İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Son zamanların En tehlikeli Virüslerinden Cryptolocker Hakkında araştırma /ReDLiNe

15-04-2017 21:48
#1
ReDLiNe TR - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
03/2017
Nereden:
Ankara
Yaş:
18
Mesajlar:
355
Teşekkür (Etti):
168
Teşekkür (Aldı):
120
Konular:
37
Ticaret:
(0) %
Kullanıcıların cihazlarındaki dosyaları şifreleyerek para karşılığında tekrar kullanıma açan Ransomware ve CryptoLocker isimli zararlı yazılımları içeren sahte e-faturalarla, şirketlere yönelik yoğun bir siber saldırılar başladı.

Son zamanlarda bu siber saldırıdan bilinçsiz şirket çalışanları sebebi ile büyük zararlar görülüyor. Bağlı oldukları şirketin bilgisayarında Word, Excel ve fotoğraf gibi dosyalarını şifrelemesi şirketler için içinden çıkılmaz bir hale getirdi.

Kötü niyetli kişiler tarafından gönderilen sahte e-postaların ekinde bulunan sahte faturalarla kandırılan kullanıcılar, faturayı açtıklarında bilgisayarlarına Ransomware veya CryptoLocker adı verilen zararlılar ile fidye yazılımı bulaşıyor.

Bahsi geçen saldırı ilk olarak kullanıcıların cihazlarını ve dosyalarını şifreliyor ve kullanıcı doğrudan ekrandaki mesaja yönlendiriliyor. Ya da şirketlerin ana sistemlerine Server’larına kötü niyetli hackerlar erişim sağlayarak dosyalarınızı şifreliyor.

Ne yapabilirsiniz?

Mevcut saldırıdan korunmanın en kolay yolu, kaynağından emin olmadan bu gibi sahte e-postaların içindeki sahte faturaları açmamak.
Kullanıcılara e-faturanın zip formatında veya exe formatında olmayacağını öğretmek!
Tüm çalışanların bu tarz e-postalara karşı bilinçlendirilmek gerek!.
İyi bir Internet Security yazılımı ile bilgisayarlarını koruma altına almak.
Turk Telekom, TTNet, Turkcell fatura gibi başlıklarla gelen e-postalara uzun bir süre itibar etmemek gerek!
Ayrıca şirketlerin IT yöneticileri aşağıdaki gibi bazı önlemler alabilirler…
IT Tarafında…

MS Office type files (makro içerenler)
Packed executable files (UPX, FSG)
Uzaktan erişim portunu değiştirmek (mümkünse büyük bir port numarası kullanmak amaç zorlaştırmak)
Uzaktan erişen kullanıcılara kısıtlı hesaplar ve güçlü şifreler vermek
Gerek yoksa, sunucuyu uzaktan erişime kapatmak
TOR sistemini bloke etmek.
Administrator hesaplarını devre dışı bırakmak
Standart kullanıcılara güçlü şifreler oluşturmak
Zararlının indirildiği alan adlarını tespit edip, şirket içinde girişini bloke etmek
Email sistemlerinde AntiSpam ürünleri kullanmak.
Internet Security yazılımlarını güncel tutmak
Önemli verilerinizin günlük olarak yedeğini almak (En azından 30 günlük geriye dönülebilecek yedekleme)
Yatırım yapabilecek durumdaysanız iyi bir uzmandan destek almak ve sistemi güçlendirmek

Bir kullanıcı eğer bilinçsiz ve bu konuda eğitilmemişse maalesef ki bu tuzağa düşüp, birkaç saniye içerisinde bilgisayarındaki tüm belgelerin şifrelenip, tuzağa düşmesine sebep olabiliyor.

Ya da uzaktan erişime açık bir Server üzerinde verileriniz varsa ve şifreleriniz 123456 gibi basit şifrelerse bu duruma düşmeniz olası bir durum!

Düne kadar birçok antivirüs yazılımı bu virüsü yakalayamıyordu. Bugün ise birçoğu önlem alarak, bu virüsü analiz etmeye başladı…

Bu virüsü oluşturan kişi ya da kişiler antivirüsleri atlatmakta bayağı başarılı iş yapmışlar. İlk zamanlar bir antivirüs yazılımı hariç hiçbir AV üreticisi yazılımı tanımlayamıyordu. Doğal olarak da bilgisayarına indiren ve virüsü çalıştıran kullanıcıların karşılarına bir uyarı çıkmıyordu.

Saldırı, birçok şirketin başına bela oldu! Karşılığında da binlerce lira para ödemek zorunda kaldılar.

İşin güzel tarafı Zemana firmasının AntiLogger yazılımı bu virüsü kullandığı “code injection” işlemi, sayesinde fark ederek şifreleme işlemine başlamadan durdurabiliyordu.

Söz konusu zararlı, daha önce de başımıza bela olmuştu. İlk versiyonunda olduğu gibi dosyaları AES ile, anahtarı da RSA ile şifreliyordu. Dosyalarınızın adı hamza.şifreli şekline geliyor ve kullanılamıyordu.

Boşuna şifre kırmak gibi bir arayışa girmeyin 10 sene uğraşmanız lazım!

Şimdiki versiyonunda ise yine aynı şekilde dosyaları AES ile, anahtarını da RSA ile şifreliyor. Farkı ise biraz daha geliştirilmiş ve dosya uzandıları “.encrypted” haline geliyor.

Bu saldırıya maruz kalanların karşısına 1.245BTC (Bitcoin) ödemezlerse (yaklaşık bin liradan fazla) dosyalarının geri döndürülemeyeceği mesajı çıkıyor.

Kriptolanmış dosyalarınızı sistem geri yükleme ile geri getirmemeniz için virüs, aynı zamanda sistem geri yükleme dosyalarını da siliyor! Kısacası sistemi geri yüklemeye çalışmak başarısız olacaktır. Ancak kullanıcılara bulaşan versiyonda…

1. Virüsün bulaştığı sistemde işletim sisteminizin “Shadow Copies” özelliği aktifse ve sisteme giriş yaptığınız kullanıcı sınırlı yetkiye sahipse, sistemdeki yedeklerin orjinal versiyonlarına ulaşmanız mümkün!

Bundan sonra, yazılım size önceki versiyon sistem geri yükleme dosyalarını çıkartarak, arayüzü içerisinden dosyalarınızı geri alma işlemi sağlayabiliyor. Tabi ki Login olduğunuz sistemde yönetici haklarınız olmaması gerekli. Eğer yönetici hesabına sahipken virüs bulaştıysa geri dönüş olmayabilir!

Zararlı yazılım, kısıtlı hesaplarla giriş yapıldığı zaman, dosyalarınızı şifrelemesine rağmen, geri yükleme noktalarını (kullanıcı yetkisi olmadığı için) silemeyeceği için, yönetici hesabından giriş yaparak şifrelenmiş dosyalarınızı kurtarma imkanı var.

2. Zararlı yazılım, MoveFile fonksiyonu kullanarak dosya uzantılarını değiştirdiği ve şifrelediği için, (aslında orjinalini silmiyor) dosya kurtarma yazılımları hiçbir işe yaramayacaktır. Ancak geri yükleme noktalarını sildiği için, dosya kurtarma yazılımlarından ShadowExplorer veya benzeri yazılımları ile kurtarmanız mümkün! Sonrasında sistemi geri yüklemek yeterli olabilir.

3. Veri kurtarma ve Adli bilişim firmaları önemli dosyalarınızı kurtarabilir. Zahmetli, ücretli ve birazcık da uzun süren bu işlemi son kullanıcı yapamaz. Ancak adli bilişim veya veri kurtarma firmaları bu noktada başarılı işler çıkartabiliyor. Fiyatları mı? Birazcık pahalı… Bu noktada fidye ödemeyi tercih edenler bile çıkabilir?

erver tarafında benzer yolla veya bir açıklık kullanarak saldırganın datalarınızı şifrelemesinde ise şimdilik bir çözüm yok. Sisteme sızma şeklinin genelde uzak erişime açık sunucularda basit şifre kullanılması uzmanlar tarafından öne sürülürken, bazı uzmanlar da 0 day exploit kullandığını söylemekte…

Her iki şekilde de sisteminize sızan kötü niyetli hacker maalesef ki dosyalarınızı şifreliyor.

Fidye ödemeli miyim?

İşte bu sorunun cevabı çok karışık bence ilk yapacağınız iş sisteme hiç dokunmadan, bir uzmana danışın. Sonrasında bir maliyet analizi yapın! Her halükarda cebinizin yanacağı kesin! Bu sebeple güçlü şifreler oluşturup, sisteminizi sürekli yedeklemenizi tavsiye ederim.

konu alıntıdır
kaynak https://www.teakolik.com/dosyalarini...lockera-cozum/
Konu ReDLiNe TR tarafından (15-04-2017 21:53 Saat 21:53 ) değiştirilmiştir.
SiyahKodcu Teşekkür etti.

15-04-2017 21:51
#2
Bykurabiye - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
Tanrı Dağı
Yaş:
15
Mesajlar:
2.506
Teşekkür (Etti):
343
Teşekkür (Aldı):
259
Konular:
153
Ticaret:
(0) %
Güzel bilgilendirici bir konu olmus eline sağlık.
Kullanıcı İmzası
Birazcık Yukarıya Bak.

Bir şey her şey için, her şey bir şey için vardır.
J. W. Von GOETHE
ReDLiNe TR Teşekkür etti.
15-04-2017 21:52
#3
piyanci42 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2015
Nereden:
Atmosfer
Mesajlar:
1.445
Teşekkür (Etti):
34
Teşekkür (Aldı):
202
Konular:
70
Ticaret:
(0) %
bi ara kanalımda videoda bahsetmstm muhtsem bi virus
Kullanıcı İmzası
Geographic Information Systems (GIS)
and Remote Sensing
ARCGİS-SKETCH UP

Ne Mutlu Türküm Diyene !
15-04-2017 21:53
#4
WolfBacktrack6 - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
01/2017
Mesajlar:
518
Teşekkür (Etti):
13
Teşekkür (Aldı):
82
Konular:
57
Ticaret:
(0) %
Ben bunun eskiden remover programini yazmistim ama sonra bu program herkese acik oldugunda adam almis calisma mantigini cozmus gecmjs ne gunkerdi ah ah aklima geldi simdi

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı