Merhaba THT ailesi bugün sizler ile Teslacrypt nedir ona bakıcaz
Teslacrypt bir fidye virüsüdür ilk başlarda oyun dosyaların sifreleyerek oyun pazarını etikledi şifrelediyi bazı oyunlar call of duty, Minecraft daha sonradan PDF jpeg vs. İçin verisyonlari çıktı
Teslacrypt nasıl bulaşır?
•Her fidye virüsünde oldu gibi buda sosyal mühendislik yolu ile bulaşır bunla sınır değil
• bir link gelir basarsın normal web sitesi gibi karşına çıkar ama o web site içinde Teslacrypt vardır ve girdinizde siteye sizin cihazınıza yüklenir
Teslacrypt yapdıkları yapamıyacakları
✓ sistemde çalışan özel servisleri durdurabilir ayrıca root yetkisi ve yönetici yetkisi oda var ise yapabilir
Ör:Windefend,BİTS,WerSvc,ERSvc vs.
✓ Ağ sürücüsü olarak tanımlanan diskdeki verileri şifreyele bilir.
✓ Windows hata kurtarma ekranlarını devre dışı bıraka bilir (deaktif)
ör:
bcdedit /set {default} recoveryenabled NoTeslacrypt bir fidye virüsüdür ilk başlarda oyun dosyaların sifreleyerek oyun pazarını etikledi şifrelediyi bazı oyunlar call of duty, Minecraft daha sonradan PDF jpeg vs. İçin verisyonlari çıktı
Teslacrypt nasıl bulaşır?
•Her fidye virüsünde oldu gibi buda sosyal mühendislik yolu ile bulaşır bunla sınır değil
• bir link gelir basarsın normal web sitesi gibi karşına çıkar ama o web site içinde Teslacrypt vardır ve girdinizde siteye sizin cihazınıza yüklenir
Teslacrypt yapdıkları yapamıyacakları
✓ sistemde çalışan özel servisleri durdurabilir ayrıca root yetkisi ve yönetici yetkisi oda var ise yapabilir
Ör:Windefend,BİTS,WerSvc,ERSvc vs.
✓ Ağ sürücüsü olarak tanımlanan diskdeki verileri şifreyele bilir.
✓ Windows hata kurtarma ekranlarını devre dışı bıraka bilir (deaktif)
ör:
bcdedit /set {default} bootstatuspolicy
✓ Geri yüklem noktalarını gölge kopyalarını şile bilir eğer yönetici seviyesindeydi
Teslacrypt yapamadıkları.
Kendini Lockbite oldu gibi kopyalayamaz ve ağdaki cihazlara bulaşamaz , yazılım başladıktan sonra yazılım tekrar başlamaz sadece 1 defa başlar
Çalışma süreci :
phishing ile bir mail gelir örnek bu mail
yukarda sahte bir mail görüyorsunuz yukarda "Adres değişikliği form indir" yazan yer Teslacrypt oldu link bastı an iner başlar ve AES-256 şifrelemeye başlar verileri büyük şirket ve kurumları taklit ederler
Bu mailde oldu gibi türkcelli taklit ediyor
şimdi kurban yuttu bunu ve yükledi AES-256 işini hallettikten sonra bu ekran görüntüsü çıkar(Not:farklı versiyonlarında farklı ara yüzler)
Not:bu Teslacrypt olarak sayın
Teslacrypt hedefledi dosya uzantıları
Şifreleme başladığında işlemci,ram ve sistemin teknik bilgileri alınır ve saldırgana gider
uzak sunucu olan C&C ile istemci arasındaki bilgiler şifreli gider şifreli gelir
o kadar anlattık peki bunu nasıl kaldıracak?
+ Şimdi okuyan diyeceki bilinçli olurum yeter hayır yetmez virüsü yesen bile englleye bilirsiniz
+ İstemci tarafından şifrelemeyi durduracak Cryptomonitor, CryptoPrevent vs
+ İnternetten dosya indirmeyi yasaklaya bilirsiniz yani denetleye bilirsiniz
+ sunucu servislerimiz +koruyabilirsiniz
internete ilan erişiminiz korumak
+ Ve GPO ile zararlı yazılımlarını çalışmasını önlemek için uygulama çalıştırma izinlerini kapatıp yasaklaya bilirsiniz
yasaklamanın gerek klasörler
%Temp%
C:\<random>\<random>.exe
%AppData%
%LocalAppData%
%ProgramData%
bu klasörleri uygulama çalıştırma izinlerini engelleyin
Bugünkü konumun sonuna gelmiş bulunmaktayız
iyi forumlar...
Teslacrypt yapamadıkları.
Kendini Lockbite oldu gibi kopyalayamaz ve ağdaki cihazlara bulaşamaz , yazılım başladıktan sonra yazılım tekrar başlamaz sadece 1 defa başlar
Çalışma süreci :
phishing ile bir mail gelir örnek bu mail
yukarda sahte bir mail görüyorsunuz yukarda "Adres değişikliği form indir" yazan yer Teslacrypt oldu link bastı an iner başlar ve AES-256 şifrelemeye başlar verileri büyük şirket ve kurumları taklit ederler
Bu mailde oldu gibi türkcelli taklit ediyor
şimdi kurban yuttu bunu ve yükledi AES-256 işini hallettikten sonra bu ekran görüntüsü çıkar(Not:farklı versiyonlarında farklı ara yüzler)
Not:bu Teslacrypt olarak sayın
Teslacrypt hedefledi dosya uzantıları
Şifreleme başladığında işlemci,ram ve sistemin teknik bilgileri alınır ve saldırgana gider
uzak sunucu olan C&C ile istemci arasındaki bilgiler şifreli gider şifreli gelir
o kadar anlattık peki bunu nasıl kaldıracak?
+ Şimdi okuyan diyeceki bilinçli olurum yeter hayır yetmez virüsü yesen bile englleye bilirsiniz
+ İstemci tarafından şifrelemeyi durduracak Cryptomonitor, CryptoPrevent vs
+ İnternetten dosya indirmeyi yasaklaya bilirsiniz yani denetleye bilirsiniz
+ sunucu servislerimiz +koruyabilirsiniz
internete ilan erişiminiz korumak
+ Ve GPO ile zararlı yazılımlarını çalışmasını önlemek için uygulama çalıştırma izinlerini kapatıp yasaklaya bilirsiniz
yasaklamanın gerek klasörler
%Temp%
C:\<random>\<random>.exe
%AppData%
%LocalAppData%
%ProgramData%
bu klasörleri uygulama çalıştırma izinlerini engelleyin
Bugünkü konumun sonuna gelmiş bulunmaktayız
iyi forumlar...