Fidye Virüs'ü CryptoLocker v3'ün Analizi

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
trwe
Petabyte3
Petabyte3
Mesajlar: 7912
Kayıt: 25 Eyl 2013, 13:38
cinsiyet: Erkek
Konum: Orion Takımyıldızı-Bertuna Planet

Fidye Virüs'ü CryptoLocker v3'ün Analizi

Mesaj gönderen trwe »

Resim

CryptoLocker v3 (TeslaCrypt / Cryptowall / Fidye) virüsü her geçen gün gelişmekte ve daha fazla kişi ve kurumu etkilemektedir. Virüsün yeni sürümü oyunlardan, online film/dizi izleme platformlarından bulaşma yeteneğine sahip virüs dosyalarinizin uzantısını .ccc , lol , gibi uzantılarla değiştirip şifreliyor. Bu zararlıya karşı basit korunma yolları ve çözüm önerileri aşağıdadaki gibidir.

Bu zararlı v1 ve v2’den çok daha yetenekli, şifreleme işlemine “vssadmin delete shadows /all” parametresiyle başladığı için önceki açıkları kapatmak için ve yedeklerinizi silmek için uğraşmakta. Bu versiyon genelde mail, video ve oyunlarından bulaştığı için bireysel kullanıcıların etkilenme potansiyeli daha fazladır.

Bilgisayarınızdan ;

Kod: Tümünü seç

%AppData%\<random>.exe

Kod: Tümünü seç

%AppData%\key.dat

Kod: Tümünü seç

%AppData%\log.html

Kod: Tümünü seç

%Desktop%\CryptoLocker.lnk

Kod: Tümünü seç

%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.bmp

Kod: Tümünü seç

%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.txt

Kod: Tümünü seç

*<random>
değişkenlik gösterir.

ve;

Kod: Tümünü seç

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13   %AppData%\<random>.exe
anahtarını silerek temizleyebilirsiniz ama şifrelenmiş dosyalarınız kullanıma açılamayacaktır.

Virüsün bu sürümü için,

Yukarıda izah ettiğimiz gibi yetkiniz var ise shadow copy yedekleri de silindiği için şu aşamada bundan başka geçerli bir çözüm yok. Fidye konusunda ise yeni versiyonda birkaç değişiklik mevcut. Artık paypal ödemesi de kabul ediliyor.

Önleme yöntemleri yine daha önceki versiyonlar ile aynı sayılır :

1.Cryptolocker Prevention Kiti; GPO ( Group Policy ) şablonlarını bilgisayarınıza indirip kullanmanızı sağlar. ( Kurulum uzmanlık gerektirebilir, kurulum açıklaması indireceğiniz klasörün içindedir )

2.Daha önce virüs için çeşitli çözümler geliştirmiş biri tarafından yazılımış CryptoMonitor Uygulaması ile korunabilirsiniz

3.Cryptolocker Prevention uygulaması sizi büyük oranda koruyacaktır. (https://www.foolishit.com/cryptoprevent ... #gsc.tab=0)

CryptoPrevent

1.Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır.

2.Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır. (Kaynak : difose)

3.Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir yerde bir yedeğini daha tutun.

4.Mail hizmeti aldığınız yerleri bu virüs ve alınması gereken önlemler hakkında uyarın.

5.Bilgisayarlarınızda dosya uzantılarını gösterin ve sonu .exe , .bat gibi uzantılarla biten fatura veya döküman gibi görünen hiçbir dosyayı açmayın.

6.Dosya uzantılarını nasıl gösterebilirsiniz (win7) ?

7.Xp’de bir klasörde iken klasör seçenekleri ve “Bilinen dosya türleri için uzantıları gizle” kutucuğunun çentiğini kaldırın.

8.Lütfen bilgisayarınıza format attırmayın ve ayrıca her ihtimale karşı lütfen HELP_DECRYPT dosyalarınızı da silmeyin. (Ta ki, dosyalarınızın üstüne bir bardak su içene dek)

9.Hacker’lar ile pazarlık yaptığını iddia eden, ve bunu bir çok medya kanalında reklam eden kişilere kesinlikle itibar etmeyiniz. Zira karşınızda bir hacker değil, bir otomasyon var. Eğer siz bitcoin’den sizin kodunuza denk gelen kod ile karşı tarafa coin gönderirseniz, otomasyon saniyeler içinde decrypt yazılımını hazırlayıp kullanmanız üzere indirmeye sunuyor. Fakat bu işlemleri kesinlikle eksiksiz ve hatasız yapmalısınız. Zira eğer bir yanlışlık yaparsanız gönderdiğiniz paranın çöpe gitme ihtimali yüksek.

Kaynak Site:https://blog.mydisk.com.tr

TRWE_2012
Alaydan Yetişme PC Kullanıcısı
TRWE_2012-GET LINUXMASTER#>_
Follow me, you won't regret it ....!
Alaydan Yetişme PC Kullanıcısı

Birşeyin doğruluğuna inanıyorsanız, sonuna kadar savunun......! Eğer savunduğunuza inanmıyorsanız, işte o zaman siz SAHTEKAR'sınız demektir.
Kullanıcı avatarı
velociraptor
Yottabyte4
Yottabyte4
Mesajlar: 31451
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek

Re: Fidye Virüs'ü CryptoLocker v3'ün Analizi

Mesaj gönderen velociraptor »

Sağolasın
Knowledge determines destiny, And ye shall know the Truth and the Truth shall make you free
Cevapla