Retrojen Forum

Retrojen Pano => Sohbet => Konuyu başlatan: Alcofribas - 04 Nisan 2015, 11:36:59

Başlık: Cryptowall 3.0 Maceram
Gönderen: Alcofribas - 04 Nisan 2015, 11:36:59
Tam da Alco'ya acil bir parti düzenlemesini rica edecektim ;)
Siz istediğiniz gibi parti yapın gençler... Alco'nun derdi başından aşkın... CryptoWall 3.0 (http://blogs.cisco.com/security/talos/cryptowall-3-0) ile cebelleşiyorum. Moral olarak diplerdeyim... Bir süre dokunmayın bana :(


Not: Şu (http://retrojen.org/pano/index.php?topic=845.0) başlıkta konu açıldı ama dallanıp budaklanınca ayrı bir yere aldım.

Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Ref - 04 Nisan 2015, 20:53:56
Tam da Alco'ya acil bir parti düzenlemesini rica edecektim ;)
Siz istediğiniz gibi parti yapın gençler... Alco'nun derdi başından aşkın... CryptoWall 3.0 (http://blogs.cisco.com/security/talos/cryptowall-3-0) ile cebelleşiyorum. Moral olarak diplerdeyim... Bir süre dokunmayın bana :(

Kayıp data çok büyük anlıyorum ama, eğer diskte boş alan çok vardıysa orjinal dosyalar hala undelete edilebilir belki, en azından bir kısmı. sonuçta bunu alıp yeni bir dosya açıyor (şifreliyor) ve eskisini *sonra* siliyor (http://www.shadowexplorer.com/downloads.html (http://www.shadowexplorer.com/downloads.html)). Bence parası neyse ver, bolca küfür et, dosyaların 50-100 liradan daha önemlidir büyük ihtimal.

Bir de hangi emailden bulaştığını bir kontrol et, tek yayılım yöntemi email imiş.

son olarak tek bir dosyayı beleşe decrypt ediyormuş.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Ref - 04 Nisan 2015, 21:38:26
Bir de bu geçen sene üniversiteler trojan'ın çalıştığı botnete saldırı yapıp privatekey'lerin bir kısmını ele geçirmişler. Neyse saldırıya katılan bir firma bunun için bir araç yapmış, bir dene istersen:


https://www.decryptcryptolocker.com/ (https://www.decryptcryptolocker.com/)
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Alcofribas - 05 Nisan 2015, 11:35:16
Kayıp data çok büyük anlıyorum ama, eğer diskte boş alan çok vardıysa orjinal dosyalar hala undelete edilebilir belki, en azından bir kısmı. sonuçta bunu alıp yeni bir dosya açıyor (şifreliyor) ve eskisini *sonra* siliyor (http://www.shadowexplorer.com/downloads.html (http://www.shadowexplorer.com/downloads.html)). Bence parası neyse ver, bolca küfür et, dosyaların 50-100 liradan daha önemlidir büyük ihtimal.

Bir de hangi emailden bulaştığını bir kontrol et, tek yayılım yöntemi email imiş.

son olarak tek bir dosyayı beleşe decrypt ediyormuş.
Adamlar 10 Nisan'a kadar 500$ ve bu tarihten sonra da 1000$ diyorlar. Öyle 50-100 lira mertebesinde birşey değil. Ama mesele sırf rakamın yüksekliği de değil. Parayı ödesen bile böyle bir işi yapan adamların dürüstlüğünden nasıl emin olacaksın.

Ben OSX üzerinde çalışıyorum biliyorsun. Fakat bu bana sanal makinadaki Win7'dan bulaştı. Diskte de çok boş alan yoktu. Shadowexplorer ve decryptcryptolocker.com olayını denemiştim. Hatta başka metotlar da denedim. En son olarak; giden dosyaları bir HDDye ayrıca yedekledim. Bakarsın birkaç sene sonra decrypter türü birşey çıkar.

Sonuç olarak "ölenle ölünmüyor" modunda, içim kan ağlayarak da olsa olayı kabullendim.

Ferdi Özbeğen - Satmışım Anasını (1979) (http://www.youtube.com/watch?v=fpRqRwCdCTE#)

Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: witchdoktor - 05 Nisan 2015, 13:40:24
Interpol, FBI falan uyuyor mu yahu? Bu adamların yaptıkları yanlarına mı kaldı? Internette hiçbir takip, hukuki yaptırım vb'den sözedilmiyor. Terörist saldırının %1'lik şüphesi bile olsa anında kafalarını uçururlardı bunların ki bu da bir tür terörizm bence (data terörizmi). Durum bundan ibaretse bu uygulama bir sektöre dönüşecektir.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Alcofribas - 05 Nisan 2015, 13:57:02
Interpol, FBI falan uyuyor mu yahu? Bu adamların yaptıkları yanlarına mı kaldı? Internette hiçbir takip, hukuki yaptırım vb'den sözedilmiyor. Terörist saldırının %1'lik şüphesi bile olsa anında kafalarını uçururlardı bunların ki bu da bir tür terörizm bence (data terörizmi). Durum bundan ibaretse bu uygulama bir sektöre dönüşecektir.
Valla açıkcası ben bu işin arkasında bir devlet olduğunu düşünüyorum. Bireysel veya ekipsel olarak bu kadar büyük çaplı birşey yapılamaz gibi geliyor. Dediğin kurumlar adamın tepesine binerler sonuçta.... Ama devlet ise o zaman o kurumların da eli kolu bağlanır biraz.

Aynen dediğin gibi, ama çoktan sektöre dönüşmüş bile...
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: memrah - 05 Nisan 2015, 14:31:35

Sifreli dosyalari bir kenarda saklamak mantikli. Benim de sabah aklima geldi, zaten yapmayi dusunmussundur ama yine de hatirlatayim demistim. Belli olmaz. Ileride kriptoyu kirmanin bir yolu bulunabilir veya bir sekilde dolandiricilarin key'lerinin tumu gun yuzune cikarilabilir.

Benim asil sormak istedigim, bu musibet nasil belirtiler verdi? Bilgisayarinda son zamanlarda bir yavaslama, dosyalara ulasmada sorun, ya da asiri harddisk aktivitesi (trashing)  gibi durumlar varmiydi?  Henuz basindan gecmemis olanlar icin uyarilarin varsa belki birilerinin basinin yanmasini engelleyebilirsin. Bir de sana ne yolla bulastigini tam anlayabildin mi? Driveby? Exe dosyasi? Word Doc, vs. vs. ?
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: wizofwor - 05 Nisan 2015, 18:27:36
Geçmiş olsun. Hikayeni okuyunca 7DX'de iş bilgisayarına bulaştırdığım trojan'dan hala tam anlamıyla kurtulamamış olmanın da etkisiyle double korktum. Anlaşılan sanal makina kullanıyorum diye rahat davranmamak lazım. En güzeli sanal makinanın erişim yetkisini kısıtlı tutmak. Ben de bu gün biraz vaktimi ayırıp başıma iş açmadan şu trojanla vedalaşayım.

Ekşide (https://eksisozluk.com/entry/49969564) bazı dosyaları cyptolocker'dan kurtarabildiğini iddia eden birine denk geldim. yardim(at)artibir.net adresine bir mail göndermeyi dene istersen.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: AmonR - 06 Nisan 2015, 18:04:51
Adamlar 10 Nisan'a kadar 500$ ve bu tarihten sonra da 1000$ diyorlar. Öyle 50-100 lira mertebesinde birşey değil. Ama mesele sırf rakamın yüksekliği de değil. Parayı ödesen bile böyle bir işi yapan adamların dürüstlüğünden nasıl emin olacaksın.

Bildiğim kadarıyla adamlar bu konuda dürüst.  :P
Bizim şirketteki bilgisayarcı arkadaş anlatmıştı.
Bir arkadaşının dışarıdan destek verdiği bir şirketin başına gelmiş bu durum. Adamların muhasebe kayıtlarını tuttukları server'ın hardiski bu şekilde şifrelenmiş. Karşı taraf yine tarih bazlı olarak fiyatını yükseltmiş.
Başka çare bulamayınca adamların istediği tutarı ödemişler (bitcoin olarak) ve adamlar da harddiski decode etmişler.
Tabii aynı adamlar mıdır bilemiyorum ama ödemeyi alınca sözlerinde duruyorlar.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: witchdoktor - 08 Nisan 2015, 10:30:12
Bildiğim kadarıyla adamlar bu konuda dürüst.  :P

Bunlar namuslu, prensipli hırsız demek ki. Aslında güven bir defa oluştu mu, daha sonraki benzer korsanlık hadiselerinde de tereddütsüz ödeme yaparız. Bence sonraki maruziyetlerde 'discount' falan da yapmalılar...

Şaka gibi yahu...
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Alcofribas - 17 Nisan 2015, 13:25:41
Benim asil sormak istedigim, bu musibet nasil belirtiler verdi? Bilgisayarinda son zamanlarda bir yavaslama, dosyalara ulasmada sorun, ya da asiri harddisk aktivitesi (trashing)  gibi durumlar varmiydi?  Henuz basindan gecmemis olanlar icin uyarilarin varsa belki birilerinin basinin yanmasini engelleyebilirsin. Bir de sana ne yolla bulastigini tam anlayabildin mi? Driveby? Exe dosyasi? Word Doc, vs. vs. ?
Bana sanırım Avax'dan indirdiğim bir programdan bulaştı. Zira o programı da Parallels üzerindeki sanal Win7'da çalıştırmıştım. Fakat ext. HDD'den sürekli çalışma izlemini alınca kablosunu çekmiştim. Sonra da sanal makinayı kapattım. MAC üzerindeki dosyalara da buradan bulaşmış. Ben sanal makinayı "Isolate" modunda çalıştırmıyordum. Fakat MAC üzerinde herhangi bir aktivasyonu yok. Yani sanal makina çalışmazsa sorun yok. Şifrelenen dosyalar hariç herşey normal.

Ama Google Drive'a da sirayet etmiş. Bunu da söylemeden geçmeyeyim.

Geçmiş olsun. Hikayeni okuyunca 7DX'de iş bilgisayarına bulaştırdığım trojan'dan hala tam anlamıyla kurtulamamış olmanın da etkisiyle double korktum. Anlaşılan sanal makina kullanıyorum diye rahat davranmamak lazım. En güzeli sanal makinanın erişim yetkisini kısıtlı tutmak. Ben de bu gün biraz vaktimi ayırıp başıma iş açmadan şu trojanla vedalaşayım.

Ekşide (https://eksisozluk.com/entry/49969564) bazı dosyaları cyptolocker'dan kurtarabildiğini iddia eden birine denk geldim. yardim(at)artibir.net adresine bir mail göndermeyi dene istersen.

Ben de bugüne kadar çok rahattım sanal makina konusunda. Ama artık bir musibet bin nasihat konusunun merkezindeki özneyim :)

Ekşi benim ilk kaynağımdır bu tür konularda. Ama o adrese mail atmadım. Kimin ne olduğu belli değil. Yine de tavsiye için sağol. Belki başka birilerine kılavuz olur bunlar.

Bildiğim kadarıyla adamlar bu konuda dürüst.  :P
Bizim şirketteki bilgisayarcı arkadaş anlatmıştı.
Bir arkadaşının dışarıdan destek verdiği bir şirketin başına gelmiş bu durum. Adamların muhasebe kayıtlarını tuttukları server'ın hardiski bu şekilde şifrelenmiş. Karşı taraf yine tarih bazlı olarak fiyatını yükseltmiş.
Başka çare bulamayınca adamların istediği tutarı ödemişler (bitcoin olarak) ve adamlar da harddiski decode etmişler.
Tabii aynı adamlar mıdır bilemiyorum ama ödemeyi alınca sözlerinde duruyorlar.
Bir şirket için olabilir ama şu anda benim gözümde buna değmez. Bir de bu tür durumlarda "Amerikan devleti teröristlerle pazarlık etmez" düsturundan yanayım. Mümkün olduğunca kapı açmamak lazım bu tür haysiyetsiz insanlara.

Bunlar namuslu, prensipli hırsız demek ki. Aslında güven bir defa oluştu mu, daha sonraki benzer korsanlık hadiselerinde de tereddütsüz ödeme yaparız. Bence sonraki maruziyetlerde 'discount' falan da yapmalılar...

Şaka gibi yahu...
İşte bindirim yapıyorlar zaten. 10 gün içinde 500$ ödemezsen sonrasında 1000$'dan aşağı olmaz diyorlar. Bu mantığa göre zaman içinde indirim de olabilir. Hatta üyelik sistemi ve kartı bile çıkabilir.

Ben artık olaya bir de şu gözle bakıyorum: Belki bu güzel insanlar, beni kötü niyetli insanlardan korumak için dosyalarımı şifrelediler. Decrypter çıkana kadar dosyalarım güvende artık.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: i_r_on - 24 Nisan 2015, 00:28:04
Geçmiş olsun, iğrenç bir malware imiş bu. Bir önceki versiyonu için kullanılan botnet ortak operasyonla çökertilmiş ve private key listesi ele geçirilmiş. Bu versiyonda elemanlar anonymity network'lere yönelmişler komuta kontrol için anladığım kadarıyla.

PS3'ün güvenlik sistemi kötü çalışan (çalışmayan) bir rastgele sayı üreteci sayesinde kırılmıştı. En zayıf oldukları nokta kripto ise bu malware'i yapanlar da böyle bir hata yapmış olabilir. Fidyeyi ödemeden beklemek lazım dosyaları yedekleyip.

Bu tip suçlar artık uluslararası bir müdahaleyi zorunlu kılıyor. Kıllandığım nokta, birileri ülkeleri buraya yönlendirmek için mi acaba tezgahlıyor bütün bunları.

Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Ref - 24 Nisan 2015, 00:45:01
valla bitcoin'den 27 milyon dolar akış hesaplanmış geçen seneye kadar. Şimdiye kadar 35-40'ı bulmuştur herhalde.

Bu kadar paranın gezdiği bir yerde tek adam yoktur diye düşünüyorum. Kafayı kıran birkaç girişimci daha bu işe girişmiş olmalı. Bu sebepten birçok varyasyonu olan bir "ransomware" bu. Bir varyasyonu private key'i zaten harddiskte tutuyormuş. Kötü programcılığın/hack'in bir sonucu olabilir. Ayrıca dosyanın tamamını değil, ilk 4-5k'lık kısmını şifreliyormuş.

Eğer bir şekilde dosyanın orjinal hali yedekli ise acaba bruteforce kullanmadan private key hesaplanamıyor mu? Kolay değil elbette ama, yine de...
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: i_r_on - 25 Nisan 2015, 00:25:04
Kriptoyu uygularken bir hata yapmıyorlarsa dosyanın orjinali bir işe yaramaz. RSA'nın temelinde çarpanlara bölme algoritmasının sayılar yeterince büyükse çok zor olması yatıyor. (NP complete değilmiş yine de)

Algoritma uygulanırken başta basamak sayıları aynı olan iki tane asal sayı seçiliyor. Bu asal sayıların seçimini tam olarak rastgele yapmıyorlarsa kırılabilir.

Gördüğüm kadarıyla public key'i alabilmek için bir yere hesaplanmış victim id gönderiliyor ve public key alındıktan sonra windows'un crypto store'una bu key import ediliyor. Misal RSA algoritması için kullandıkları ana asal sayıları victim id üzerinden tek yönlü bir şekilde oluşturdukları bir algoritma varsa bu kolayca kırılır. Kolayca dediğim bir araştırmacının yeterince makineden örnek alıp incelemesi ve varsa arada bağıntı yakalaması lazım.

Bu kötü işlerle uğraşan adamların tamamen kötü olduklarını düşünmüyorum. Amaç ilk çıktıktan sonra bir kaç ay, sene içinde korku yaratmak ya da voliyi vurmak.

Ama bunu örnek alıp peşinden aynı şeyleri yapanlar için tahminim o yönde değil.

Benimkisi bir tahmin sadece.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: wizofwor - 02 Ekim 2015, 10:54:02
Alcofribas, her hangi bir gelişme var mı? İleride bir çaresi bulunursa diye kriptolu dosyaları saklayacağını yazmıştın.

Biraz önce şantiyeden aradılar. Bir arkadaşın bilgisayarına Türkcell faturası gibi görünen bir sayfadan virüs bulaşmış ve dosyaları şifrelemiş. Cryptolocker olduğunu söylediler. Şifreyi çözmek için 900TL civarında bir ücret istemişler. Hacker'ın nazik ruhunu incitmeden kibrarca pazarlık yapın, anlaştığınız parayı ödeyin dedim. Aksi halde arkadaşın iki üç haftalık çalışması buharlaşacak.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Alcofribas - 02 Ekim 2015, 11:00:04
Valla en son bir ay önce falandı kontrol ettim. Herhangi bir gelişme yoktu. Ben dediğim gibi dosyaları saklamaya devam ediyorum. Bir yanda da telafi edebileceklerimi telafi etmeye çalışıyorum. Birgün decrypter falan çıkarsa da "eşşeğimi önce kaybedip sonra bulmuş" modunda sevineceğim :)

Tavsiyen çok mantıklı. Aslında 900TL ödenmeyecek rakam değil. Dosyaların önemine göre ödenebilir. Ama sorun şu ki; ödendikten sonra da adamın dürüst davranıp davranmayacağı büyük bir soru işareti. İşin bu kısmı; insanı, ödeme olayından alıkoyuyor.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: witchdoktor - 02 Ekim 2015, 11:29:07
@Alcofribas
Adamın bu verileri senden daha iyi koruyacağı kesin, bu şekilde senin olağanüstü gizli projenin hiç kimsenin hain emellerine kurban gitmeyeceğinden emin olabilirsin. Zaten bir 20 yıl içinde kuantum bilgisayarlarla carttadanak çözülecektir bu şifre. İşte o zaman kaldığın yerden devam edersin projene...
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Alcofribas - 10 Ekim 2015, 13:48:39
@Alcofribas
Adamın bu verileri senden daha iyi koruyacağı kesin, bu şekilde senin olağanüstü gizli projenin hiç kimsenin hain emellerine kurban gitmeyeceğinden emin olabilirsin.

Daha önce de dediğim gibi ben olaya artık bambaşka bir açıdan bakıyorum :)

Alıntı
Ben artık olaya bir de şu gözle bakıyorum: Belki bu güzel insanlar, beni kötü niyetli insanlardan korumak için dosyalarımı şifrelediler. Decrypter çıkana kadar dosyalarım güvende artık.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: gibraltar - 19 Mayıs 2016, 10:17:03
Kendilerine TeslaCrypt diyen başka bir fidyeci takımı da ana anahtarı yayımlayıp işi bıraktıklarını açıklamış (http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/).

Herifler fidye paralarını toplamak için web store açmışlar, benim garibime giden bu.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Ref - 24 Mayıs 2016, 23:50:36
çok şüpheli durumlar ama alco için mutlu son olur umarım. Decryptor toollar çıktı bile.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: witchdoktor - 25 Mayıs 2016, 14:37:35
Sakla samanı, gelir zamanı...

Keşke Amiga zamanlarında da böyle ransomware uygulamaları olsaydı, kodları kurtarırdım bu sayede...
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Ref - 26 Mayıs 2016, 11:15:21
Sakla samanı, gelir zamanı...

Keşke Amiga zamanlarında da böyle ransomware uygulamaları olsaydı, kodları kurtarırdım bu sayede...

Doktorcum, senin yazılımlarının peşine ben koşuyorum senin bu vurdumduymazlığın yüzünden :) Bu konuda ne kadar vurdumduymazmışız aklım almıyor. Elbette, çocuktuk, yaptıklarımızın değerini görmüyorduk ve anlamıyorduk. Kimsenin değer vermediği çalışmalarımıza biz de değer vermemişiz işte. Hatta birçoğumuzun bilgisayar işlerini kökten bırakıp ne var ne yok çöpe attığı bir dönem de var. Ne üzücü, ne vahim.


Ben ciddi arşiv yaptığımı sanıyor olmama karşın (tüm disketleri aynı kutuya koymaktan bahsediyorum ha) kodların büyük bir kısmı çalışmayan disketlerde kaldı ve çürüdüler. Elimde birkaç oyunun yarım yamalak kaynak kodundan başka pek birşey yok

en son, zx spectrumda yaptığım ve tüm hafızayı kaplayan "hipodrom" oyunumun kasedini 3-4 ay önce bulmuş fakat boğuk ses yüzünden yüklemeyi başaramamıştım. Halbuki evde toplanıp atlarımızı koşturmaya bayılırdık. Hatta sonra amiga'ya bir port da yapmıştım, o henüz biryerden çıkmadı.

Bugün internet güzel bir arşiv oluşturuyor eğer herşeyi public domain haline getirmek isterseniz. Yoksa bence depolama paniği hala sürüyor.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: leventp - 27 Haziran 2016, 15:56:18
Geçmiş olsun. Ben bu "parayı versem şifreyi verirler mi?" meselesini geçen sene F-Secure firmasının uzmanlarından Mikko Hyponen ile yüzyüze konuştum. "Parayı alıp şifreyi vermezlerse bir süre sonra kimse para vermemeye başlar, tüm iş modelleri çöker, o yüzden parayı alınca şifreyi mutlaka veriyorlar" şeklinde konuştu. Ancak tabii ki bu kadar incelikli düşünmeyen kazmalar her zaman olabilir, özellikle de bizim taraflardan çıkışlı birileriyse.

İyi şanslar, LP
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Ref - 23 Ocak 2018, 15:48:53
https://noransom.kaspersky.com/

kaspersky crptowall kolajı yapmış. ilaçlarını da koymuş. bir denemeye değer.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Shax - 23 Ocak 2018, 19:11:35
 Ve sen bunu bedavaya acikladin... Olm en azindan Ozkansson' da bir pide sozu alsaydin.
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: witchdoktor - 24 Ocak 2018, 09:52:04
Alcofribas bu çözümlerin işe yarayıp yaramadığını açıklasa bari. İşe yarıyorsa ben de bu 'tool'lar yardımıyla dosyalarımı encrypt edip meraklı gözleren saklayacağım...
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Ref - 25 Ocak 2018, 20:38:34
Alcofribas bu çözümlerin işe yarayıp yaramadığını açıklasa bari. İşe yarıyorsa ben de bu 'tool'lar yardımıyla dosyalarımı encrypt edip meraklı gözleren saklayacağım...

hahah alco sana virüslü maili forward etsin hemen :D
Başlık: Ynt: Cryptowall 3.0 Maceram
Gönderen: Blockmind - 20 Aralık 2018, 13:02:33
Can sıkıcı olaylar... Bir de şu çıkmış belki faydası olur diye paylaşıyorum:

https://noransom.kaspersky.com/static/CoinVaultDecryptor.zip