Fiyatlar önceden saldırıya göre değişiyordu fakat son dönemde Türk kullanıcılarına yapılan saldırılarda sabit 2 bitcoin isteniliyor.
Fiyat algısı için düşündükleriniz olmayacak bir durum değil bu kirli ekiplerin birbirleriyle çok büyük ihtimalle zaten temaslarıda vardır. From: NetSec [mailto:[email protected]] On Behalf Of Gökhan Karakaş Sent: Friday, November 06, 2015 10:38 AM To: [email protected] Subject: Re: [NetSec] Crypt0L0cker hakkında... Açıkçası yukarıda okuduklarımdan sonra aklıma şu soru geliyor. Acaba büyük paralar alamadıkları şirketleri de bunun aracılığı ile ne kopardık kar mantığına mı gidiyor bu cryptolocker işinin arkasındaki ekip? Demek istediğim şifrelenen kullanıcı doğrudan yüzlerce binlerce dolar ödemek yerine alternatif bir çözüm arayışına gidiyor doğrudan. Verilerin çok kritik olduğu durumlarda ödeme gücü olan şirket veya kullanıcılar bu paraları fidye olarak vermeye razı geliyorlar. Ancak bu paralara değmeyen durumlarda kurum yada kişiler şifrelenen verinin üzerine bir bardak su içip devam ediyorlar. Bu gibi durumlara alternatif olarak, gerek son kullanıcının gerek kurumların ödemekten çekinmeyeceği ufak paralara bu işi çözüyor gibi davranabilirler mi? 6 Kasım 2015 10:18 tarihinde Mert SARICA <[email protected] <mailto:[email protected]> > yazdı: Selam, "Şuana kadar Türk kullanıcılarına gelen özellikle Turkcell, Telekom, PTT, Turkish Kargo phishing saldırılarında kullanılan zararlılar kesinlikle toollarla çözülemiyor" kısmına pek katılamayacağım çünkü e-postamda da belirttiğim üzere 26 Ağustos'ta ülkemizde gerçekleşen salgında gönderilen Cryptolocker zararlı yazılımı ile şifrelenmiş bir dosyayı çözülebildiklerini teyit ettim. -> https://twitter.com/MhmtYY/status/653955984986128385 Görüşmek dileğiyle, <https://www.mertsarica.com> https://www.mertsarica.com <https://twitter.com/mertsarica> https://twitter.com/mertsarica <https://tr.linkedin.com/in/mertsarica> https://tr.linkedin.com/in/mertsarica CISSP, SSCP, OSCP, OPST, CREA & CEREA 2015-11-06 10:04 GMT+03:00 Selçuk IRMAK <[email protected] <mailto:[email protected]> >: İlk olarak ransomware olarak fidye yazılımlarının temmuz 2014 den temmuz 2015 e kadar 100 yakın değişik varyantı çıktı. Bu işin şuanda piyasası bile oluştu 25 USD fiyde isteyen ransomware de var 500 USD isteyende. Örnek tablo ektedir. 2014 yılındaki fidye yazılımlarındaki açıklardan faydalanılarak şifrelemeler çözülebildi. Fidye yazılımının açığına göre sunucu sistemine göre vs. bu toollar bazen işe yararken baze işe yaramadı fakat şu bir gerçek ki 2015 yılındaki v3 ile tabir edilen fidye yazılımlarında bu açıklar kapatılmış görünüyor. Ticaret her alanda kendini gösterir tabiki adamlarda bu işi paraya döndürmeye çalışmış başarmışta olabilirler ama bazı uyanıklar işte önce numune gönder bakayım diyor sonra tamam çözerim bu işi ne kadar işte 1000 TL 2500 TL arası fiyat istiyor önce numune sormasının nedeni eğer açığı olan toollarla çözülebiliyorsa düşük ücret çözülemiyorsan yüksek fiyat çözülemeyen için nasıl yardımcı olacak fiydeci sistemden alacak ve çözecek arada aracılık parası almış olacak. Ha fidyeciye vermişsiniz ha aracıya aynı şey fiyat yükseltilmesinden başka bir şey değildir. Dr.Web aşağıdaki linkini incelerseniz orada varyantların kurtarma tablosunda ne dediğini çok net anlayabilirsiniz. Son varyantlar için imkansız demişler! https://antifraud.drweb.com/encryption_trojs/?lng=en Şuana kadar Türk kullanıcılarına gelen özellikle Turkcell, Telekom, PTT, Turkish Kargo phishing saldırılarında kullanılan zararlılar kesinlikle toollarla çözülemiyor çözerim hizmet bedeli isteyenlere itibar etmeyin derim. Numune gönder bakayım sonra 2 bitcoinden daha yüksek bedel isteyenlerde yukarıda söylediğim üzere aracılık yapıp kısa günün karı şeklinde mağdur insana sözüm ona yardımcı olup ticaret yapmaktadır! Bu arada CCC uzantılı şifreleme ağ üzerinden yapılmaktadır. Ağa öncelikle trojan olarak bulaşır sonrasında ağ üzerinde password algoritmaları kullanılarak uzaktan şifreleme yapılır. Bir sabah bir bakarsınız bir bilgisayar olmuş tamam çözdüm yedekten döndüm dersiniz 3 gün sonra bakarsınız başka bilgisayar olmuş kullanıcıya sorarsınız hiçbirşey açmamış ve tıklamamıştır çünkü başka bilgisayar üzerinden yapılmıştır! Sisteme sızmayı email yöntemleriyle yapılıyor özellikle zip rar içinde java dosyalarıyla bunu yapıyorlar. Şifreleme için yeni kurbanlar kullanmak için USB sistemlerde kullanılmaya başlandı! LNK uzantı ile bulaşan tehditler bir süre sonra ağda şifreleme olarak karşınıza çıkıyor. From: NetSec [mailto:[email protected] <mailto:[email protected]> ] On Behalf Of Mert SARICA Sent: Friday, November 06, 2015 9:22 AM To: [email protected] <mailto:[email protected]> Subject: [NetSec] Crypt0L0cker hakkında... Selamlar, Dr. Web, 35$'a lisans alınması durumunda Crypt0L0cker ile şifrelenmiş dosyaları çözebildiğini söylüyor ve kullananlar da başarılı olduğunu belirtiyor. Teknik olarak nasıl başardıkları konusunda, çözüp çözemedikleri konusunda bir tecrübem yok ancak yazılanlara göre bunu son 6 aydır yapabiliyorlar gibi görünüyor, detayları aşağıdaki adresten inceleyebilirsiniz. http://www.bleepingcomputer.com/forums/t/574686/torrentlocker-changes-its-name-to-crypt0l0cker-and-bypasses-us-computers/page-5 http://www.bleepingcomputer.com/forums/t/587362/drweb-quietly-decrypting-torrentlocker-for-paid-customers-or-distributors/ Dikkat edilmesi gereken önemli bir nokta ise şifrelenmiş dosyaları çözdüklerini söyleyen ve çözen de (başarıyla çözebildiklerini tecrübe ettim) aşağıdaki gibi bazı kişiler/aracılar var. Bunların da Dr.Web'den satın aldıkları aracı kullanarak team-viewer ile sisteminize bağlanarak destek adı altında sizden fazladan ücret (35$) talep ettikleri belirtiliyor. http://www.decryptolocker.it/default_ing.asp Dr.Web'in şifrelenmiş dosyaları nasıl çözebildiği ise gizemini koruyor. Bu konuda detaylı bilgisi olan var ise paylaşabilirse sevinirim. Görüşmek dileğiyle, <https://www.mertsarica.com> https://www.mertsarica.com <https://twitter.com/mertsarica> https://twitter.com/mertsarica <https://tr.linkedin.com/in/mertsarica> https://tr.linkedin.com/in/mertsarica CISSP, SSCP, OSCP, OPST, CREA & CEREA ------------------- Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul 07-08 Kasım 2015 [email protected] <mailto:[email protected]> | www.bga.com.tr <http://www.bga.com.tr> ------------------- ------------------- Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul 07-08 Kasım 2015 [email protected] <mailto:[email protected]> | www.bga.com.tr <http://www.bga.com.tr> ------------------- -- Gökhan KARAKAŞ gsm +90 506 904 90 59
------------------- Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul 07-08 Kasım 2015 [email protected] | www.bga.com.tr -------------------
