutlarında oynayıp format çekilene kadar işletim sisteminizde arka kapı açıyorlar bir nevi teamviewer gibi düşünün tek farkı izin alması gerekmiyor
4) Outlook kullananların kişi listesine sızıp yeni hedef listeleri belirliyor. Özelikle kurumsal şirketlerde çalışan her kullanıcıya gelmesinin nedeni bu.
5) comctl32 ve diğer Windows ocx lerini (ayrıntılarını bugün öğleden sonra resimli şekilde atarım) kullanarak başta JPG zip 7zip rar ve sisteminde kurulu olan programların uzantılarını örnek olarak Autocad dosyaları gibi file Folder disk driver networkmap nesnelerini kullanarak tüm sayısal verilere ulaşıp öz niteliğini değiştiriyor.
6) bu virüs başta abd olmak üzere Avrupanın çoğu yerine bulaşmış cryptolocker virüsü yani RSA ile dosyaları şifreliyen virüs ile alakası bile yok nedeni ise gerçek cryptolocker virüsü dosyayı şifrelediyinde Windows ortamında rengi değişir. RSA recovery programları ile tarattığınızda şifreli dosyaları bulur ama açmak için rsa+sytemcertifika sı gerekir.
Bu gün size resimleri ile ne yaptığını nasıl çalıştığını yazacağım.
< Bu ileti mobil sürüm kullanılarak atıldı >
-
quote:
Orijinalden alıntı: teknikweb
Arkadaşlar virüsün orjinal çalışan bir link hali gerekli. Parayı ödeyip dosyaları açtırdık, dosyaları açan programı ise kaydettim. Virüsü tekrar bulaştırıp bu programın farklı bilgisayarda işe yarayıp yaramadığını test edicem, başarılı olursam eğer bir çok kişiye yardımcı olabilirim. Bana gönderilen link iptal edilmiş durumda. Adam o kadar mal mı bir dosyayı bütün bilgisayardakini açsın diye düşünenler olabilir, paranın gönderilmesi, onaylanması, programın download edilmesine kadar bir çok şeyi gözden geçirdim. Virüs linkini atabilecek var mı ?
Selam,
keske para odemeseydiniz... ama madem odediniz, decrypt dosyasini da siz bir yere upload edebilir misiniz? benim ustteki mesajimda virus dosyasini bulabilirsiniz. ve umuyorum indirdiginiz dosyanin download linkini kaydetmissinizdir. ben o url yardimi ile diger etkilenen arkadaslar icin gerekli olan dosyalari da indirebilecegimizi dusunuyorum. chrome ile indirdiyseniz ctrl+J ile cikan downloaded files ekraninda url' duruyor olmali. kontrol eder misiniz.
azim.
-
oasisngn
kullanıcısına yanıt
2. Virus ayni isimdeki makineye her bulastiginda ayni <user_code> olusturuyor. Makine adi gibi sabit bir degerden bu <user_code> turetiliyor.
demişsiniz. Bu bilgisayarın kullanıcı ismi mi? Eğer öyleyse ve aynı kullanıcı isminde olan her bilgisayara aynı user code üretiliyorsa, decrypt için para ödeyen kişinin kullanıcı ismi neyse aynı isimle farklı bir diske Windows kurulur ve şifrelenmiş dosyalar oraya taşınır. Sonra decrypt programı ile dosyalar kurtarılır.
Tabi makine adı değil de farklı bir şey de olabilir mi diyorsunuz?
< Bu ileti tablet sürüm kullanılarak atıldı > -
Arkadaşlar merhaba
bende virusu salı gunu yedim klasik TTNET faturası olarak geldi.
Yazılımcı bir arkadaş ile uğraştık fakat maalesef çözemedik
şifrelemiş dosyalarım önemli olduğundan parayı gönderdim ve kısa sürede çözüldü.
parayı bitcoin olarak istiyor. 1.0788 BTC talep ediyor.
BTC borsa gibi işlem gören bir para birimi sürekli değiştiğinden web sitelerinde
899 TRY karşılığı yazsada 965 TL'ye alabildim
virusun size yönlendirdiği "yazılım nasıl satın alınır" konu başlığındaki bölümde Bitcoin hesap adresleri var.
ilgili tutardaki BTC'yi gönderdiğinde kısa sürede bir dosya geliyor ve çalıştırmanızı istiyor
yaklaşık 4 saat süreceğine dair bir bilgi var benimki yaklaşık 45 dakına sürdü
50450 dosyamı şifrelemişti.
yaptığım bu işlem hakkında soru sormak isteyen varsa yardımcı olabilirim
kötü bir tecrube oldu ama 965 tl akıl parası oldu walla.
-
arkadaşlar hem programlamadan hem reverse engineering hem kriptografiden anlarım az buçuk
program dosyaları anladığım kadarıyla 2 yolla şifreliyodur
1 private keyini serverda sakladığı public keyini virusun içine gömdüğü sabit algoritma
2 yukardaki manyığın aynı +
( salting yani rastgele üretilmiş tekil bir harf dizisini şifrelemenin içine yazmıştır)
veya
( privatekey ile decompile ettikten sonra tekrar ürettiği random salt ile xor ile basit bir elle yazılmış algoritmayla)
decompile ediyordur
her halükarda decompiler eğer iyi bir packer ile packlenmemişse illa ki iş görür
keşke satın almamış olsaydınız sitede 1 dosyalık sahte bir kayıt oluşturur ucuza satın alabilirdik sağlık olsun
< Bu ileti tablet sürüm kullanılarak atıldı > -
Hafta sonu yebi formatlamis oldugum ve kullanmadigim laptobuma bilerek bulasmasini saglayacagim. Haftasonu azicik eglenirim :)
Ancak yer alan bilgilere gore sifre Aes-256Bit sifreleme sistemini kullaniyor. Baya zor bir sistem. Bakalim belki sans eseride olsa biseyler bulurum.
< Bu ileti mobil sürüm kullanılarak atıldı > -
Programi satin almis arkadaslar usercodelarini ve programlarini paylasirlarsa programin hexadecimalini inceleyerek bi cozum bulabiriz gibi geliyo
< Bu ileti mobil sürüm kullanılarak atıldı > -
maalesef arkadaşlar deneme amaçlı olarak virüslü linkleri açan herkes ayvayı yemiştir hayırlı uğurlu olsun şimdiden. paanda sadece veri transferini durdurabiliyor ama virüsü halen tanımıyor kaspersky' da aynı şekilde 2 kere aldığım linkte mevcut olan virüs değişim gösterdi bu nedenden dolayı virüs tam olarak tespit edilip yok edilemiyor.
virüsün kodlarını çözdüm diyenlerede kötü haberim var kodu çözdüğünüz anda yaptığınız işlem ve uyguladığınız yöntemlerin bilgilerini de direk karşı tarafa iletiyor virüs. virüsün sürekli değişim göstermesindeki ana neden bu. benim uğraştığım esnadaki tüm çektiğim resimler yaptığım müdahale bilgilieri şuanda karşıda kaspersky' da tanıyamıyor zaten değişim gerçekleştiği için.
< Bu mesaj bu kişi tarafından değiştirildi black_flood -- 21 Kasım 2014; 9:51:32 >
-
quote:
Orijinalden alıntı: Hobar
quote:
Orijinalden alıntı: NorthDragon
Arkadaşlar merhaba
bende virusu salı gunu yedim klasik TTNET faturası olarak geldi.
Yazılımcı bir arkadaş ile uğraştık fakat maalesef çözemedik
şifrelemiş dosyalarım önemli olduğundan parayı gönderdim ve kısa sürede çözüldü.
parayı bitcoin olarak istiyor. 1.0788 BTC talep ediyor.
BTC borsa gibi işlem gören bir para birimi sürekli değiştiğinden web sitelerinde
899 TRY karşılığı yazsada 965 TL'ye alabildim
virusun size yönlendirdiği "yazılım nasıl satın alınır" konu başlığındaki bölümde Bitcoin hesap adresleri var.
ilgili tutardaki BTC'yi gönderdiğinde kısa sürede bir dosya geliyor ve çalıştırmanızı istiyor
yaklaşık 4 saat süreceğine dair bir bilgi var benimki yaklaşık 45 dakına sürdü
50450 dosyamı şifrelemişti.
yaptığım bu işlem hakkında soru sormak isteyen varsa yardımcı olabilirim
kötü bir tecrube oldu ama 965 tl akıl parası oldu walla.
Banlayın bu orospu çocuğunu.
Fatma gülün suçu ne olayına çevirmişsin hemen admine bildir durumu atsın bi tepik ne kasıyorsun arkadaşım bu kadar.
-
quote:
Orijinalden alıntı: black_flood
quote:
Orijinalden alıntı: Hobar
quote:
Orijinalden alıntı: NorthDragon
Arkadaşlar merhaba
bende virusu salı gunu yedim klasik TTNET faturası olarak geldi.
Yazılımcı bir arkadaş ile uğraştık fakat maalesef çözemedik
şifrelemiş dosyalarım önemli olduğundan parayı gönderdim ve kısa sürede çözüldü.
parayı bitcoin olarak istiyor. 1.0788 BTC talep ediyor.
BTC borsa gibi işlem gören bir para birimi sürekli değiştiğinden web sitelerinde
899 TRY karşılığı yazsada 965 TL'ye alabildim
virusun size yönlendirdiği "yazılım nasıl satın alınır" konu başlığındaki bölümde Bitcoin hesap adresleri var.
ilgili tutardaki BTC'yi gönderdiğinde kısa sürede bir dosya geliyor ve çalıştırmanızı istiyor
yaklaşık 4 saat süreceğine dair bir bilgi var benimki yaklaşık 45 dakına sürdü
50450 dosyamı şifrelemişti.
yaptığım bu işlem hakkında soru sormak isteyen varsa yardımcı olabilirim
kötü bir tecrube oldu ama 965 tl akıl parası oldu walla.
Banlayın bu orospu çocuğunu.
Fatma gülün suçu ne olayına çevirmişsin hemen admine bildir durumu atsın bi tepik ne kasıyorsun arkadaşım bu kadar.
Hocam yeni üye olmuş. Attığı tek mesaj bu. Salak salak konuşuyor. Fake olduğu bariz. Sinirimi bozdu
virüs falan yemedim ben ama konuyu takip ediyorum. Ama adamlar sağlam çalışma yapmış gerçekten.
< Bu mesaj bu kişi tarafından değiştirildi Hobar -- 21 Kasım 2014; 9:57:22 >
-
quote:
Orijinalden alıntı: Troll King
arkadaşlar hem programlamadan hem reverse engineering hem kriptografiden anlarım az buçuk
program dosyaları anladığım kadarıyla 2 yolla şifreliyodur
1 private keyini serverda sakladığı public keyini virusun içine gömdüğü sabit algoritma
2 yukardaki manyığın aynı +
( salting yani rastgele üretilmiş tekil bir harf dizisini şifrelemenin içine yazmıştır)
veya
( privatekey ile decompile ettikten sonra tekrar ürettiği random salt ile xor ile basit bir elle yazılmış algoritmayla)
decompile ediyordur
her halükarda decompiler eğer iyi bir packer ile packlenmemişse illa ki iş görür
keşke satın almamış olsaydınız sitede 1 dosyalık sahte bir kayıt oluşturur ucuza satın alabilirdik sağlık olsun
Maalesef minimum tutar 899 TL. (100 civarinda dosya encrypt ettigi halde istedigi TL rakami). sanirim eger 2000-3000 civari bir seviyeden sonra istenen ucret dosya miktarina gore artiyor.
<user_code> trojanin sizin icin hesapladiğı 6 karakterden oluşan ve sizi yönlendirdiği web sitesinin adresinde de görebileceğiniz bir değer.
dün akşam bilgisayar adını değiştirdim ama bu değer sabit kaldı ikinci defa sıfırdan bulaştığında.
decryptoriu satın alan arkadaşlar dosyayı bir yere upload ederlerse ve adresi mesaj olarak atarlarsa bana çok makbule geçer iki tane bile olsa bunlardan yola çıkarak diğerleri için çözüm bulmak kolay olur. indirdiğiniz URL de önemli onları da bekliyorum Chrome download geçmişinde duruyor olabilir.
-
quote:
Orijinalden alıntı: AhmtMlh
Hafta sonu yebi formatlamis oldugum ve kullanmadigim laptobuma bilerek bulasmasini saglayacagim. Haftasonu azicik eglenirim :)
Ancak yer alan bilgilere gore sifre Aes-256Bit sifreleme sistemini kullaniyor. Baya zor bir sistem. Bakalim belki sans eseride olsa biseyler bulurum.
Tekrar tekrar kurmak yerine VMware kurup uzerinde XP calistirirsaniz Snapshot alarak hizlica geri donebilirsiniz. Sifreleme AES-256 degil. Yukarida yazdigim gibi. icerigi 000000000000000000 olan bir dosyanin tum icerigi ayni kalmaya devam ediyor. sadece &*^%$^&^%$#%^&=!000000000000000000&%$#*^&%^$#%&^ durumuna donusturuyor virus. Zaten bu sayede bu kadar hizli calisiyor. public private key yok, tek baglanti bence user_code... neyse gun ola hayrola zaman bulunca bakmaya devam edecegim. -
eforpc
E
kullanıcısına yanıt
ben müsterilerden gelen kasaların disklerini soktum etiketledim disk takıp verdim bilg.lerini kullanıyolar çözüm arıyorum getdataback ve photorec le birkaç önemli dosyanın yakın tarihli kopyalarınıda kurtardım musterilere verdim su anda bi taraftan veri kurtarıyorum bi taraftanda virusle ugrasıyorum -
black_flood
kullanıcısına yanıt
hocam selam , biz şimdi virüsü temizleyip bilgisayarımızı kriptolu dosyalarla kullanmaya devam ediyorduk. Bu durumda format atalım ondan sonra mı kullanalım? virüsü temizledikten sonra hala arka planda güvenlik açığı kaldı mı sence? -
virüsü sistemime zaten bulaştırmadım dosya zipli şekilde inmiş durumda ve bu faaliyetleri yapıyor birde tıklarsam neler yapacağını tahmin bile edemiyorum ama virüs temizlendikten sonra kriptolu dosyalar asla kurtarılamamaktadır belirtiyorum özelliklen virüsü temizlediysen zaten bir anlamı yok direk fdisk çekip tüm bölümleri yeniden oluştur ve ardından bütün şifrelerini değiştir. fdisk ile köklemeden önce her ne kadar şifrede değiştirseniz yeni şifreleri de karşıya iletiyor. var olan tüm verilerininiz yedekleyin fakat yedekleme işlemini Linux ortamında yapınız Linux ortamında faaliyet gösteremediği için yedek alınan dosyalara bulaşma ihtimalide çok düşüktür. tüm yedekleme ve kurulum işlemi bittikten sonra panda antivirüs 2015 kurup sistem loğlarını takip edin ful tarama sonrasında şifrelerinizi değiştirdiğinizde eğer benim koyduğum resimdeki gibi bilgilerinizin aktarılması söz konusu ise yedeklerinizbaşka bir diske aktarak kurtulun ve yeniden fdisk temiz kurulum antivirüs kurulumu işlemlerini tekrarlayıp şifrelerinizin hepsini değiştirin. yedeklerinizi de asla geri dönmeyin çözümünü üretene kadar.
< Bu mesaj bu kişi tarafından değiştirildi black_flood -- 21 Kasım 2014; 10:34:43 >
-
Yukaridaki iki resimde goreceginiz gibi.... virus kendisini c:\windows\explorer.exe seklinde kopyaliyor ( henuz startup'a koydugu kisma gelemedim,ya da atladim EforPC ama dun aksam yazdiginizi dogrulamis oldum) ama ikinci resim daha ilginc... dosyalarinizi encrypt etmiyor. sonuna 264 byte ekliyor... sonra ilk contenti tekrar yaziyor ama bu kuvvetle muhtemelen AES-256 ile encrypt edilmis data degil daha basit bir algoritma ile icerigi degistiriyor... sadece dosyalariniz "kirilamayacak bir sifreleme ile sifrelenmiyor" demek icin bu mesaji yaziyorum... yakinda cozum bulunur, aceleniz yoksa para odemeyin virusu yazanlara.
< Bu mesaj bu kişi tarafından değiştirildi oasisngn -- 21 Kasım 2014; 12:15:02 >
-
Bulaşmış bilgisayarda kayıtlı olan e-maildeki dosyaları açabiliyorum. Buradan kendime mail atıp farklı bir bilgisayarda dosyayı açsam, açtığım bilgisayara da virüs bulaşırmı ? -
quote:
Orijinalden alıntı: Plan-B
Format atmak işe yaramıyormu neden para veriyorsunuz
Dosyaların içeriği değişiyor.
Format atmak çözüm değil maalesef.
Birkaç müşterimde sorun var demiştim. Hala çözüm bulunamadı. Bir müşterimin aşırı ısrarı üzerine bugün ödeme yaptırıp açmaya çalışacağım dataları. Bilgi veririm size arkadaşlar.
PC'de birçok malware ve virüs programı çalıştırdım. Umarım datalar kayıpsız bir şekilde geri gelir.
Geri geldikten sonra low level format atarak işletim sistemini kuracağım fakat dosyaların tam olarak arındığına nasıl emin olacağım bilmiyorum.
-
quote:
Orijinalden alıntı: Plan-B
quote:
Orijinalden alıntı: The MasteR
quote:
Orijinalden alıntı: Plan-B
Format atmak işe yaramıyormu neden para veriyorsunuz
Dosyaların içeriği değişiyor.
Format atmak çözüm değil maalesef.
Birkaç müşterimde sorun var demiştim. Hala çözüm bulunamadı. Bir müşterimin aşırı ısrarı üzerine bugün ödeme yaptırıp açmaya çalışacağım dataları. Bilgi veririm size arkadaşlar.
PC'de birçok malware ve virüs programı çalıştırdım. Umarım datalar kayıpsız bir şekilde geri gelir.
Geri geldikten sonra low level format atarak işletim sistemini kuracağım fakat dosyaların tam olarak arındığına nasıl emin olacağım bilmiyorum.
Format dahi işe yaramıyorsa para vermek istemeyen arkadaşlar ne yapıcak
İstenen parada galiba azbuz bir miktar degil..
Aslında bunun önlemi ve çözümü düzenli olarak yedek almak.
Şuan tek çözüm windows'un shadowcopy özelliği ile eski dosyaları geri getirmek.
Para vermek istemeyen arkadaşlar 1. versiyonda olduğu gibi bir çözüm bekleyecek. Başka alternatif yok gibi gözüküyor.
Müşterilerim için aynı şey geçerli değil. Adamın tüm banka bilgiler, ticari programları vb. bilgiler yüklü olduğu için para olayını dert etmiyor. İşin çözümüne bakıyor.
O kadar uyarı mailleri çekmeme rağmen hala bu tuzağa düşen müşterilerim var.
Düzenli yedek hayat kurtarır.
Ip işlemleri
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
