CryptoLocker v2 – Şifreleme Virüsü Çözüm Yöntemleri
CryptoLocker v2 – Şifreleme
Virüsü Çözüm Yöntemleri
CryptoLocker V2, Cryptowall 3.0,
Cryptowall 4.0, Teslacrypt ve daha nicesi..
Bilgisayarlarınızdaki tüm dosyaları çok güçlü biçimde şifreleyen yazılımlar. Eğer bu türden bir sorunla karşılaştıysanız detay ve çözüm önerileri aşağıdadır. Ayrıca bu makale sürekli güncel tutulacaktır. Etkin ve güncel çözümler için lütfen yazıyı “Nasıl Çözülür” kısmına dek okuyunuz.
Bilgisayarlarınızdaki tüm dosyaları çok güçlü biçimde şifreleyen yazılımlar. Eğer bu türden bir sorunla karşılaştıysanız detay ve çözüm önerileri aşağıdadır. Ayrıca bu makale sürekli güncel tutulacaktır. Etkin ve güncel çözümler için lütfen yazıyı “Nasıl Çözülür” kısmına dek okuyunuz.
vvv, ccc, xxx, ttt,
micro, mp3, crypt ve uzantısız olarak şifrelenen
( Tesla Ransomware ) dosyalarınız için ücretsiz çözüm üretilmiş ve
erişilebilir durumdadır.
Lütfen makalenin devamındaki Nasıl Çözülür kısmını inceleyiniz.
Lütfen makalenin devamındaki Nasıl Çözülür kısmını inceleyiniz.
Diğer sürümler ( Encrypted, Locky, Zepto, Axx, Xtbl , Crypted, Crypt, Steganos vs. ) için, herhangi bir çözüm üretilip üretilmediğine
dair sağlıklı bilgiyi aşağıdaki iletişim yöntemlerini kullanarak
alabilirsiniz.
Bilindiği üzere, bu tür zararlıların
şimdilik 70 farklı çeşidi bulunmaktadır. Bu farklı varyantlardan
bazılarına gönüllü araştırmacılar tarafından çözüm üretilmiş ve herkesin
erişimine sunulmuştur. Bazı varyantlar ise, sadece belli yurt dışı kaynaklı
firmalar tarafından çözülmüş ve lisans satın alınması karşılığında çözüm
sağlanmaktadır. Ve bazı varyantların ise henüz herhangi bir çözümü
bulunmamasına rağmen, araştırmalar/testler sürmektedir.
Öncelikle belirtmeliyim ki;
Cryptolocker virüsü bilgsayarınızın isletim sistemine ve calisma prensibine zarar vermez. (yeni tip virüsün bilgisayarı çalışamaz hale getirdiği iddia edilse de, şimdilik böyle bir vaka ile karşılaşılmamıştır.) Virüs (zararlı yazılım ); aslinda sizin de farkli araclarla yapabileceginiz bir sifreleme uygular ve dosyalarınızın uzantısını değiştirerek .encrypted , ccc , vvv , xxx, ttt, micro , mp3, magic, LOL, Locky, Zepto ya da daha farklı uzantılara çevirebilir, ya da dosya ismini tamamen değiştirebilir. çeşitli açık kaynak şifreleme kütüphaneleriyle ve çok güçlü olan bu şifreleme, cesitli yol ve yontemlerle kirilmaya calisilsa dahi, yillar alacak kadar karisik ve uzun bir şifrelemedir.
Şifrelemenin mantığını anlamak için linkteki videoyu izleyebilirsiniz.
Video için : Tıklayınız ( link sadece mantığı ihtiva eder, çözüm içermez)
Cryptolocker virüsü bilgsayarınızın isletim sistemine ve calisma prensibine zarar vermez. (yeni tip virüsün bilgisayarı çalışamaz hale getirdiği iddia edilse de, şimdilik böyle bir vaka ile karşılaşılmamıştır.) Virüs (zararlı yazılım ); aslinda sizin de farkli araclarla yapabileceginiz bir sifreleme uygular ve dosyalarınızın uzantısını değiştirerek .encrypted , ccc , vvv , xxx, ttt, micro , mp3, magic, LOL, Locky, Zepto ya da daha farklı uzantılara çevirebilir, ya da dosya ismini tamamen değiştirebilir. çeşitli açık kaynak şifreleme kütüphaneleriyle ve çok güçlü olan bu şifreleme, cesitli yol ve yontemlerle kirilmaya calisilsa dahi, yillar alacak kadar karisik ve uzun bir şifrelemedir.
Şifrelemenin mantığını anlamak için linkteki videoyu izleyebilirsiniz.
Video için : Tıklayınız ( link sadece mantığı ihtiva eder, çözüm içermez)
Şunu ifade etmeliyim ki;
Bu yazılım bilgisayardan kolaylıkla temizlenebilir, asıl sorun bilgisayardan temizlemek değil, şifreli dosyaları açmaktır. Virüsü temizleseniz, hatta format atsanız dahi dosyalar şifreli olarak kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü temizlemek değil, dosyaları kurtarmak olmalı.
Bu yazılım bilgisayardan kolaylıkla temizlenebilir, asıl sorun bilgisayardan temizlemek değil, şifreli dosyaları açmaktır. Virüsü temizleseniz, hatta format atsanız dahi dosyalar şifreli olarak kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü temizlemek değil, dosyaları kurtarmak olmalı.
Notlar:
+ Kronolojik olarak paylaştığım gelişmelerin bazıları zararlının bir sonraki sürümünde geçersiz kılınmış olabilir.
+ Tavsiye edilen yazılımların virüsün her varyantında etkin ve koruyucu olduğunun garantisi yoktur. Bu yazılımları kullandıktan sonra doğabilecek zararlardan dolayı sorumluluk size aittir.
+ Bu makale sürekli güncel kalacaktır. Makaleyi takip ederek tüm güncellemelerden haberdar olabilirsiniz.
+ Kronolojik olarak paylaştığım gelişmelerin bazıları zararlının bir sonraki sürümünde geçersiz kılınmış olabilir.
+ Tavsiye edilen yazılımların virüsün her varyantında etkin ve koruyucu olduğunun garantisi yoktur. Bu yazılımları kullandıktan sonra doğabilecek zararlardan dolayı sorumluluk size aittir.
+ Bu makale sürekli güncel kalacaktır. Makaleyi takip ederek tüm güncellemelerden haberdar olabilirsiniz.
Nasıl Bulaşır ?
Dünya üzerindeki bilgisayarları tehdit eden çok fazla ransomware çeşidi bulunmaktadır. Bu versiyonların bulaşma yol ve yöntemleri genel olarak şöyledir;
+ Mail ekine ve linkine tıkladığınızda
+ Torrent’lerden ya da farklı bir kaynaktan indirdiğiniz resmi olmayan oyun, film, müzik dosyalarıyla
+ Online film, dizi izleme platformlarında çalıştırdığınız flash/java eklentileriyle
+ Ele geçirilmiş ve resmi olduğunu düşündüğünüz kaynaklardan indirdiğiniz uygulamalar ile
( örnek : ammyy admin )
+ Web tarayıcı eklentileriyle
+ Çeşitli blog ve haber portalları ( istemsiz )
+ Çeşitli ilan siteleri ( istemsiz )
Dünya üzerindeki bilgisayarları tehdit eden çok fazla ransomware çeşidi bulunmaktadır. Bu versiyonların bulaşma yol ve yöntemleri genel olarak şöyledir;
+ Mail ekine ve linkine tıkladığınızda
+ Torrent’lerden ya da farklı bir kaynaktan indirdiğiniz resmi olmayan oyun, film, müzik dosyalarıyla
+ Online film, dizi izleme platformlarında çalıştırdığınız flash/java eklentileriyle
+ Ele geçirilmiş ve resmi olduğunu düşündüğünüz kaynaklardan indirdiğiniz uygulamalar ile
( örnek : ammyy admin )
+ Web tarayıcı eklentileriyle
+ Çeşitli blog ve haber portalları ( istemsiz )
+ Çeşitli ilan siteleri ( istemsiz )
Çalışan zararlı uygulama nasıl temizlenir
?
Zemana Antimalware ile bilgisayarınızı taratarak zararlıdan temizleyebilirsiniz.
Aynı zamanda yerli bir üretici tarafından geliştirilen bu yazılımı isterseniz satınalarak cihazlarınızı daha sonra gelebilecek malware saldırılarına karşı koruyabilirsiniz.
Zemana Antimalware indirmek için : Tıklayınız
İsterseniz Zemana Antimalware uygulamalasına alternatif olabilecek,
Malwarebytes uygulaması ile bilgisayarınızı zararlıdan temizleyebilirsiniz.
Malwarebytes için : Tıklayınız
Daha sonra bilgisayarınızda Combofix çalıştırabilirsiniz :
Combofix için (opsiyonel ) : Tıklayınız
Zemana Antimalware ile bilgisayarınızı taratarak zararlıdan temizleyebilirsiniz.
Aynı zamanda yerli bir üretici tarafından geliştirilen bu yazılımı isterseniz satınalarak cihazlarınızı daha sonra gelebilecek malware saldırılarına karşı koruyabilirsiniz.
Zemana Antimalware indirmek için : Tıklayınız
İsterseniz Zemana Antimalware uygulamalasına alternatif olabilecek,
Malwarebytes uygulaması ile bilgisayarınızı zararlıdan temizleyebilirsiniz.
Malwarebytes için : Tıklayınız
Daha sonra bilgisayarınızda Combofix çalıştırabilirsiniz :
Combofix için (opsiyonel ) : Tıklayınız
Aynı zamanda, aşağıdaki linkini verdiğim
servisi kullanarak, virüsün hangi türevine maruz kaldığınızı ve sizin
tarafınızdan uygulanabilecek bir çözüm olup olmadığına göz atabilirsiniz. Bu
servis şuan 70 farklı varyantı tanımlamaktadır.
Eğer hangi tip zararlı ile muhatap olduğunuzu bilirseniz, çözüm aramanız şüphesiz daha kolay olacaktır.
Şunu ifade etmeliyim ki;
bu makale, internet ortamındaki birçok kaynaktan veya kişisel testlerim ile hazırlandığından, birçok platforma göz atmadan sorularınıza cevap olabilecek niteliktedir.
Eğer hangi tip zararlı ile muhatap olduğunuzu bilirseniz, çözüm aramanız şüphesiz daha kolay olacaktır.
Şunu ifade etmeliyim ki;
bu makale, internet ortamındaki birçok kaynaktan veya kişisel testlerim ile hazırlandığından, birçok platforma göz atmadan sorularınıza cevap olabilecek niteliktedir.
Sürüm tespit uygulamasına “Ransom Note” kısmından virüsün size bıraktığı notu
ve, “Sample Encrypted Data” kısmından 1 örnek dosya
gösterin ve upload butonuna basın, dosyanın yüklenmesine müteakip, varyant
kimliği gösterilecektir.
Uygulama için : Tıklayınız
Uygulama için : Tıklayınız
Aşağıda zararlının sizi farkli zamanlarda
tekrar etkilememesi ya da etkilese dahi bundan en az zararla nasıl
kurtulabilirsiniz sorusuna yönelik cevaplar ve çözüm önerileri paylaşacağım.
Nasıl Çözülür?
Çözüme dair notlar:
+ Aşağıda paylaştığım araçlar yalnızca bahsedilen sürüm için geçerlidir. Yukarıda versiyon tespiti yapacağınız servis linki verilmiştir. Virüsün hangi türevi ile karşı karşıya iseniz buna göre çözüm arayınız.
+ Bahse konu virüs çok çabuk gelişme sağladığından, kronolojik olarak paylaştığım çözüm önerileri sizin de göreceğiniz üzere çok kısa süre içinde geçerliliğini yitirmektedir.
Çözüm kronolojisi :
Çözüme dair notlar:
+ Aşağıda paylaştığım araçlar yalnızca bahsedilen sürüm için geçerlidir. Yukarıda versiyon tespiti yapacağınız servis linki verilmiştir. Virüsün hangi türevi ile karşı karşıya iseniz buna göre çözüm arayınız.
+ Bahse konu virüs çok çabuk gelişme sağladığından, kronolojik olarak paylaştığım çözüm önerileri sizin de göreceğiniz üzere çok kısa süre içinde geçerliliğini yitirmektedir.
Çözüm kronolojisi :
Güncelleme (05.08.2016)
Chimera, CoinVault, Shade için hazırlanmış decrypter tool’lar linktedir.
Decrypter için : Tıklayınız
Güncelleme ( 10.07.2016)
Mail ekiyle *.js olarak gelen Locky ( dosya uzantısı : zepto ) ile ilgili çözüm olup olmadığını öğrenmek için lütfen örnek bir dosyayı mail adresime gönderiniz.
Posta: ben@mehmetyayla.com
Chimera, CoinVault, Shade için hazırlanmış decrypter tool’lar linktedir.
Decrypter için : Tıklayınız
Güncelleme ( 10.07.2016)
Mail ekiyle *.js olarak gelen Locky ( dosya uzantısı : zepto ) ile ilgili çözüm olup olmadığını öğrenmek için lütfen örnek bir dosyayı mail adresime gönderiniz.
Posta: ben@mehmetyayla.com
Güncelleme (30.06.2016)
Antivirüs üreticisi AVG Türkiye’de çok fazla görülmeyen birkaç farklı varyant için decrypter tool üretti. Yukarıda belirttiğim gibi, bu varyantlar Türkiye’de fazla görülmedi ama hem bu sayfanın birçok yabancı kaynaktan da ziyaret edilmesi, hem de denemekte fayda olacağı düşüncesiyle ilgili kaynağı paylaşıyorum. Diğer decrypter araçları için yazıyı okumaya devam edebilirsiniz.
AVG Decrypter için : Tıklayınız
Güncelleme (13.05.2016)
Türkcell faturası görünümünde gelen TorrentLocker v3 daha agresif ve daha aktif.
” Türkcell Fatura Bildirim, Turkcell faturanız sunulmuştur “ gibi konuları içeren ve içeriğinde Turkcell Faturası olduğunu iddia eden mailleri açmadan siliniz ve çevrenizdeki insanları uyarınız. ( uzantı : encrypted )
Antivirüs üreticisi AVG Türkiye’de çok fazla görülmeyen birkaç farklı varyant için decrypter tool üretti. Yukarıda belirttiğim gibi, bu varyantlar Türkiye’de fazla görülmedi ama hem bu sayfanın birçok yabancı kaynaktan da ziyaret edilmesi, hem de denemekte fayda olacağı düşüncesiyle ilgili kaynağı paylaşıyorum. Diğer decrypter araçları için yazıyı okumaya devam edebilirsiniz.
AVG Decrypter için : Tıklayınız
Güncelleme (13.05.2016)
Türkcell faturası görünümünde gelen TorrentLocker v3 daha agresif ve daha aktif.
” Türkcell Fatura Bildirim, Turkcell faturanız sunulmuştur “ gibi konuları içeren ve içeriğinde Turkcell Faturası olduğunu iddia eden mailleri açmadan siliniz ve çevrenizdeki insanları uyarınız. ( uzantı : encrypted )
Çözüm kronolojisi :
Güncelleme (25.05.2016)
TorrentLocker V3 olarak adlandırılan zararlı artık Digiturk faturası olarak gelmekte ve dosyaların uzantısını *.encrypted olarak değiştirmektedir.
Lütfen konu alanında DIGITURK, Digiturk, Dijiturk vs… olan mailleri açmadan siliniz.
Bu varyant için çözüm üretilip üretilmediğine dair bilgiye örnek bir dosyayı mail ile göndererek alabilirsiniz.
Posta: ben@mehmetyayla.com
Güncelleme (25.05.2016)
TorrentLocker V3 olarak adlandırılan zararlı artık Digiturk faturası olarak gelmekte ve dosyaların uzantısını *.encrypted olarak değiştirmektedir.
Lütfen konu alanında DIGITURK, Digiturk, Dijiturk vs… olan mailleri açmadan siliniz.
Bu varyant için çözüm üretilip üretilmediğine dair bilgiye örnek bir dosyayı mail ile göndererek alabilirsiniz.
Posta: ben@mehmetyayla.com
Güncelleme
(19.05.2016)
Daha önce dosyaları vvv, ccc olarak şifreleyen Tesla yazılımı, v3 ile xxx,ttt,micro,mp3 olarak şifreliyordu. V4 ile de uzantı koymadan şifrelemeye başlamıştı. Bugün yaşanan bir gelişme ile Tesla virüsünün tamamına ilişkin çözüm üretildi.
vvv,ccc,xxx, ttt, micro, mp3 veya dosyalarınız uzantısız olarak şifrelenmişse çözüm için aşağıdaki decrypter’ı indirin ve Tesladecoder’ı çalıştırın. Set key butonuna basarak ilgili dosya uzantısını seçiniz, ( sizin sürüm hangisi ise ) daha sonra decrypt all butonuna tıklayarak çözümü gerçeşleştirebilirsiniz.
Decrypter’ı indirmek için : Tıklayınız
Daha önce dosyaları vvv, ccc olarak şifreleyen Tesla yazılımı, v3 ile xxx,ttt,micro,mp3 olarak şifreliyordu. V4 ile de uzantı koymadan şifrelemeye başlamıştı. Bugün yaşanan bir gelişme ile Tesla virüsünün tamamına ilişkin çözüm üretildi.
vvv,ccc,xxx, ttt, micro, mp3 veya dosyalarınız uzantısız olarak şifrelenmişse çözüm için aşağıdaki decrypter’ı indirin ve Tesladecoder’ı çalıştırın. Set key butonuna basarak ilgili dosya uzantısını seçiniz, ( sizin sürüm hangisi ise ) daha sonra decrypt all butonuna tıklayarak çözümü gerçeşleştirebilirsiniz.
Decrypter’ı indirmek için : Tıklayınız
Güncelleme
(18.05.2016)
Mail ile excel,pdf, js olarak gelen ve random karakterler atayarak dosyaların uzantısını.locky olarak değiştiren Locky Ransomware için yurtdışı kaynaklı bir firma çözüm üretti. Çalışmanın karşılığında belli bir ücret istemekteler .
Güncelleme (27.04.2016)
Antivirüs üreticisi Kaspersky .crypt uzantılı dosyalar için bir çözüm aracı ( rannoh decryptor ) yayınladı. İlgili aracı indirmek ve denemek için : Tıklayınız
Güncelleme ( 19.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık “PTT Posta Hizmetleri Kargo Bildirimi” olarak gelmektedir. İlgili varyantta, kargonun teslim alınmadığı durumda 25 TL günlük tazminat uygulanacağı bilgisi verilerek, maili alan kişiyi kandırmaya yönelik bir strateji hedeflenmiş. Zararlı çalıştıktan sonra dosyaların uzantısı .encrypted olarak değişmektedir.
( Yukarıda bahsettiğim güvenlik firması; lisans satınalması karşılığında çözüm üretmekte ve ayrıca koruyucu yazılım sağlamaktadır. )
Güncelleme ( 12.04.2016)
Fidye ödenmediği durumda her yeniden başlatmada 1000 dosya silmekle tehdit edenJigsaw Ransomware çözümü için : Tıklayınız
Mail ile excel,pdf, js olarak gelen ve random karakterler atayarak dosyaların uzantısını.locky olarak değiştiren Locky Ransomware için yurtdışı kaynaklı bir firma çözüm üretti. Çalışmanın karşılığında belli bir ücret istemekteler .
Güncelleme (27.04.2016)
Antivirüs üreticisi Kaspersky .crypt uzantılı dosyalar için bir çözüm aracı ( rannoh decryptor ) yayınladı. İlgili aracı indirmek ve denemek için : Tıklayınız
Güncelleme ( 19.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık “PTT Posta Hizmetleri Kargo Bildirimi” olarak gelmektedir. İlgili varyantta, kargonun teslim alınmadığı durumda 25 TL günlük tazminat uygulanacağı bilgisi verilerek, maili alan kişiyi kandırmaya yönelik bir strateji hedeflenmiş. Zararlı çalıştıktan sonra dosyaların uzantısı .encrypted olarak değişmektedir.
( Yukarıda bahsettiğim güvenlik firması; lisans satınalması karşılığında çözüm üretmekte ve ayrıca koruyucu yazılım sağlamaktadır. )
Güncelleme ( 12.04.2016)
Fidye ödenmediği durumda her yeniden başlatmada 1000 dosya silmekle tehdit edenJigsaw Ransomware çözümü için : Tıklayınız
Güncelleme (
04.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık TTNET Faturası olarak gelmektedir.
(Yurtdışı kaynaklı bir firma tarafından lisans satınalması karşılığında çözüm üretilmektedir.)
Torrentlocker ( encrypted dosya uzantısı ) artık TTNET Faturası olarak gelmektedir.
(Yurtdışı kaynaklı bir firma tarafından lisans satınalması karşılığında çözüm üretilmektedir.)
Güncelleme (
25.03.2016) – Türkiye’de henüz bu varyant
görülmemiştir –
Petya Ransomware sisteminize bulaştığında harddiskinizi tamamen erişilmez hale getiriyor. Sistem enfekte olduğunda öncelikle bilgisayarınızın onarılması için kapatılması gerektiğine dair bir uyarı alıyorsunuz, sistemi yeniden başlattığınızda ise, sistem tamamen kullanılamaz hale gelmekte. Eğer sistemi reboot etmemişseniz, aşağıda Petya için geliştirilmiş bir çözüm bulunmakta : Tıklayınız
Güncelleme ( 23.03.2016)
Crypted uzantılı Nemucod varyantı için üretilen decypter tool’unu kullanabilirsiniz :Tıklayınız
Güncelleme ( 16.03.2016)
TeslaCrypt 4 yayınlandı. Bu varyant dosya uzantılarını değiştirmiyor. Ve halihazırda bu varyant için bilinen veya üretilen bir çözüm bulunmamaktadır.
Aşağıda dizin ve kayıf defteri değişiklikleri verilmiştir:
Petya Ransomware sisteminize bulaştığında harddiskinizi tamamen erişilmez hale getiriyor. Sistem enfekte olduğunda öncelikle bilgisayarınızın onarılması için kapatılması gerektiğine dair bir uyarı alıyorsunuz, sistemi yeniden başlattığınızda ise, sistem tamamen kullanılamaz hale gelmekte. Eğer sistemi reboot etmemişseniz, aşağıda Petya için geliştirilmiş bir çözüm bulunmakta : Tıklayınız
Güncelleme ( 23.03.2016)
Crypted uzantılı Nemucod varyantı için üretilen decypter tool’unu kullanabilirsiniz :Tıklayınız
Güncelleme ( 16.03.2016)
TeslaCrypt 4 yayınlandı. Bu varyant dosya uzantılarını değiştirmiyor. Ve halihazırda bu varyant için bilinen veya üretilen bir çözüm bulunmamaktadır.
Aşağıda dizin ve kayıf defteri değişiklikleri verilmiştir:
%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_[random]
C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe
HKCU\Software\ HKCU\Software\\data
Güncelleme (
12.03.2016):
Yine farklı türden bir şifreleme vakası; dosya uzantılarınızın ” xtbl ” olarak değişmesini sağlıyor.
Yine farklı türden bir şifreleme vakası; dosya uzantılarınızın ” xtbl ” olarak değişmesini sağlıyor.
Güncelleme (
02.03.2016):
Torrentlocker yine türkcell maili olarak gelmeye devam ediyor. ( encrypted uzantısı ) Bir önceki varyantta olduğu gibi virüs mail hesabınızı kullanarak kendisini başka cihazlara da mail ile göndermeye çalışıyor. Dosyalarınızın tamamını yedekledikten sonra, bilgisayarınızı formatlayıp, cihazınızda bir mail hesabı varsa bu hesabın şifresini değiştirmeniz önemle duyurulur. ( yurtdışı kaynaklı bir firma lisans maliyeti talep ederek çözüm üretmektedir )
Ayrıca bu varyant için detaylı malware analizini incelemek ve örnek binary dosyasını indirmek için : Tıklayınız
Torrentlocker yine türkcell maili olarak gelmeye devam ediyor. ( encrypted uzantısı ) Bir önceki varyantta olduğu gibi virüs mail hesabınızı kullanarak kendisini başka cihazlara da mail ile göndermeye çalışıyor. Dosyalarınızın tamamını yedekledikten sonra, bilgisayarınızı formatlayıp, cihazınızda bir mail hesabı varsa bu hesabın şifresini değiştirmeniz önemle duyurulur. ( yurtdışı kaynaklı bir firma lisans maliyeti talep ederek çözüm üretmektedir )
Ayrıca bu varyant için detaylı malware analizini incelemek ve örnek binary dosyasını indirmek için : Tıklayınız
Güncelleme (
16.02.2016):
Mail ile gelen ve ekinde doc, xls uzantılı bir fatura olduğu düşünülen bu varyant dosya uzantınızı Locky olarak değiştirmektedir. Tanımadığınız kişilerden gelen ve alakasız içerik barındıran mailleri doc,xls,pdf uzantısına sahip olsa da açmayınız.
Güncelleme ( 14.02.2016)
UmbreCrypt and HydraCrypt için EmsiSoft tarafından bir decrypter yayınlandı.
Bu iki varyantın Decrypter aracı için: Tıklayınız
Mail ile gelen ve ekinde doc, xls uzantılı bir fatura olduğu düşünülen bu varyant dosya uzantınızı Locky olarak değiştirmektedir. Tanımadığınız kişilerden gelen ve alakasız içerik barındıran mailleri doc,xls,pdf uzantısına sahip olsa da açmayınız.
Güncelleme ( 14.02.2016)
UmbreCrypt and HydraCrypt için EmsiSoft tarafından bir decrypter yayınlandı.
Bu iki varyantın Decrypter aracı için: Tıklayınız
Güncelleme
(10.02.2016)
TeslaCrypt artık dosya uzantılarını mp3 olarak değiştiriyor.
Güncelleme (19.01.2016)
Cryptolocker/TorrentLocker 19.01.2016 tarihi itibarı ile Türkcell maili olarak gelmekte ve dosya uzantısını encrypted olarak değiştirmektedir. ( yurtdışı kaynaklı bir firma lisans maliyeti talep ederek çözüm üretmektedir )
TeslaCrypt artık dosya uzantılarını mp3 olarak değiştiriyor.
Güncelleme (19.01.2016)
Cryptolocker/TorrentLocker 19.01.2016 tarihi itibarı ile Türkcell maili olarak gelmekte ve dosya uzantısını encrypted olarak değiştirmektedir. ( yurtdışı kaynaklı bir firma lisans maliyeti talep ederek çözüm üretmektedir )
Güncelleme (15.01.2016)
15.01.2016 tarihi itibarıyla virüs form değiştirmiş ve artık şifrelediği dosyaların uzantısı micro
olarak değişmektedir.
15.01.2016 tarihi itibarıyla virüs form değiştirmiş ve artık şifrelediği dosyaların uzantısı micro
olarak değişmektedir.
Güncelleme (13.01.2016)
xxx çok global olduğu için TeslaCrypt 3.0.1’de dosya uzantısı .ttt olarak değişmektedir.
Güncelleme ( 12.01.2016 )
Maalesef TeslaCrypt virüsü güncellendi ve artık dosyaları .xxx dosya uzantısı ile şifreliyor. Teslacrypt bu sürümde şifreleme tekniğinde bir değişikliğe gitti. Daha önce paylaştığımız TeslaCrack / TeslaDecoder maalesef bu sürümde işe yaramayacaktır.
Güncelleme ( 28.12.2015)
Çözümpark Bilişim Portalı’nda yayınlanan ve benimde katkı sağladığım sadece .vvv, ccc , abc, xyz, ecc uzantılı varyantı kapsayan çözüme dair link için ( TeslaDecoder ): Tıklayınız
TeslaCrack ( Googulator ) uygulaması için : Tıklayınız
( Yukarıda çözümpark linkini verdiğim uygulamanın orjinal çözüm ve kaynağı )
xxx çok global olduğu için TeslaCrypt 3.0.1’de dosya uzantısı .ttt olarak değişmektedir.
Güncelleme ( 12.01.2016 )
Maalesef TeslaCrypt virüsü güncellendi ve artık dosyaları .xxx dosya uzantısı ile şifreliyor. Teslacrypt bu sürümde şifreleme tekniğinde bir değişikliğe gitti. Daha önce paylaştığımız TeslaCrack / TeslaDecoder maalesef bu sürümde işe yaramayacaktır.
Güncelleme ( 28.12.2015)
Çözümpark Bilişim Portalı’nda yayınlanan ve benimde katkı sağladığım sadece .vvv, ccc , abc, xyz, ecc uzantılı varyantı kapsayan çözüme dair link için ( TeslaDecoder ): Tıklayınız
TeslaCrack ( Googulator ) uygulaması için : Tıklayınız
( Yukarıda çözümpark linkini verdiğim uygulamanın orjinal çözüm ve kaynağı )
Güncelleme (
03.05.2015)
helpme@aol.com türevleri için üretilen decrypter tooluna şu adresten ulaşabilirsiniz :Tıklayınız
helpme@aol.com türevleri için üretilen decrypter tooluna şu adresten ulaşabilirsiniz :Tıklayınız
Güncelleme (
27.05.2015)
Cisco tarafından üretilen Talos Decrypter’ı tesla varyantı için deneyebilirsiniz :Tıklayınız
Cisco tarafından üretilen Talos Decrypter’ı tesla varyantı için deneyebilirsiniz :Tıklayınız
Guncelleme (11 Şubat 2015) :
Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz. İlgili link İçin: Tıklayınız
Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz. İlgili link İçin: Tıklayınız
Güncelleme (
11.02.2015 )
Kasperky tarafından üretilen brute force yöntemini kullanan decrypter’ı deneyebilirsiniz : Tıklayınız
Kasperky tarafından üretilen brute force yöntemini kullanan decrypter’ı deneyebilirsiniz : Tıklayınız
+ Eğer işletim sistemi kurulumunda
otomatik gelen gölge kopya (shadow copy ) özelliği açıksa dosyalarınızı geri
getirebilirsiniz. Fakat yeni varyant virüs bu kopyaları da silebilmektedir.
Shadow Explorer Uygulaması için : Tıklayınız
Shadow Explorer açıldığında solda diskleriniz ve disklere tıklandığında gölge kopyalarınızı görebilirsiniz.
Eğer gölge kopyalarınıza shadow explorer ile ulaşamıyorsanız;
command prompt’u admin yetkisi ile açınız;
vssadmin list shadows
komutu ile gölge yedekleri teyit ediniz.
daha sonra bu gölge yedeği diskinizde herhangi bir alana linklemek için;
“mklink /d c:\shadowCopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\”
komutunu kullanabilirsiniz
Not:
c:\shadowcopy : linkleneceği alan
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\ : list shadow komutuyla aldığınız ekrandaki “Shadow Copy Volume” alanı
Shadow Explorer Uygulaması için : Tıklayınız
Shadow Explorer açıldığında solda diskleriniz ve disklere tıklandığında gölge kopyalarınızı görebilirsiniz.
Eğer gölge kopyalarınıza shadow explorer ile ulaşamıyorsanız;
command prompt’u admin yetkisi ile açınız;
vssadmin list shadows
komutu ile gölge yedekleri teyit ediniz.
daha sonra bu gölge yedeği diskinizde herhangi bir alana linklemek için;
“mklink /d c:\shadowCopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\”
komutunu kullanabilirsiniz
Not:
c:\shadowcopy : linkleneceği alan
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\ : list shadow komutuyla aldığınız ekrandaki “Shadow Copy Volume” alanı
Nasıl Korunulur ?
+ Çözümpark Bilişim Portalı’nda korunmayla ilgili paylaştığım iki yazıya gözatabilirsiniz.
Lakin unutulmamalı ki, bu tip saldırılardan korunmanın %100 yolu sağlıklı yedek almaktan geçer.
+ Grup ilkesi ile korunma : Tıklayınız
+ Malwarebytes Antiransomware : Tıklayınız
+ Crypto Monitor
Crypto Monitor Uygulaması free olarak dağıtılmaktadır : Tıklayınız
Bu yazılım şifreleme işlemi başladığında ilgili işlemi durdurabilmektedir. Yalnız siz de 3. bir uygulama ile dosyalarınızı şifrelemek isterseniz uygulamayı pasifleştirmelisiniz.
+ Cryptolocker Prevention Kiti;
GPO ( Group Policy ) şablonlarını bilgisayarınıza indirip kullanmanızı sağlar.
( Kurulum uzmanlık gerektirebilir, kurulum açıklaması indireceğiniz klasörün içindedir ) : CryptoLocker Prevention Kiti için : Tıklayınız
+ Cryptolocker Prevention:
CryptoLocker Prevention uygulaması sizi büyük oranda koruyacaktır. Linkteki uygumalayı indirip aşağıdaki ayarları yapınız ( uygulama artık lisanslı – 27.03.2015 10 lisans 100 usd ) :
Uygulamayı indirmek için : Tıklayınız
+ Çözümpark Bilişim Portalı’nda korunmayla ilgili paylaştığım iki yazıya gözatabilirsiniz.
Lakin unutulmamalı ki, bu tip saldırılardan korunmanın %100 yolu sağlıklı yedek almaktan geçer.
+ Grup ilkesi ile korunma : Tıklayınız
+ Malwarebytes Antiransomware : Tıklayınız
+ Crypto Monitor
Crypto Monitor Uygulaması free olarak dağıtılmaktadır : Tıklayınız
Bu yazılım şifreleme işlemi başladığında ilgili işlemi durdurabilmektedir. Yalnız siz de 3. bir uygulama ile dosyalarınızı şifrelemek isterseniz uygulamayı pasifleştirmelisiniz.
+ Cryptolocker Prevention Kiti;
GPO ( Group Policy ) şablonlarını bilgisayarınıza indirip kullanmanızı sağlar.
( Kurulum uzmanlık gerektirebilir, kurulum açıklaması indireceğiniz klasörün içindedir ) : CryptoLocker Prevention Kiti için : Tıklayınız
+ Cryptolocker Prevention:
CryptoLocker Prevention uygulaması sizi büyük oranda koruyacaktır. Linkteki uygumalayı indirip aşağıdaki ayarları yapınız ( uygulama artık lisanslı – 27.03.2015 10 lisans 100 usd ) :
Uygulamayı indirmek için : Tıklayınız
Hitman Pro :
HitmanPro uygulamasına 1 Kullanıcı için 24.95 usd karşılığı sahip olabilirsiniz
Hitman Pro uygulamasını indirmek için : Tıklayınız
+Ransomware Detection yazılımı :
Bu yazılım basitçe şu işi yapıyor;
eğer dosyalarınızı değiştiren bir kripto yazılımı tespit edilirse size mail ile haber veriyor. Maili alır almaz ilgili cihazı kapatırsanız belki hasarı küçük sıyrıklarla atlatırsınız. İlgili yazılım için: Tıklayınız
+ Ayrıca local policy uygulayarak bilgisayarınızın %appdata% ve %temp%klasörlerinden uygulama çalıştırmasını engellemeniz çok faydanıza olacaktır. Software Restriction Policy dediğimiz kurallar ile büyük oranda koruma sağlarsınız
Nasıl yapılır dökümanı şurada : Tıklayınız
Ve Şurada: Tıklayınız
+ Ayrıca tüm klasörleriniz için shadow copy özelliğini aktif edip, shadow copy yönetim aracı vsssadmin.exe’nin ismini değiştirmeniz de büyük fayda sağlar.
Neden vssadmin’in adını değiştirmeliyiz ve nasıl yapılır dökümanına şuradan ulaşabilirsiniz :
Why Everyone Should disable VSSAdmin.exe Now, makalesi için şuraya : Tıklayınız
+ Mail sunucularınız için, mutlaka tehdit algılayıcı sistemlerin kurulması gerekir. Gelen mailler genelde temiz ip ve domainlerden geldiği için tehdit algılayıcı önlemler ip ve domain yasaklamaktan çok daha etkili yöntemler olacaktır. Bilgi için :Tıklayınız
+ Mail veya güvenlik duvarı yöneten kişiler; linkini verdiğim adresi sürekli yasaklayabilir : Tıklayınız
+ Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır.(Kaynak : difose)
HitmanPro uygulamasına 1 Kullanıcı için 24.95 usd karşılığı sahip olabilirsiniz
Hitman Pro uygulamasını indirmek için : Tıklayınız
+Ransomware Detection yazılımı :
Bu yazılım basitçe şu işi yapıyor;
eğer dosyalarınızı değiştiren bir kripto yazılımı tespit edilirse size mail ile haber veriyor. Maili alır almaz ilgili cihazı kapatırsanız belki hasarı küçük sıyrıklarla atlatırsınız. İlgili yazılım için: Tıklayınız
+ Ayrıca local policy uygulayarak bilgisayarınızın %appdata% ve %temp%klasörlerinden uygulama çalıştırmasını engellemeniz çok faydanıza olacaktır. Software Restriction Policy dediğimiz kurallar ile büyük oranda koruma sağlarsınız
Nasıl yapılır dökümanı şurada : Tıklayınız
Ve Şurada: Tıklayınız
+ Ayrıca tüm klasörleriniz için shadow copy özelliğini aktif edip, shadow copy yönetim aracı vsssadmin.exe’nin ismini değiştirmeniz de büyük fayda sağlar.
Neden vssadmin’in adını değiştirmeliyiz ve nasıl yapılır dökümanına şuradan ulaşabilirsiniz :
Why Everyone Should disable VSSAdmin.exe Now, makalesi için şuraya : Tıklayınız
+ Mail sunucularınız için, mutlaka tehdit algılayıcı sistemlerin kurulması gerekir. Gelen mailler genelde temiz ip ve domainlerden geldiği için tehdit algılayıcı önlemler ip ve domain yasaklamaktan çok daha etkili yöntemler olacaktır. Bilgi için :Tıklayınız
+ Mail veya güvenlik duvarı yöneten kişiler; linkini verdiğim adresi sürekli yasaklayabilir : Tıklayınız
+ Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır.(Kaynak : difose)
+
Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir
yerde bir yedeğini daha tutun.
+ Mail
hizmeti aldığınız yerleri bu virüs ve alınması gereken önlemler hakkında
uyarın.
+ Bilgisayarlarınızda
dosya uzantılarını gösterin ve sonu .exe , .bat gibi uzantılarla biten fatura
veya döküman gibi görünen hiçbir dosyayı açmayın.
Dosya uzantılarını nasıl gösterebilirsiniz
(win7) ? : Tıklayınız
Xp’de bir klasörde iken klasör seçenekleri ve “Bilinen dosya türleri için uzantıları gizle” kutucuğunun çentiğini kaldırın.
Xp’de bir klasörde iken klasör seçenekleri ve “Bilinen dosya türleri için uzantıları gizle” kutucuğunun çentiğini kaldırın.
+ Lütfen
bilgisayarınıza format attırmayın ve ayrıca her ihtimale karşı lütfen
SIFRE_COZME_TALIMATI , HELP_RESTORE_FILES, HELP_DECRYPT dosyalarınızı da
silmeyin. (Ta ki, dosyalarınızın üstüne bir bardak su içene dek)
Mail Sunucuları için :
+ Yazacağınız kural ile mail içeriğinde ve mail gönderen adresinde “ttnet” “turktelekom” gibi adresleri sizin onayınızdan geçerek kullanıcılara yönlendiriniz.
+ Yazacağınız kural ile mail içeriğinde ve mail gönderen adresinde “ttnet” “turktelekom” gibi adresleri sizin onayınızdan geçerek kullanıcılara yönlendiriniz.
+ Aşağıdaki
adresleri spam filtre yazılımlarımlarıyla bloke ediniz. (Yeni saldırı için)
Alan adları her geçen gün değiştiği için
şu adresi takip ederek gereken güncellemeyi,
siz de sunucularınızda yapabilirsiniz : Tıklayınız
siz de sunucularınızda yapabilirsiniz : Tıklayınız
Virüsün Kronolojisi :
Güncelleme ( 24.03.2015 ) :
Virüs yeni varyantında kriptolama işlemine başlamadan önce shadow copy yedeklerini silmeye veya bozmaya çalışmaktadır.Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu da yasaklayabilirsiniz.
Güncelleme ( 24.03.2015 ) :
Virüs yeni varyantında kriptolama işlemine başlamadan önce shadow copy yedeklerini silmeye veya bozmaya çalışmaktadır.Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu da yasaklayabilirsiniz.
Güncelleme (23.03.2015) :
Virüsün yeni varyantı; muhtemelen, ki kuvvetli bir ihtimaldir YSK’dan (Yüksek Seçim Kurulu ) geliyormuş gibi gelecek.
Türkiye’de seçim dönemi yaklaşmakta ve herşeyi online halletmeye alışmış olan bizler, seçmen bilgilerimize ulaşmak için her linke tıklayabilir durumdayız.
Seçmen bilgi kartınızı görüntülemek, oy kullanacağınız yere bakmak, oy kullanacağınız yeri değiştirmek için lütfen muhtarlarınıza müracaat ediniz ya da, YSK’nın online işlemler sayfasından bakınız. Bu amaçla size gönderilmiş olan hiçbir iletiyi açmayınız.
Virüsün yeni varyantı; muhtemelen, ki kuvvetli bir ihtimaldir YSK’dan (Yüksek Seçim Kurulu ) geliyormuş gibi gelecek.
Türkiye’de seçim dönemi yaklaşmakta ve herşeyi online halletmeye alışmış olan bizler, seçmen bilgilerimize ulaşmak için her linke tıklayabilir durumdayız.
Seçmen bilgi kartınızı görüntülemek, oy kullanacağınız yere bakmak, oy kullanacağınız yeri değiştirmek için lütfen muhtarlarınıza müracaat ediniz ya da, YSK’nın online işlemler sayfasından bakınız. Bu amaçla size gönderilmiş olan hiçbir iletiyi açmayınız.
Güncelleme 14.03.2015 :
Virüsün son varyantlarında işe yaramıyor olsa da, TTNET, Telekom faturalarından etkilenmiş kişiler bana ulaşabilir. Eski varyantlar için yeni bir kaç çözüm üretildi.
Virüsün son varyantlarında işe yaramıyor olsa da, TTNET, Telekom faturalarından etkilenmiş kişiler bana ulaşabilir. Eski varyantlar için yeni bir kaç çözüm üretildi.
Guncelleme 12.03.2015
Ttnet, türk telekom, turkcell derken sira Ptt kurumundan geliyor gibi gosterilen maillerde.
Bunun bir sonrasi hangi kurum olur bilinmez, lutfen onleminizi simdiden aliniz.
Ttnet, türk telekom, turkcell derken sira Ptt kurumundan geliyor gibi gosterilen maillerde.
Bunun bir sonrasi hangi kurum olur bilinmez, lutfen onleminizi simdiden aliniz.
Güncelleme ( cryptowall virüsü )
Cryptolocker yaninda cryptowall virusunun de yaygin olarak bulastigi gorulmustur.
Bu virusun calisma prensibi yukarida anlatilanlardan farkli degildir.
Bu sebeple, panik yapmamaniz günün sonunda dosyalariniza eksiksiz ulasabileceginizin rahatligi icinde olmanizi tavsiye ederim.
Cryptolocker yaninda cryptowall virusunun de yaygin olarak bulastigi gorulmustur.
Bu virusun calisma prensibi yukarida anlatilanlardan farkli degildir.
Bu sebeple, panik yapmamaniz günün sonunda dosyalariniza eksiksiz ulasabileceginizin rahatligi icinde olmanizi tavsiye ederim.
Güncelleme 09.03.2015:
Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır.
Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır.
Güncelleme 25.03.2015:
Üzülerek söylemeliyim ki;
Virüsün farklı kopyaları çok farklı insanların eline geçmiş durumda. Çocuk denebilecek yaşta kişiler bunları deneme amaçlı da olsa göndermekte bir sakınca görmemekteler.
Lütfen bu ve buna benzer saldırılar hakkında çevremizdekileri de uyaralım.
Üzülerek söylemeliyim ki;
Virüsün farklı kopyaları çok farklı insanların eline geçmiş durumda. Çocuk denebilecek yaşta kişiler bunları deneme amaçlı da olsa göndermekte bir sakınca görmemekteler.
Lütfen bu ve buna benzer saldırılar hakkında çevremizdekileri de uyaralım.
Guncelleme ( 30.03.2015)
Virus artik her gun maillestiginiz ve zombi olmus bir kontaginizdan gelebilir.
Lutfen yukarida belirtildigi gibi, dosya uzantilarini gosteriniz ve exe,bat,msi,vbs gibi uzantilari bulunan mail eklerini kimden gelirse gelsin acmayiniz.
Virus artik her gun maillestiginiz ve zombi olmus bir kontaginizdan gelebilir.
Lutfen yukarida belirtildigi gibi, dosya uzantilarini gosteriniz ve exe,bat,msi,vbs gibi uzantilari bulunan mail eklerini kimden gelirse gelsin acmayiniz.
Güncelleme ( 03.04.2015 )
Virüs artık ip yapısını değiştirdi, 46.254.20.32 bloğunu yasaklayın.
Virüs artık ip yapısını değiştirdi, 46.254.20.32 bloğunu yasaklayın.
Güncelleme ( 25.06.2015 )
Bu sabah itibarıyla sahte fatura virüsü tekrar aktifleştirilmiştir. Türkcell e-fatura şeklinde gelen virüse karşı gereken tedbirleri vakit geçirmeden alınız.
Son varyant Cryptolocker virüsüne karşı detaylı bir analiz :
>Saldırı phishing yapılan marka ile alakasız yeni alınan ter temiz IP
adreslerden yapılıyor. Örnek. xxx@companytutorial.com ,
xxx@mycapitalinbox.net
Phishing epostanın URL nin gövdesinde bulunan linkler saldırganlar
tarafından hacklenmiş konudan bihaber domain adreslerden oluşuyor. Örnek.
xxxx://atamaze.com
Hacklenen web sunucuda saldırganların yönlendirme sistemleri çalışıyor gelen
link talebi belirli aralıklarla değiştirilen phishingi yapılan markanın
adının geçtiği yeni açılan domain adreslere yönlendiriliyor. En son örnek.
xxxx://e-turkcell.net/ohcq59wn.php?id=bmF6QGdva2NlLmF2LnRy
Bu sabah itibarıyla sahte fatura virüsü tekrar aktifleştirilmiştir. Türkcell e-fatura şeklinde gelen virüse karşı gereken tedbirleri vakit geçirmeden alınız.
Son varyant Cryptolocker virüsüne karşı detaylı bir analiz :
>Saldırı phishing yapılan marka ile alakasız yeni alınan ter temiz IP
adreslerden yapılıyor. Örnek. xxx@companytutorial.com ,
xxx@mycapitalinbox.net
Phishing epostanın URL nin gövdesinde bulunan linkler saldırganlar
tarafından hacklenmiş konudan bihaber domain adreslerden oluşuyor. Örnek.
xxxx://atamaze.com
Hacklenen web sunucuda saldırganların yönlendirme sistemleri çalışıyor gelen
link talebi belirli aralıklarla değiştirilen phishingi yapılan markanın
adının geçtiği yeni açılan domain adreslere yönlendiriliyor. En son örnek.
xxxx://e-turkcell.net/ohcq59wn.php?id=bmF6QGdva2NlLmF2LnRy
25 Haz 2015 gece 02:00 civarında başlayan
saldırıdan bu yana tespit edilen sahte
URL adresleri;
URL adresleri;
xxxx://turkcell1.com/f7a9qs7o.php?id=bmF6QGdva2NlLmF2LnRy
xxxx://iturkcell.net/u9j7rphw.php?id=Z29ya2VtLmdva2NlQGdva2NlLmF2LnRy
xxxx://turkcell24.net/klqxm94b.php?id=a3VicmEuY2VsaWtAaGl0aXRndW1ydWsuY29t
xxxx://turkcell-efatura.com/dbnugka.php?id=Ym9yYUBnb2tjZS5hdi50cg==
xxxx://iturkcell.net/u9j7rphw.php?id=Z29ya2VtLmdva2NlQGdva2NlLmF2LnRy
xxxx://turkcell24.net/klqxm94b.php?id=a3VicmEuY2VsaWtAaGl0aXRndW1ydWsuY29t
xxxx://turkcell-efatura.com/dbnugka.php?id=Ym9yYUBnb2tjZS5hdi50cg==
Bu adresler her yeni phising email
saldırısından sonra bu şekilde değişicek
gibi görünüyor.
Şuana Kadar Fake URL adresleri barındırdığı sunucuların IP bloğu:
146.185.249.0/24
Zararlı dosya Yandex Disk de barındırılıyor zararlı dosyanın varyantıbelirli aralıklarla değiştiriliyor.( Avira )
gibi görünüyor.
Şuana Kadar Fake URL adresleri barındırdığı sunucuların IP bloğu:
146.185.249.0/24
Zararlı dosya Yandex Disk de barındırılıyor zararlı dosyanın varyantıbelirli aralıklarla değiştiriliyor.( Avira )
Güncelleme ( 01.07.2015 )
Yeni domainler şöyledir :
companytutorial.com
mycapitalinbox.net
e-turkcell.net
turkcell1.com
iturkcell.net
turkcell-efatura.com
turkcell24.net
Yeni domainler şöyledir :
companytutorial.com
mycapitalinbox.net
e-turkcell.net
turkcell1.com
iturkcell.net
turkcell-efatura.com
turkcell24.net
Güncelleme ( 28.08.2015 )
Yeni mail Turkish Cargo içeriği ile gelmektedir. Adres Değişikliği formu gibi bir mail alırsanız lütfen açmayınız.
Yeni mail Turkish Cargo içeriği ile gelmektedir. Adres Değişikliği formu gibi bir mail alırsanız lütfen açmayınız.
Güncelleme ( 02.12.2015 ):
Virüs artık sadece mail ile değil, internetten indireceğiniz herhangi bir dökümandan, online film/dizi izleme platformlarından, torrentlerden indireceğiniz herhangi bir uygulama/oyunlardan, bir web adresinden bulaşabilmektedir. Lütfen dikkatli olunuz.
Virüs artık sadece mail ile değil, internetten indireceğiniz herhangi bir dökümandan, online film/dizi izleme platformlarından, torrentlerden indireceğiniz herhangi bir uygulama/oyunlardan, bir web adresinden bulaşabilmektedir. Lütfen dikkatli olunuz.
Amaç nedir ?
+ Öncelikle üreticilerin amacı para kazanmaktır.
+ İkinci olarak virüsün ilk üreticisinin amacı aynı zamanda botnet, yani her zaman kullanabileceği köle bilgisayarlar oluşturmaktı. ( Zeus BOTNET : Tıklayınız )
+ Güç , kişisel tatmin, test vb…
+ Öncelikle üreticilerin amacı para kazanmaktır.
+ İkinci olarak virüsün ilk üreticisinin amacı aynı zamanda botnet, yani her zaman kullanabileceği köle bilgisayarlar oluşturmaktı. ( Zeus BOTNET : Tıklayınız )
+ Güç , kişisel tatmin, test vb…
Fidye Ödemeli miyiz?
+ Öncelikle fidyeyi ödemek saldırganlara daha çok motivasyon kazandıracağı için etik ve ahlaki olmayacaktır.
+ Saldırganların hedefi öncelikli olarak para kazanmak olduğu için sizden alabildiği kadar çok para almayı amaçlar
+ Yabancı ve yerli forumlarda ödeyenlerin bir kısmının verilerini geri alabildiği gibi, büyük bir kısmının da alamadığı yazılmaktadır. Benim de kişisel olarak ödeyip alan ve fazla sayıda alamayan insanlara şahitlik etmişliğim bulunmaktadır.
Özel not:
Çalışma yapması için herhangi birine cihazınızı vermeden önce mutlaka şifreli halleriyle dosyalarınızın yedeğini alınız/aldırınız.
+ Öncelikle fidyeyi ödemek saldırganlara daha çok motivasyon kazandıracağı için etik ve ahlaki olmayacaktır.
+ Saldırganların hedefi öncelikli olarak para kazanmak olduğu için sizden alabildiği kadar çok para almayı amaçlar
+ Yabancı ve yerli forumlarda ödeyenlerin bir kısmının verilerini geri alabildiği gibi, büyük bir kısmının da alamadığı yazılmaktadır. Benim de kişisel olarak ödeyip alan ve fazla sayıda alamayan insanlara şahitlik etmişliğim bulunmaktadır.
Özel not:
Çalışma yapması için herhangi birine cihazınızı vermeden önce mutlaka şifreli halleriyle dosyalarınızın yedeğini alınız/aldırınız.
Önemli hatırlatma :
Kişisel tavsiyem, eğer böyle bir olaya maruz kalmışsanız, mutlaka bir suç duyurusunda bulunmanız yönünde olacaktır. Bu işlem belki dosyalarınızın çözülmesinde yardımcı olmayacak ama bu tür zararlı yazılımlarla yasal mücadelede umulur ki sizin de katkınız olur.
Kişisel tavsiyem, eğer böyle bir olaya maruz kalmışsanız, mutlaka bir suç duyurusunda bulunmanız yönünde olacaktır. Bu işlem belki dosyalarınızın çözülmesinde yardımcı olmayacak ama bu tür zararlı yazılımlarla yasal mücadelede umulur ki sizin de katkınız olur.
0 yorum:
Yorum Gönder