Gönderen Konu: Cryptowall 3.0 Maceram  (Okunma sayısı 6291 defa)

0 Üye ve 1 Ziyaretçi konuyu incelemekte.

Çevrimdışı Alcofribas

  • Yönetici
  • Özgür Retrocu
  • *
  • İleti: 1655
  • "Kahraman olmak, dürüst olmaktan kolaydır" Luigi P
    • Sizin Amstrad
Cryptowall 3.0 Maceram
« : 04 Nisan 2015, 11:36:59 »
Tam da Alco'ya acil bir parti düzenlemesini rica edecektim ;)
Siz istediğiniz gibi parti yapın gençler... Alco'nun derdi başından aşkın... CryptoWall 3.0 ile cebelleşiyorum. Moral olarak diplerdeyim... Bir süre dokunmayın bana :(


Not: Şu başlıkta konu açıldı ama dallanıp budaklanınca ayrı bir yere aldım.


Çevrimdışı Ref

  • Yönetici
  • Özgür Retrocu
  • *
  • İleti: 2384
  • Advanced User Simulator
    • ae unutmadan
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #1 : 04 Nisan 2015, 20:53:56 »
Tam da Alco'ya acil bir parti düzenlemesini rica edecektim ;)
Siz istediğiniz gibi parti yapın gençler... Alco'nun derdi başından aşkın... CryptoWall 3.0 ile cebelleşiyorum. Moral olarak diplerdeyim... Bir süre dokunmayın bana :(

Kayıp data çok büyük anlıyorum ama, eğer diskte boş alan çok vardıysa orjinal dosyalar hala undelete edilebilir belki, en azından bir kısmı. sonuçta bunu alıp yeni bir dosya açıyor (şifreliyor) ve eskisini *sonra* siliyor (http://www.shadowexplorer.com/downloads.html). Bence parası neyse ver, bolca küfür et, dosyaların 50-100 liradan daha önemlidir büyük ihtimal.

Bir de hangi emailden bulaştığını bir kontrol et, tek yayılım yöntemi email imiş.

son olarak tek bir dosyayı beleşe decrypt ediyormuş.

Çevrimdışı Ref

  • Yönetici
  • Özgür Retrocu
  • *
  • İleti: 2384
  • Advanced User Simulator
    • ae unutmadan
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #2 : 04 Nisan 2015, 21:38:26 »
Bir de bu geçen sene üniversiteler trojan'ın çalıştığı botnete saldırı yapıp privatekey'lerin bir kısmını ele geçirmişler. Neyse saldırıya katılan bir firma bunun için bir araç yapmış, bir dene istersen:


https://www.decryptcryptolocker.com/

Çevrimdışı Alcofribas

  • Yönetici
  • Özgür Retrocu
  • *
  • İleti: 1655
  • "Kahraman olmak, dürüst olmaktan kolaydır" Luigi P
    • Sizin Amstrad
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #3 : 05 Nisan 2015, 11:35:16 »
Kayıp data çok büyük anlıyorum ama, eğer diskte boş alan çok vardıysa orjinal dosyalar hala undelete edilebilir belki, en azından bir kısmı. sonuçta bunu alıp yeni bir dosya açıyor (şifreliyor) ve eskisini *sonra* siliyor (http://www.shadowexplorer.com/downloads.html). Bence parası neyse ver, bolca küfür et, dosyaların 50-100 liradan daha önemlidir büyük ihtimal.

Bir de hangi emailden bulaştığını bir kontrol et, tek yayılım yöntemi email imiş.

son olarak tek bir dosyayı beleşe decrypt ediyormuş.
Adamlar 10 Nisan'a kadar 500$ ve bu tarihten sonra da 1000$ diyorlar. Öyle 50-100 lira mertebesinde birşey değil. Ama mesele sırf rakamın yüksekliği de değil. Parayı ödesen bile böyle bir işi yapan adamların dürüstlüğünden nasıl emin olacaksın.

Ben OSX üzerinde çalışıyorum biliyorsun. Fakat bu bana sanal makinadaki Win7'dan bulaştı. Diskte de çok boş alan yoktu. Shadowexplorer ve decryptcryptolocker.com olayını denemiştim. Hatta başka metotlar da denedim. En son olarak; giden dosyaları bir HDDye ayrıca yedekledim. Bakarsın birkaç sene sonra decrypter türü birşey çıkar.

Sonuç olarak "ölenle ölünmüyor" modunda, içim kan ağlayarak da olsa olayı kabullendim.

Ferdi Özbeğen - Satmışım Anasını (1979)


Çevrimdışı witchdoktor

  • RAAT
  • Normalleşmiş Retroman
  • *
  • İleti: 718
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #4 : 05 Nisan 2015, 13:40:24 »
Interpol, FBI falan uyuyor mu yahu? Bu adamların yaptıkları yanlarına mı kaldı? Internette hiçbir takip, hukuki yaptırım vb'den sözedilmiyor. Terörist saldırının %1'lik şüphesi bile olsa anında kafalarını uçururlardı bunların ki bu da bir tür terörizm bence (data terörizmi). Durum bundan ibaretse bu uygulama bir sektöre dönüşecektir.

Çevrimdışı Alcofribas

  • Yönetici
  • Özgür Retrocu
  • *
  • İleti: 1655
  • "Kahraman olmak, dürüst olmaktan kolaydır" Luigi P
    • Sizin Amstrad
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #5 : 05 Nisan 2015, 13:57:02 »
Interpol, FBI falan uyuyor mu yahu? Bu adamların yaptıkları yanlarına mı kaldı? Internette hiçbir takip, hukuki yaptırım vb'den sözedilmiyor. Terörist saldırının %1'lik şüphesi bile olsa anında kafalarını uçururlardı bunların ki bu da bir tür terörizm bence (data terörizmi). Durum bundan ibaretse bu uygulama bir sektöre dönüşecektir.
Valla açıkcası ben bu işin arkasında bir devlet olduğunu düşünüyorum. Bireysel veya ekipsel olarak bu kadar büyük çaplı birşey yapılamaz gibi geliyor. Dediğin kurumlar adamın tepesine binerler sonuçta.... Ama devlet ise o zaman o kurumların da eli kolu bağlanır biraz.

Aynen dediğin gibi, ama çoktan sektöre dönüşmüş bile...

Çevrimdışı memrah

  • RAAT
  • Retro Meraklısı
  • *
  • İleti: 187
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #6 : 05 Nisan 2015, 14:31:35 »

Sifreli dosyalari bir kenarda saklamak mantikli. Benim de sabah aklima geldi, zaten yapmayi dusunmussundur ama yine de hatirlatayim demistim. Belli olmaz. Ileride kriptoyu kirmanin bir yolu bulunabilir veya bir sekilde dolandiricilarin key'lerinin tumu gun yuzune cikarilabilir.

Benim asil sormak istedigim, bu musibet nasil belirtiler verdi? Bilgisayarinda son zamanlarda bir yavaslama, dosyalara ulasmada sorun, ya da asiri harddisk aktivitesi (trashing)  gibi durumlar varmiydi?  Henuz basindan gecmemis olanlar icin uyarilarin varsa belki birilerinin basinin yanmasini engelleyebilirsin. Bir de sana ne yolla bulastigini tam anlayabildin mi? Driveby? Exe dosyasi? Word Doc, vs. vs. ?

Çevrimdışı wizofwor

  • RAAT
  • Tedavideki Retromanik
  • *
  • İleti: 327
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #7 : 05 Nisan 2015, 18:27:36 »
Geçmiş olsun. Hikayeni okuyunca 7DX'de iş bilgisayarına bulaştırdığım trojan'dan hala tam anlamıyla kurtulamamış olmanın da etkisiyle double korktum. Anlaşılan sanal makina kullanıyorum diye rahat davranmamak lazım. En güzeli sanal makinanın erişim yetkisini kısıtlı tutmak. Ben de bu gün biraz vaktimi ayırıp başıma iş açmadan şu trojanla vedalaşayım.

Ekşide bazı dosyaları cyptolocker'dan kurtarabildiğini iddia eden birine denk geldim. yardim(at)artibir.net adresine bir mail göndermeyi dene istersen.
Gosub ile gidilen yerden goto ile dönen adam

Çevrimdışı AmonR

  • RAAT
  • Tedavideki Retromanik
  • *
  • İleti: 257
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #8 : 06 Nisan 2015, 18:04:51 »
Adamlar 10 Nisan'a kadar 500$ ve bu tarihten sonra da 1000$ diyorlar. Öyle 50-100 lira mertebesinde birşey değil. Ama mesele sırf rakamın yüksekliği de değil. Parayı ödesen bile böyle bir işi yapan adamların dürüstlüğünden nasıl emin olacaksın.

Bildiğim kadarıyla adamlar bu konuda dürüst.  :P
Bizim şirketteki bilgisayarcı arkadaş anlatmıştı.
Bir arkadaşının dışarıdan destek verdiği bir şirketin başına gelmiş bu durum. Adamların muhasebe kayıtlarını tuttukları server'ın hardiski bu şekilde şifrelenmiş. Karşı taraf yine tarih bazlı olarak fiyatını yükseltmiş.
Başka çare bulamayınca adamların istediği tutarı ödemişler (bitcoin olarak) ve adamlar da harddiski decode etmişler.
Tabii aynı adamlar mıdır bilemiyorum ama ödemeyi alınca sözlerinde duruyorlar.
Kırkından sonra retrocu olanı emülasyon paklar!

"You're not a collector's item, you're a child's plaything."  Buzz Lightyear - Toy Story 2

"Sahip oldukların zamanla sana sahip olur."  Shax the 'Thor's Hammer'

Çevrimdışı witchdoktor

  • RAAT
  • Normalleşmiş Retroman
  • *
  • İleti: 718
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #9 : 08 Nisan 2015, 10:30:12 »
Bildiğim kadarıyla adamlar bu konuda dürüst.  :P

Bunlar namuslu, prensipli hırsız demek ki. Aslında güven bir defa oluştu mu, daha sonraki benzer korsanlık hadiselerinde de tereddütsüz ödeme yaparız. Bence sonraki maruziyetlerde 'discount' falan da yapmalılar...

Şaka gibi yahu...

Çevrimdışı Alcofribas

  • Yönetici
  • Özgür Retrocu
  • *
  • İleti: 1655
  • "Kahraman olmak, dürüst olmaktan kolaydır" Luigi P
    • Sizin Amstrad
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #10 : 17 Nisan 2015, 13:25:41 »
Benim asil sormak istedigim, bu musibet nasil belirtiler verdi? Bilgisayarinda son zamanlarda bir yavaslama, dosyalara ulasmada sorun, ya da asiri harddisk aktivitesi (trashing)  gibi durumlar varmiydi?  Henuz basindan gecmemis olanlar icin uyarilarin varsa belki birilerinin basinin yanmasini engelleyebilirsin. Bir de sana ne yolla bulastigini tam anlayabildin mi? Driveby? Exe dosyasi? Word Doc, vs. vs. ?
Bana sanırım Avax'dan indirdiğim bir programdan bulaştı. Zira o programı da Parallels üzerindeki sanal Win7'da çalıştırmıştım. Fakat ext. HDD'den sürekli çalışma izlemini alınca kablosunu çekmiştim. Sonra da sanal makinayı kapattım. MAC üzerindeki dosyalara da buradan bulaşmış. Ben sanal makinayı "Isolate" modunda çalıştırmıyordum. Fakat MAC üzerinde herhangi bir aktivasyonu yok. Yani sanal makina çalışmazsa sorun yok. Şifrelenen dosyalar hariç herşey normal.

Ama Google Drive'a da sirayet etmiş. Bunu da söylemeden geçmeyeyim.

Geçmiş olsun. Hikayeni okuyunca 7DX'de iş bilgisayarına bulaştırdığım trojan'dan hala tam anlamıyla kurtulamamış olmanın da etkisiyle double korktum. Anlaşılan sanal makina kullanıyorum diye rahat davranmamak lazım. En güzeli sanal makinanın erişim yetkisini kısıtlı tutmak. Ben de bu gün biraz vaktimi ayırıp başıma iş açmadan şu trojanla vedalaşayım.

Ekşide bazı dosyaları cyptolocker'dan kurtarabildiğini iddia eden birine denk geldim. yardim(at)artibir.net adresine bir mail göndermeyi dene istersen.

Ben de bugüne kadar çok rahattım sanal makina konusunda. Ama artık bir musibet bin nasihat konusunun merkezindeki özneyim :)

Ekşi benim ilk kaynağımdır bu tür konularda. Ama o adrese mail atmadım. Kimin ne olduğu belli değil. Yine de tavsiye için sağol. Belki başka birilerine kılavuz olur bunlar.

Bildiğim kadarıyla adamlar bu konuda dürüst.  :P
Bizim şirketteki bilgisayarcı arkadaş anlatmıştı.
Bir arkadaşının dışarıdan destek verdiği bir şirketin başına gelmiş bu durum. Adamların muhasebe kayıtlarını tuttukları server'ın hardiski bu şekilde şifrelenmiş. Karşı taraf yine tarih bazlı olarak fiyatını yükseltmiş.
Başka çare bulamayınca adamların istediği tutarı ödemişler (bitcoin olarak) ve adamlar da harddiski decode etmişler.
Tabii aynı adamlar mıdır bilemiyorum ama ödemeyi alınca sözlerinde duruyorlar.
Bir şirket için olabilir ama şu anda benim gözümde buna değmez. Bir de bu tür durumlarda "Amerikan devleti teröristlerle pazarlık etmez" düsturundan yanayım. Mümkün olduğunca kapı açmamak lazım bu tür haysiyetsiz insanlara.

Bunlar namuslu, prensipli hırsız demek ki. Aslında güven bir defa oluştu mu, daha sonraki benzer korsanlık hadiselerinde de tereddütsüz ödeme yaparız. Bence sonraki maruziyetlerde 'discount' falan da yapmalılar...

Şaka gibi yahu...
İşte bindirim yapıyorlar zaten. 10 gün içinde 500$ ödemezsen sonrasında 1000$'dan aşağı olmaz diyorlar. Bu mantığa göre zaman içinde indirim de olabilir. Hatta üyelik sistemi ve kartı bile çıkabilir.

Ben artık olaya bir de şu gözle bakıyorum: Belki bu güzel insanlar, beni kötü niyetli insanlardan korumak için dosyalarımı şifrelediler. Decrypter çıkana kadar dosyalarım güvende artık.

i_r_on

  • Ziyaretçi
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #11 : 24 Nisan 2015, 00:28:04 »
Geçmiş olsun, iğrenç bir malware imiş bu. Bir önceki versiyonu için kullanılan botnet ortak operasyonla çökertilmiş ve private key listesi ele geçirilmiş. Bu versiyonda elemanlar anonymity network'lere yönelmişler komuta kontrol için anladığım kadarıyla.

PS3'ün güvenlik sistemi kötü çalışan (çalışmayan) bir rastgele sayı üreteci sayesinde kırılmıştı. En zayıf oldukları nokta kripto ise bu malware'i yapanlar da böyle bir hata yapmış olabilir. Fidyeyi ödemeden beklemek lazım dosyaları yedekleyip.

Bu tip suçlar artık uluslararası bir müdahaleyi zorunlu kılıyor. Kıllandığım nokta, birileri ülkeleri buraya yönlendirmek için mi acaba tezgahlıyor bütün bunları.


Çevrimdışı Ref

  • Yönetici
  • Özgür Retrocu
  • *
  • İleti: 2384
  • Advanced User Simulator
    • ae unutmadan
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #12 : 24 Nisan 2015, 00:45:01 »
valla bitcoin'den 27 milyon dolar akış hesaplanmış geçen seneye kadar. Şimdiye kadar 35-40'ı bulmuştur herhalde.

Bu kadar paranın gezdiği bir yerde tek adam yoktur diye düşünüyorum. Kafayı kıran birkaç girişimci daha bu işe girişmiş olmalı. Bu sebepten birçok varyasyonu olan bir "ransomware" bu. Bir varyasyonu private key'i zaten harddiskte tutuyormuş. Kötü programcılığın/hack'in bir sonucu olabilir. Ayrıca dosyanın tamamını değil, ilk 4-5k'lık kısmını şifreliyormuş.

Eğer bir şekilde dosyanın orjinal hali yedekli ise acaba bruteforce kullanmadan private key hesaplanamıyor mu? Kolay değil elbette ama, yine de...

i_r_on

  • Ziyaretçi
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #13 : 25 Nisan 2015, 00:25:04 »
Kriptoyu uygularken bir hata yapmıyorlarsa dosyanın orjinali bir işe yaramaz. RSA'nın temelinde çarpanlara bölme algoritmasının sayılar yeterince büyükse çok zor olması yatıyor. (NP complete değilmiş yine de)

Algoritma uygulanırken başta basamak sayıları aynı olan iki tane asal sayı seçiliyor. Bu asal sayıların seçimini tam olarak rastgele yapmıyorlarsa kırılabilir.

Gördüğüm kadarıyla public key'i alabilmek için bir yere hesaplanmış victim id gönderiliyor ve public key alındıktan sonra windows'un crypto store'una bu key import ediliyor. Misal RSA algoritması için kullandıkları ana asal sayıları victim id üzerinden tek yönlü bir şekilde oluşturdukları bir algoritma varsa bu kolayca kırılır. Kolayca dediğim bir araştırmacının yeterince makineden örnek alıp incelemesi ve varsa arada bağıntı yakalaması lazım.

Bu kötü işlerle uğraşan adamların tamamen kötü olduklarını düşünmüyorum. Amaç ilk çıktıktan sonra bir kaç ay, sene içinde korku yaratmak ya da voliyi vurmak.

Ama bunu örnek alıp peşinden aynı şeyleri yapanlar için tahminim o yönde değil.

Benimkisi bir tahmin sadece.

Çevrimdışı wizofwor

  • RAAT
  • Tedavideki Retromanik
  • *
  • İleti: 327
Ynt: Cryptowall 3.0 Maceram
« Yanıtla #14 : 02 Ekim 2015, 10:54:02 »
Alcofribas, her hangi bir gelişme var mı? İleride bir çaresi bulunursa diye kriptolu dosyaları saklayacağını yazmıştın.

Biraz önce şantiyeden aradılar. Bir arkadaşın bilgisayarına Türkcell faturası gibi görünen bir sayfadan virüs bulaşmış ve dosyaları şifrelemiş. Cryptolocker olduğunu söylediler. Şifreyi çözmek için 900TL civarında bir ücret istemişler. Hacker'ın nazik ruhunu incitmeden kibrarca pazarlık yapın, anlaştığınız parayı ödeyin dedim. Aksi halde arkadaşın iki üç haftalık çalışması buharlaşacak.
Gosub ile gidilen yerden goto ile dönen adam