!!!!!Crypto-Ransom Buraya DİKKAT!!!!!

[pulkas]

http://www.bromium.com/sites/default/files/bromium-report-ransomware.pdf

2013 senesinden bu yana ortalıkta dolaşan bir virüs bu(polymorphic...).Türk telekom faturası formatında(başka formatlarda da geliyor olabilir)

[email protected]
[email protected]
...

gibi mail adresinde gelen mail üzerindeki link yoluyla sisteme bulaşıyor.Mail üzerinde embed edilmiş bir kod yada attach edilmiş bir dosya olmadığı için mail salt okuma amacıyla outlook thunderbird... gibi bir program açıldığında bulaşıcı etkisini göstermiyor.Mail üzerindeki linke tıklandığında virüs bir takım injection yordamlarıyla işini yapmaya başlıyor.

Sisteminizde ticari anlamı olan bütün xls xlsxx doc docs dwg nef cr2 jpg gif png ... gibi akla gelebilecek tüm uzantıları .encryted şekline çevirip bütün dosyaları şifreliyor.Bu esnada hali hazırda varsa system restore backuplarını ve shadow copyleride siliyor.(Hedef kitle şirketler deniyor ki çok mantıklı sen adamın bütün ticari kaygıyla oluşturduğu dosyalarını şifrelersen adam da sana ss.. para gönderir.)

Hali hazırda virüs tarama programları bu virüsü bulaşma esnasında tespit edemiyorlar.Yani özellikle koruma altına alınmadılarsa aciz durumdalar.crypto preventer malwarebytes ... gibi bir kaç program tespit konusunda bir şeyler yapıyolar ama manual protection şart.Önerilen yöntem işiniz bittiğinde dosyalarınızı harici harddiske kopyalayın ve harddiski kullanmadığınız sürece bilgisayarda takılı bırakmayın.Keza bu virüs at avrat demeden önüne ticari kaygı güdülebilecek ne gelirse -sistemin çalışması için gereken dosyalar hariç- şifreliyor...

Gelen maillerdeki linklere tıklamadan önce 1000000 kere düşünün.Bu virüsün yediği bokun geri dönüşü yok.(Bitcoin göndererek size kullandığı algoritmanın{aes256} decryption keyini gönderiyormuş.Hatta virüsün sahibinin günde 25000$ kazandığı söyleniyor....)

Bu arada virüs encryption key için tor kullanarak haberleşme yapıyormuş ki bu izi takip etmeyi bayaa bi güçleştiriyor.

Bu gün şirketteki muhasebeci arkadaş ceptelefonu faturalarının mailine baktıktan sonra türk telekomun faturası gelmiş onada bakayım diyerek bu maildeki linke tıklamış.

gg wp normk.

[cagrus]

başka bi türü cryptolockerin mutasyona uğramış versiyonu girmişti benim bilgisayara, kurtuluşu format ve tüm belgeler gidiyor ya da 300 dolar ödeyerek şifre alıyorsunuz.

[Aluriel]

Sunu yiyen gerizekalidir

[Nekro]

bunlari yiyen var mi harbiden

[Aluriel]

300 dolar diyo ya asdfasda

[Nacrem]

Aluriel said:

Sunu yiyen gerizekalidir

[Crawler]

Hadi o neyse de bunu yiyene ne demeli;

http://i.imgur.com/013PP2Y.jpg

[GERGE]

nix kullanin, dertsiz olun.

[Aluriel]

hiphip

[Crawler]

http://i.imgur.com/P0Aba96.png

An itibari ile arkadaşın başına gelen olay. Adamın proje dosyaları falan gitti bir sürü. Yedek var ama 2 hafta öncesine ait. Koskoca adam sinirden ağlamak üzere. Ve çözümü yok bu olayın.

Aman siz dikkat edin.

[Aluriel]

hemen yollasın beş yüzü

[Crawler]

10 gün süresi varmış ya, dolar biraz düşsün yollar :P

[Mal]

çözümünü felan anlatıyor bir sürü sitede youtube da felan. işe yaramıyo mu o çözümler?

[Norak]

dünyanın 4 bir yanından email olarak gelen kazandığım paraları üst üste koysam şimdiye ada almıştım.

[Mal]

10 dolara nasıl silindiğini anlatırım

[Promenader]

şifre adamlardada yok belli, 10 gün demiş zaten.

bu şifrelenen dosyalardan birini bi siteye yüklüyodun, adamlarda beleşe kırıyodu şifreyi senin için ama aklımda değil o site şimdi.

[Crawler]

Bence ortada bi şifreleme falan yok gibi, varolan dosyaları silmiş, yerine yeniden aynı isimde ve formatta yeni dosyalar oluşturmuş.

[Crawler]

https://www.decryptcryptolocker.com/

Bu muydu o site?

[Aluriel]

system restore yapabiliyorsa 1-2 hafta öncesine, önce malware temizleyip sonra istediğiniz dosyayı bi önceki haline restore etmeyi deneyebilirsiniz

[Mal]

http://uzmanim.net/soru/cryptorbit-virusu-nasil-temizlenir/3340

denesin işte şunu.

[pulkas]

System restore'u siliyo bu meret.İlk yaptığı işlerden biri bu.Hatta bazı durumlarda shadow copyleride siliyomuş ama ben o konuda şanslıydım kurtardım dosyaları shadow copylerden.

[Promenader]

-Crawler- said:

https://www.decryptcryptolocker.com/

Bu muydu o site?

budur ama siteye bakmamıştım tam, işim yok diye gözatmadan geçtim.

[Seele]

pulkas said:

System restore'u siliyo bu meret.İlk yaptığı işlerden biri bu.Hatta bazı durumlarda shadow copyleride siliyomuş ama ben o konuda şanslıydım kurtardım dosyaları shadow copylerden.

porno crack vs yapiyorsun nasil bulasti?

[Crawler]

Mal said:

http://uzmanim.net/soru/cryptorbit-virusu-nasil-temizlenir/3340

denesin işte şunu.

Bu CryptorBit isimli virusten etkinenler için, bizdeki daha başka. Ve daha başka viruslerde var. Keza üstte verdiğim site de farklı bir virusten etkilenen dosyalar için.

O yüzden şuanlık çözüm bulamadık. Daha doğrusu hangi virusten etkilenerek dosyalar bozuldu, onu bile bulamadık.

[Mal]

belki yapmışsınızdırda adamın yazdığı mesajdaki kelimeleri verdiği .onion lu adresi kullanın keyword olarak.