Fidye Virüsünü Tanıyalım! Bölüm 2: Win32/Petya.A

'ReDLiNe

'ReDLiNe

Blue Team Lideri
23 Haz 2015
7,668
3,541
23
Ankara
logo.png


Merhaba değerli TürkHackTeam üyeleri. Fidye virüsü serimize kaldığımız yerden devam ediyoruz. İyi okumalar dilerim!


2010'lu yılların ortalarında ortalığı kasıp kavuran ve hala bunu yapmaya devam eden "Petya" virüsü, harddiskin MBR sektörünü şifreleyip diskinizi kullanılamaz hale getirir.

Aşağıda vereceğim VirusTotal linklerinde dosyaların nasıl bir yol izlediğini detaylıca görebilirsiniz.

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com


Enfekte olmuş dosyayı açtığımızda bilgisayar kendini yeniden başlatır ve sizi şöyle bir CHKDSK Ekranıyla karşılar.
1.png


Bu aşamada bilgisayarınızı kapatarak dosyalarınız halen kurtarabilirsiniz.
Ancak CHKDSK işlemi bittikten sonra kurtuluşunuz pek yok denilebilir.
2.png

3.png


Petya'yı incelediğimizde aslında sistemi tamamen etkisiz hale getirmek yerine sadece belirli sektörleri şifreleyip dosya sistemini bozmuş olduğunu görebiliriz.

infected_disk_fragment.png

physical_drive_create2.png

Buradan da görebileceğimiz gibi MBR sektörümüz Petya'nın boot loaderı tarafından enfekte hale gelmiş. Tabi ki ransom notumuzda burada bulunuyor :)
infected.png

petya_string.png


Aşağıdaki resim ise Petya şifreleme diyagramını göstermektedir.
flow_to_salsa.png


Konuyu fazla uzun tutmamak adına vereceğim videoda Enderman kanalı tarafından hazırlanmış Petya Ransomware atağını izleyebilirsiniz.

Bu link ise Petya Decryptor. Güvende Kalın! İyi forumlar dilerim.
github.com

GitHub - hasherezade/petya_key: A decoder for Petya victim keys, using the Janus' masterkey.

A decoder for Petya victim keys, using the Janus' masterkey. - hasherezade/petya_key
github.com github.com
 
JohnWick51

JohnWick51

Uzman üye
20 Mar 2022
1,866
770
28
'ReDLiNe' Alıntı:
logo.png


Merhaba değerli TürkHackTeam üyeleri. Fidye virüsü serimize kaldığımız yerden devam ediyoruz. İyi okumalar dilerim!


2010'lu yılların ortalarında ortalığı kasıp kavuran ve hala bunu yapmaya devam eden "Petya" virüsü, harddiskin MBR sektörünü şifreleyip diskinizi kullanılamaz hale getirir.

Aşağıda vereceğim VirusTotal linklerinde dosyaların nasıl bir yol izlediğini detaylıca görebilirsiniz.

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com


Enfekte olmuş dosyayı açtığımızda bilgisayar kendini yeniden başlatır ve sizi şöyle bir CHKDSK Ekranıyla karşılar.
1.png


Bu aşamada bilgisayarınızı kapatarak dosyalarınız halen kurtarabilirsiniz.
Ancak CHKDSK işlemi bittikten sonra kurtuluşunuz pek yok denilebilir.
2.png

3.png


Petya'yı incelediğimizde aslında sistemi tamamen etkisiz hale getirmek yerine sadece belirli sektörleri şifreleyip dosya sistemini bozmuş olduğunu görebiliriz.

infected_disk_fragment.png

physical_drive_create2.png

Buradan da görebileceğimiz gibi MBR sektörümüz Petya'nın boot loaderı tarafından enfekte hale gelmiş. Tabi ki ransom notumuzda burada bulunuyor :)
infected.png

petya_string.png


Aşağıdaki resim ise Petya şifreleme diyagramını göstermektedir.
flow_to_salsa.png


Konuyu fazla uzun tutmamak adına vereceğim videoda Enderman kanalı tarafından hazırlanmış Petya Ransomware atağını izleyebilirsiniz.

Bu link ise Petya Decryptor. Güvende Kalın! İyi forumlar dilerim.
github.com

GitHub - hasherezade/petya_key: A decoder for Petya victim keys, using the Janus' masterkey.

A decoder for Petya victim keys, using the Janus' masterkey. - hasherezade/petya_key
github.com github.com
Genişletmek için tıkla ...
Ellerine saglik
 
ES3F

ES3F

Üye
15 Mar 2022
78
60
Virüse yakalandık mı geri dönüşü yok gibi gözüküyor, çoğu kullanıcı olayı anlayana kadar dosyalarını kaybetmiş olur büyük ihtimal. Gayet açıklayıcı bir konu olmuş, emeğinize sağlık 🙂
 
'ReDLiNe

'ReDLiNe

Blue Team Lideri
23 Haz 2015
7,668
3,541
23
Ankara
ES3F' Alıntı:
Virüse yakalandık mı geri dönüşü yok gibi gözüküyor, çoğu kullanıcı olayı anlayana kadar dosyalarını kaybetmiş olur büyük ihtimal. Gayet açıklayıcı bir konu olmuş, emeğinize sağlık 🙂
Genişletmek için tıkla ...
Her şeyin bir geri dönüşü vardır yeter ki nasıl araştırılacağı bilinsin
 
GECEYARASA

GECEYARASA

Üye
4 Eyl 2022
144
89
Ottoman
'ReDLiNe' Alıntı:
logo.png


Merhaba değerli TürkHackTeam üyeleri. Fidye virüsü serimize kaldığımız yerden devam ediyoruz. İyi okumalar dilerim!


2010'lu yılların ortalarında ortalığı kasıp kavuran ve hala bunu yapmaya devam eden "Petya" virüsü, harddiskin MBR sektörünü şifreleyip diskinizi kullanılamaz hale getirir.

Aşağıda vereceğim VirusTotal linklerinde dosyaların nasıl bir yol izlediğini detaylıca görebilirsiniz.

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com


Enfekte olmuş dosyayı açtığımızda bilgisayar kendini yeniden başlatır ve sizi şöyle bir CHKDSK Ekranıyla karşılar.
1.png


Bu aşamada bilgisayarınızı kapatarak dosyalarınız halen kurtarabilirsiniz.
Ancak CHKDSK işlemi bittikten sonra kurtuluşunuz pek yok denilebilir.
2.png

3.png


Petya'yı incelediğimizde aslında sistemi tamamen etkisiz hale getirmek yerine sadece belirli sektörleri şifreleyip dosya sistemini bozmuş olduğunu görebiliriz.

infected_disk_fragment.png

physical_drive_create2.png

Buradan da görebileceğimiz gibi MBR sektörümüz Petya'nın boot loaderı tarafından enfekte hale gelmiş. Tabi ki ransom notumuzda burada bulunuyor :)
infected.png

petya_string.png


Aşağıdaki resim ise Petya şifreleme diyagramını göstermektedir.
flow_to_salsa.png


Konuyu fazla uzun tutmamak adına vereceğim videoda Enderman kanalı tarafından hazırlanmış Petya Ransomware atağını izleyebilirsiniz.

Bu link ise Petya Decryptor. Güvende Kalın! İyi forumlar dilerim.
github.com

GitHub - hasherezade/petya_key: A decoder for Petya victim keys, using the Janus' masterkey.

A decoder for Petya victim keys, using the Janus' masterkey. - hasherezade/petya_key
github.com github.com
Genişletmek için tıkla ...
eline sağlık
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.