Açığı bulunan fidyeci yazılımlar için söylüyorum numune şifreleme dosyaları zaman alacak şekilde analiz sonucunda keyler tespit edilip db ye ekleniyor.
Tool güncel db ile kullanıldığında sizdeki şifre türü ile tutuyorsa şanslısınız. Burada ürünün 6 ay konumlandırılmış olması olayını pek anlayamadım. Detay alabilirmiyiz? Önceki yanıtlarımda Dr. Web sayfasından link verdim tekrar aşağıda paylaştım incelerseniz analiz uzmanlarının hangi numulere üzerinde kurtarma yapabildiklerini yüzdesel olarak görebilirsiniz. En alttaki kısıma bakarsanız aşağıda ekran görüntüsüde ekledim. Kurtarmanın mümkün olmayan varyantlardan söz ediliyor. Şifrenin çözülebilmesi için öncelikle şifrelemede açık olması ve zaman alacak şekilde bir uzman tarafından numunenin incelenerek keye ulaşılması gerekiyor. Bu açıdan bakılınca virüs analizleri yapan bir yazılım şirketi için keye ulaşıp tool ile çözebilmesini gizemli bulmuyorum. Hatta çözüm ortağı adwords yaptığı sitede tüm malware vakalarında şifreleri çözmenin mümkün olmayacağını belirtmiş. https://antifraud.drweb.com/encryption_trojs/?lng=en Bence burada şöyle bir düşünce ortaya çıkması yanlış Dr.Web şifreleri çözüyor çözüm ortağına veriyor onlarda servis ücreti karşılığında bu işi yapıyor. Bahsedilen encoder toolları çözüm sağlayıcılar tarafından zaten ücretsiz verliyor. Şifrelenen dosyaların anahtarı güncel toolun key listinde mevcutsa şanslısınız 5 kuruş vermeden yırttınız demektir. :) Burada çözüm ortağı ticari olarak bir atak yapmış işi zaten ticarete dökmüş adwords yapmış servis hizmeti satmaya başlamış. From: NetSec [mailto:[email protected]] On Behalf Of Mehmet YAYLA Sent: Friday, November 06, 2015 12:58 PM To: [email protected] Subject: Re: [NetSec] Crypt0L0cker hakkında... Bildiğim kadarıyla Dr Web artık bu bedellere yardımcı olmuyor/olamıyor, veya keye ulaşması için daha önce bilgisayarda dr web ürününün konumlandırılmış olması gerekiyor ( min 6 ay ) _____ From: [email protected] <mailto:[email protected]> Date: Fri, 6 Nov 2015 09:22:25 +0300 To: [email protected] <mailto:[email protected]> Subject: [NetSec] Crypt0L0cker hakkında... Selamlar, Dr. Web, 35$'a lisans alınması durumunda Crypt0L0cker ile şifrelenmiş dosyaları çözebildiğini söylüyor ve kullananlar da başarılı olduğunu belirtiyor. Teknik olarak nasıl başardıkları konusunda, çözüp çözemedikleri konusunda bir tecrübem yok ancak yazılanlara göre bunu son 6 aydır yapabiliyorlar gibi görünüyor, detayları aşağıdaki adresten inceleyebilirsiniz. http://www.bleepingcomputer.com/forums/t/574686/torrentlocker-changes-its-na me-to-crypt0l0cker-and-bypasses-us-computers/page-5 http://www.bleepingcomputer.com/forums/t/587362/drweb-quietly-decrypting-tor rentlocker-for-paid-customers-or-distributors/ Dikkat edilmesi gereken önemli bir nokta ise şifrelenmiş dosyaları çözdüklerini söyleyen ve çözen de (başarıyla çözebildiklerini tecrübe ettim) aşağıdaki gibi bazı kişiler/aracılar var. Bunların da Dr.Web'den satın aldıkları aracı kullanarak team-viewer ile sisteminize bağlanarak destek adı altında sizden fazladan ücret (35$) talep ettikleri belirtiliyor. <http://www.decryptolocker.it/default_ing.asp> http://www.decryptolocker.it/default_ing.asp Dr.Web'in şifrelenmiş dosyaları nasıl çözebildiği ise gizemini koruyor. Bu konuda detaylı bilgisi olan var ise paylaşabilirse sevinirim. Görüşmek dileğiyle, <https://www.mertsarica.com> https://www.mertsarica.com <https://twitter.com/mertsarica> https://twitter.com/mertsarica <https://tr.linkedin.com/in/mertsarica> https://tr.linkedin.com/in/mertsarica CISSP, SSCP, OSCP, OPST, CREA & CEREA ------------------- Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul 07-08 Kasım 2015 [email protected] <mailto:[email protected]> | www.bga.com.tr <http://www.bga.com.tr> -------------------
------------------- Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul 07-08 Kasım 2015 [email protected] | www.bga.com.tr -------------------
