Selam,
Eksik yazmışım yanıtın sayesinde düzeltme yapayım. “Şuana kadar” tabiri yanlış olmuş 2014 yılınıda dahil etmiş oluruz crypto v3 zararlıları tarih vermek gerekirse Şubat 2015 den sonraki yapılan Turkcell, PTT, Turkish Kargo fidye saldırılarındaki şifrelenen dosyaları tool ile çözmek mümkün olmuyor. 26 Ağustosta bahsettiğiniz zararlının familyasını bilmediğim için yorum yapamayacağım açıkçası çözebilme ve teyit olayını tam anlayamadım daha detaylı bilgi verirseniz belki o konuda da düşüncelerimi yazabilirim. Gönderilen twitter linkinde tek taraflı yazışmaları okuyabiliyorum. (twitter kullanmıyorum) Ama emailimin bütününe bakarsanız toollar ile çözülebilecek varyantlarının da olabileceğini yazmıştım. Bu konuda yapılan bir çalışmada oluşturulan fiyat tablosuna bakarsanız farklı grupların bu işle uğraştını anlamak mümkün. https://blog.avira.com/open-source-ransomware-available-on-github/ open source kütüphanelerinde bile artık geçiyor. Dünya üzerinde bu konuda kendini geliştirmek isteyip kısa yoldan para kazanmak isteyon çok insan var. http://www.chip.com.tr/haber/fbidan-ilginc-ransomware-tavsiyesi_59038.html haberdeki açıklama ne kadar doğru yada bütün bilemiyorum tabiki ama bu açıklamadan sonra madeni kazmaya devam edenler daha hırslanacak yeni maden keşfetmeye devam edilecek J Bu arada bu dr.web italyan bayisi bu konuda adwords çalışmasıda yapmıştı. J Çözülebilin vakadan daha çok çözülemeyecek vakanın geleceği düşünülürse destek satmak zekice bir davranış. From: NetSec [mailto:[email protected]] On Behalf Of Mert SARICA Sent: Friday, November 06, 2015 10:19 AM To: [email protected] Subject: Re: [NetSec] Crypt0L0cker hakkında... Selam, "Şuana kadar Türk kullanıcılarına gelen özellikle Turkcell, Telekom, PTT, Turkish Kargo phishing saldırılarında kullanılan zararlılar kesinlikle toollarla çözülemiyor" kısmına pek katılamayacağım çünkü e-postamda da belirttiğim üzere 26 Ağustos'ta ülkemizde gerçekleşen salgında gönderilen Cryptolocker zararlı yazılımı ile şifrelenmiş bir dosyayı çözülebildiklerini teyit ettim. -> https://twitter.com/MhmtYY/status/653955984986128385 Görüşmek dileğiyle, <https://www.mertsarica.com> https://www.mertsarica.com <https://twitter.com/mertsarica> https://twitter.com/mertsarica <https://tr.linkedin.com/in/mertsarica> https://tr.linkedin.com/in/mertsarica CISSP, SSCP, OSCP, OPST, CREA & CEREA 2015-11-06 10:04 GMT+03:00 Selçuk IRMAK <[email protected] <mailto:[email protected]> >: İlk olarak ransomware olarak fidye yazılımlarının temmuz 2014 den temmuz 2015 e kadar 100 yakın değişik varyantı çıktı. Bu işin şuanda piyasası bile oluştu 25 USD fiyde isteyen ransomware de var 500 USD isteyende. Örnek tablo ektedir. 2014 yılındaki fidye yazılımlarındaki açıklardan faydalanılarak şifrelemeler çözülebildi. Fidye yazılımının açığına göre sunucu sistemine göre vs. bu toollar bazen işe yararken baze işe yaramadı fakat şu bir gerçek ki 2015 yılındaki v3 ile tabir edilen fidye yazılımlarında bu açıklar kapatılmış görünüyor. Ticaret her alanda kendini gösterir tabiki adamlarda bu işi paraya döndürmeye çalışmış başarmışta olabilirler ama bazı uyanıklar işte önce numune gönder bakayım diyor sonra tamam çözerim bu işi ne kadar işte 1000 TL 2500 TL arası fiyat istiyor önce numune sormasının nedeni eğer açığı olan toollarla çözülebiliyorsa düşük ücret çözülemiyorsan yüksek fiyat çözülemeyen için nasıl yardımcı olacak fiydeci sistemden alacak ve çözecek arada aracılık parası almış olacak. Ha fidyeciye vermişsiniz ha aracıya aynı şey fiyat yükseltilmesinden başka bir şey değildir. Dr.Web aşağıdaki linkini incelerseniz orada varyantların kurtarma tablosunda ne dediğini çok net anlayabilirsiniz. Son varyantlar için imkansız demişler! https://antifraud.drweb.com/encryption_trojs/?lng=en Şuana kadar Türk kullanıcılarına gelen özellikle Turkcell, Telekom, PTT, Turkish Kargo phishing saldırılarında kullanılan zararlılar kesinlikle toollarla çözülemiyor çözerim hizmet bedeli isteyenlere itibar etmeyin derim. Numune gönder bakayım sonra 2 bitcoinden daha yüksek bedel isteyenlerde yukarıda söylediğim üzere aracılık yapıp kısa günün karı şeklinde mağdur insana sözüm ona yardımcı olup ticaret yapmaktadır! Bu arada CCC uzantılı şifreleme ağ üzerinden yapılmaktadır. Ağa öncelikle trojan olarak bulaşır sonrasında ağ üzerinde password algoritmaları kullanılarak uzaktan şifreleme yapılır. Bir sabah bir bakarsınız bir bilgisayar olmuş tamam çözdüm yedekten döndüm dersiniz 3 gün sonra bakarsınız başka bilgisayar olmuş kullanıcıya sorarsınız hiçbirşey açmamış ve tıklamamıştır çünkü başka bilgisayar üzerinden yapılmıştır! Sisteme sızmayı email yöntemleriyle yapılıyor özellikle zip rar içinde java dosyalarıyla bunu yapıyorlar. Şifreleme için yeni kurbanlar kullanmak için USB sistemlerde kullanılmaya başlandı! LNK uzantı ile bulaşan tehditler bir süre sonra ağda şifreleme olarak karşınıza çıkıyor. From: NetSec [mailto:[email protected] <mailto:[email protected]> ] On Behalf Of Mert SARICA Sent: Friday, November 06, 2015 9:22 AM To: [email protected] <mailto:[email protected]> Subject: [NetSec] Crypt0L0cker hakkında... Selamlar, Dr. Web, 35$'a lisans alınması durumunda Crypt0L0cker ile şifrelenmiş dosyaları çözebildiğini söylüyor ve kullananlar da başarılı olduğunu belirtiyor. Teknik olarak nasıl başardıkları konusunda, çözüp çözemedikleri konusunda bir tecrübem yok ancak yazılanlara göre bunu son 6 aydır yapabiliyorlar gibi görünüyor, detayları aşağıdaki adresten inceleyebilirsiniz. http://www.bleepingcomputer.com/forums/t/574686/torrentlocker-changes-its-name-to-crypt0l0cker-and-bypasses-us-computers/page-5 http://www.bleepingcomputer.com/forums/t/587362/drweb-quietly-decrypting-torrentlocker-for-paid-customers-or-distributors/ Dikkat edilmesi gereken önemli bir nokta ise şifrelenmiş dosyaları çözdüklerini söyleyen ve çözen de (başarıyla çözebildiklerini tecrübe ettim) aşağıdaki gibi bazı kişiler/aracılar var. Bunların da Dr.Web'den satın aldıkları aracı kullanarak team-viewer ile sisteminize bağlanarak destek adı altında sizden fazladan ücret (35$) talep ettikleri belirtiliyor. http://www.decryptolocker.it/default_ing.asp Dr.Web'in şifrelenmiş dosyaları nasıl çözebildiği ise gizemini koruyor. Bu konuda detaylı bilgisi olan var ise paylaşabilirse sevinirim. Görüşmek dileğiyle, <https://www.mertsarica.com> https://www.mertsarica.com <https://twitter.com/mertsarica> https://twitter.com/mertsarica <https://tr.linkedin.com/in/mertsarica> https://tr.linkedin.com/in/mertsarica CISSP, SSCP, OSCP, OPST, CREA & CEREA ------------------- Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul 07-08 Kasım 2015 [email protected] <mailto:[email protected]> | www.bga.com.tr <http://www.bga.com.tr> -------------------
------------------- Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul 07-08 Kasım 2015 [email protected] | www.bga.com.tr -------------------
