Forum

TTNET Cryptolocker ...
 
Bildirimler
Hepsini Temizle

TTNET Cryptolocker virüsü nasıl temizlenir

117 Yazılar
43 Üyeler
0 Reactions
14.1 K Görüntüleme
(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Dün bir vakada, virüs bulaşan kişi internetten fransız bir tv kanalının canlı yayınını izlerken virüsün bulaştığını, kesinlikle farklı bir yol ve yöntemle gelmediğini söyledi. uygulamanın nasıl çalıştırıldığı hakkında bilgi yok. ama bir plug-in gibi izin istemiş olabilir. 

Buradan hareketle, 
+ Virüs hergün mailleştiğiniz bir zombi bilgisayardan gelebilir.
+ Virüs hergün ziyaret ettiğiniz bir web sayfasından gelebilir.

Korunmak için : 
+Cryptomonitor
+ Cryptoprevent gibi şifrelemeyi durduran uygulamaların yanı sıra;
Mail tarafında :
http://www.cozumpark.com/forums/thread/472471.aspx
gibi çözümleri hayata geçirebilir.

Domain ortamında;
+ Kullanıcıları user seviyesine çekebilirsiniz
+ GPO ile, geçici klasörden uygulama çalıştırmayı engelleyebilirsiniz.

 
Gönderildi : 21/09/2015 12:25

(@eroldursun)
Gönderiler: 2201
Famed Member
 

Mehmet Bey ;

+ GPO ile, geçici klasörden uygulama çalıştırmayı engelleyebilirsiniz. (Bunu açabilir misiniz policy adı nerede en azından)

çok yararlı bir işlem olabilir.

 

 
Gönderildi : 21/09/2015 16:30

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Mehmet Bey ;

+ GPO ile, geçici klasörden uygulama çalıştırmayı engelleyebilirsiniz. (Bunu açabilir misiniz policy adı nerede en azından)

çok yararlı bir işlem olabilir.

 

Temp klasöründen exe çalıştırmayı yasaklamanız yeterli. 

Software Restriction -- Path Rules yazmanız yeterli.

http://www.cozumpark.com/blogs/windows_server/archive/2008/04/28/software-restriction-policy.aspx

 
Gönderildi : 21/09/2015 16:43

(@eroldursun)
Gönderiler: 2201
Famed Member
 

C:\Users\erold\AppData\Local\Microsoft\Windows\Temporary Internet Files\FarLeft.gif

başlat çalıştıra tam link verince hata alıyorum neden acaba ?

gif dosya kısmını yazmazsam browse geliyor (dosyalar listeniyor)

i.e temp içinden *.exe çalışmasın demek için uğraşıyorum

http://www.hizliresimyukle.com/image/DTl

 
Gönderildi : 21/09/2015 19:41

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

path rule şeklinde mi yazıyorsunuz?

 

 
Gönderildi : 21/09/2015 20:26

(@eroldursun)
Gönderiler: 2201
Famed Member
 

evet path rule

2 path deneme ile de run dan çağırdığımda o hatayı veriyor.

%UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\f.png

C:\Users\erold\AppData\Local\Microsoft\Windows\Temporary Internet Files\f.png

ama bir klasör açıp oraya pathleri adres kısmına yapıştırınca sorun yok evrak açılıyor.

run kısmı tüm path neden görmüyor.

 

 
Gönderildi : 21/09/2015 21:10

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Group Policy penceresinde User configuration => Windows settings => Security Settings => Software restriction policies ==> Additional rules yolu izlenerek Software Restiriction Policy alanı ilk defa kullanılıyor ise burada fare ile sağa tıklanır ve Create New Policies seçeneği seçilir, Additional Rules alanı oluşturulur.
Additional Rules alanının üzerine gelip sağ fare tuşuna tıkladığımızda karşımıza bazı seçenekler gelmektedir. Bunlardan New Hash Rule kullanarak izin verilecek EXE uzantılı dosyaları kriptografik özeti çıkartılarak aynı isme sahip sahte dosyalarının kullanımı engellebilir..

Burada yer alan diğer bir seçenek de New Path Ruledur. Bu özellik kullanılarak belirli dizinler altında kalan veya erişim yolu belirllenen kurallı ifadeyi sağlayan EXE uzantılı dosyaların erişim hakları toplu olarak belirlenebilir...

Burada seçilen dizinin güvenlik seviyesi (Security Level) iki şekilde ayarlanabilir.

    • Unrestricted: İzin verme
    • Disallowed: İzin Vermeme

Aktif dizinin bu özellikleri kullanılarak aşağıdaki şekilde örnek bir politika oluşturulabilir.

Öncelikle sistemdeki bütün EXE uzantılı dosyalar yasaklanır. ( Path Rule: *.exe - Disallowed )

Command.exe'yi kısayol ile eklemeyi yasaklamak için PIF dosyaları yasaklanır. ( Path Rule: *.pif - Disallowed )

Son olarak işletim sisteminin ihtiyaç duyduğu sistem dosyaları ve sık kullanılan diğer EXE uzantılı dosyalar için erişim izinleri verilir. Bunlara bir kaç örnek aşağıda gösterilmiştir.

İzin verilmesi gereken exe ler

Internet Explorer: iexplore.exe

Media Player: wmplayer.exe

Standart Bazı Programlar: TextPad.exe, Notepad.exe, MsPaint.exe, Worpad.exe, print.exe, MRT.exe, Calc.exe
Standart Dışı Bazı Uygulamalar

Sıkıştırma Programları: WinRAR.exe

Microsoft Office Ürünleri: EXCEL.EXE, GRAPH.EXE, FRONTPG.EXE, MSACCESS.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE ,PPTVIEW.EXE, OIS.EXE, MSTORE.EXE, FINDER.EXE, msimn.exe (Office11 klasörüne “C:\Program Files\Microsoft Office\OFFICE11\*.EXE ” denilmelidir.Çünkü programlar içinde çalışan yardımcı exeler var)

Java: javaw.exe, java.exe , javaws.exe, Java Runtime (Java'da oturmuş bir standart yoktur. Bu sebepten şu şekilde bir uygulama yapılmalı C:\Program Files\Java\*\*\*.exe buradaki yıldızlar versiyonları ifade etmektedir.)

Bu kullanıma benzer şekilde Acrobat Reader gibi programlarda C:\Program Files\Adobe\Acrobat 9.0\ReaderAcroRd32.exe yerine C:\Program Files\Adobe\*\Reader\AcroRd32.exe kullanılabilir. Aksi durumda kurallı ifadeyi sağlayan tüm EXE uzantılı dosyaların teker teker eklenmesi gerekmektedir.

 

( Alıntıdır )

Ayrıca;

cryptolamayı yasaklayan diğer uygulamaları paylaştım :  http://www.mehmetyayla.com/cryptolocker-v2/

 
Gönderildi : 22/09/2015 16:39

(@BARISTURHAN)
Gönderiler: 1
New Member
 

 Merhabalar,

Öncelikle bilgisayarınızı iyi bir anti-virüs programı ile taratarak virüsü temizleyin.(Ben trendmicro kullandım ve bu konuda gayet başarılı bir şekilde virüsü temizledi). Akabinde tamamen ücretsiz olan shadow explorer adlı progaramı indirin ve bilgisayarınıza kurun.(tavsiyem virüsü farkettiğiniz gibi bilgisayarın ağ bağlantısını kesmeniz ve bir flash yardımıyla gerekli programları farklı bir pc ye indirerek oradan taşımanız ve cryptolocker lı pc den ayırmadan önce her seferinde flash disk i formatlayarak ayırmanızdır). Kurulumun akabinde programı açın dosyalarınız hangi diskteyse o diski seçin. Diskinizi seçtikten sonra o diske ait dosya gölgelerinizin tutulduğu tarihler hemen yandaki select box a dolacak. Oradan dönmek istediğiniz tarihi seçin ve sağ tarafa listelenen doslayara sağ tıklayıp export dediğinizde dosya(lar)nızın seçtiğiniz tarihteki haline ulaşabilirsiniz. Burada birkaç günlük kaybınız oluyor fakat hiç yoktan iyidir, değil mi ?

 
Gönderildi : 26/10/2015 20:53

(@LeventKOSE)
Gönderiler: 2
New Member
 

Arkadaşlar yaklaşık bir ayımı harcadım çözüm buldum

Virüscülerin yarı fiyatına dosyalarınızı çözebilirim

 
Gönderildi : 01/01/2016 23:31

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Arkadaşlar yaklaşık bir ayımı harcadım çözüm buldum

Virüscülerin yarı fiyatına dosyalarınızı çözebilirim

 

İnternette bedava çözümü yayınlanmış bir vaka için ücret istemekte ayrı bir olay
Neyse ; evet çözüm internette dolaşmaya başladığı için nasılsa kısa zaman içinde bu çözüm de geçersiz kalacaktır.
En azından şimdilik ulaşabildiği kadar fazla kişiye ulaşsın ve en azından şimdiki vakalar çözüm üretebilsin

 

Çözüm :  https://github.com/googulator/teslacrack

 
Gönderildi : 02/01/2016 06:12

(@m-oguzhanozkurt)
Gönderiler: 1323
Noble Member
 

Mehmet YAYLA'ya katılıyorum. Yeni versiyon yayınlanmadan bulunan çözüm yayılabildiği kadar yayılsın ve insanlar para ödemeden çözüme kavuşabilsinler, forumların amacı da bilgi paylaşımı değil mi? Ek olarak belirtmek isterim Sophos'da bu tarz saldırıları yakalama konusunda iyi. Sadece bugün yaşadığım sahte Turkcell fatura e-postası bir kaç kullanıcıma ulaştı. Uzun süredir ilk vaka, o da sadece bir kaç kullanıcıya ulaştı. Kullanıcıları bilgilendirdiğimiz için sorun yaşamadık.

Çözüm :  https://github.com/googulator/teslacrack

 
Gönderildi : 20/01/2016 01:28

(@FatihSOYDEMiR)
Gönderiler: 10
Active Member
 

Şu an itibari ile Anti Virüs çözümü üreten firmalardan 1 tanesi kripto virüsünün faaliyet göstermesini tamamen engellemeyi başarabilmektedir. gerekli incelemeyi bizzat yaptım sonuç olması gerekenden çok daha başarılı aslında hep bu güne kadar istediğimiz bir özellik ve çok başarılı.

Bir zamanlar Panda anti virüs Platinium 6.0 ve 7.0 versiyonları vardı kullananların çoğu iyi bilir normalde tanımlama olmamasına karşın birçok tehdit unsuruna müdahale ederek silip sistemin zarar görmesini engelleyebilmekteydi ve yine aynı firma kurumsal cephede  Panda Cloud Adaptive defense adı ile çıkarttığı yeni ürünü ile aynı karekteristik özellikleri sergilemek ile kalmadığı gibi kripto virüsünü % 100 engellmekte olduğu gibi diğer zararlı türlerindende zarar görmesini engelleyebilmektedir.

test etmek isteyen olursa ürünün konsolunu kurulum ayarlarını paylaşmak isterim. bireysel ürün gamında veri kalkanı ve uygulama kontrolcüsü bileşenleri ile aynı şekilde kriptoyu % 100 engelleyebilmektedir fakat ayarlara gişrip detaylandırmak gerekiyor işlemleri.

ek koruma özellikleri kapatıldıktan sonra tek gördüğüm durum anti virüs çözümü zararlıyı tanımasına karşının saniyenin neredeyse 10' da biri sürede herşey şifrelenmiş oluyor en hızlı tarama motoruna sahip olan çözümler bile 1 sn civarında süre geçince algılayabilmektedir bu süre fazlası ile yetiyor zararlının aktif olması için.

 

 

 
Gönderildi : 12/02/2016 23:17

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Bana çok inandırıcı gelmedi, çünkü sürekli olarak karakter değiştiren bir atak için %100 koruma iddiası normal değil.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 13/02/2016 11:42

(@FatihSOYDEMiR)
Gönderiler: 10
Active Member
 

Bana çok inandırıcı gelmedi, çünkü sürekli olarak karakter değiştiren bir atak için %100 koruma iddiası normal değil.

Hakan bey yazılımı denemeden  bence böyle demeniz yanlış çünkü şu ana kadar hiç bir yazılımda olmadı ve olmayacak bir güvenlik katmanına sahip. demosunu mutlaka deneyip test etmenizi tavsiye ederim ayrıca özelliklen kripto virüsünün bu antivirüs ayarları yapılmış vaziyetteyken sisteme bulaştırmanızdır çünkü virüsü bulaştırsanız dahi hiç bir aktivitede bulunamamaktadır.

hatta bu kripto yada başka türevdeki zararlıları engellem garantisi verebilecek bir tane yazılım yok şuanda alternatif. var ise antivirüs açıkken kripto virüsünün dosyasının açılmasını ve sonucun paylaşılmasını talep ederim.

 
Gönderildi : 14/02/2016 03:02

(@m-oguzhanozkurt)
Gönderiler: 1323
Noble Member
 

Hiç bir konuda güvenlik %100 denemez diye düşünüyorum. Çok iddialı bir post olmuş. En basit yöntem ile düşünmek gerekirse sürekli imza değiştiren, sürekli karakter değiştiren bir virüsü %100 koruma ile sunacak bir firma vardır. O firma da virüsü üretip piyasaya sunmadan önce kendi virüs databaselerine imzayı yerleştirerek bu oranı verebilir ki başka bir firmaya ait benzer bir virüsü de %100 yakalaması bana çok zor bir ihtimal geliyor. Bu konuda Hakan hocama katılıyorum.

 
Gönderildi : 15/02/2016 11:49

(@FatihSOYDEMiR)
Gönderiler: 10
Active Member
 

dediğinizde sonuna kadar haklısınız ve kesinlikle yadırgamıyorum sebebine gelince ben zaten neredeyse 4 senedir sürekli kaspersky ürünü öneren ve satan biriyim ama şu karekterinin ne olduğu belirsiz kripto virüsü çıktı çıkalı kabus oldu resmen herkez için pandanın yazılımlarında zaten bu 4 senelik süreçte ki en büyük şikayet genel olarak güncelleme ve teknik destek olmuştu. kaspersky' ın bir kaç dakika içinde yeni bir virüs tespit edildiğine dair bilgi verdiğimizde hemen bulut sisteme ekleyip anti virüsün temizleyebilmesini sağlamasına karşın panda çok geç eklemek ile kalmayıp saçma bahaneler ile oyalama yoluna gitmesini halen unutmuş değilim.

 bu bahsettiğim kurumsal ürünü ilk yolladıklarında gene klasik yazılım demiştim sizler gibi ve az kurcaladım kafasına göre takılıyor diye düşünmüştüm ama kullanırken müşterimin birisi kendisine gelen maili bana yolladı kripto virüsü vardı ve sırf panda firmasına her ne kadar güvenmesemde 1 şans vermek istedim ve içinde dökümanlarımın olduğu diskimin yedeğini aldıktan sonra virüsü indirdim ve çalıştırdım hiç bir uyarı penceresi açılmadı dosyalardada bozulma olmadı 1 sat boyunca kapatmadan kullandım sistemi. daha sonra pandanın bahsettiği koruma özelliğini devre dışı bırakıp tekrar virüsü indirdiğimde bütün evraklarımın gittiğini gördüm ve antivirüs bu meneti tanıdığı halde bozuldu dosyalar.

bunun dışında unlocker yazılımını kurmayı denediğim içeriğinde kurulurken search bar ve baybalon toolbar beraberinde kuruluyor olmasına karşın toolbarları hiç kurdurmadan sadece unlocker yazılımın kurulmuş olması da beni çok şaşırttı sadece engelleme değilim kurulum esnasındaki işlemleri ayırt edebilmesi rastlanan bir durum değil.

bu yazılımı özelliklen denemenizi istiyorum sadece birisi var demişti yada sizler imkansız dediniz kalsın uğraşılmaz demek istemiyorum. 

 
Gönderildi : 15/02/2016 13:51

(@FatihSOYDEMiR)
Gönderiler: 10
Active Member
 

 

 

bütün bu korumayı sağlayan kısım burası bu özellik açıkken kripto ve türevleri faaliyette bulunamıyor çalıştırılsa dahi. 3 farklı seçeneği mevcut.

 

 

 

buradan bu koruma özelliğinin dışında bırakılacak klasör ya da dosyalar ayarlanabiliyor.

 

 

Buradan network data transferini limitleyebilmekteyiz yazılımın.

 

 

 

 

buradan virüslü içeriğe ait tam detaylı raporlama özelliği açılıyor aynı zamanda bu yazılım gerçek zamanlı olarak sistemdeki yabancı dosyaların pandanın sunucuları tarafından incelenmesinide sağlamaktadır. bu özellik devre dışı olduğunda tanımlaması içinde olmasına karşın diğer anti virüs çözümlerindeki gibi kriptoyu engelleyememektedir. zanlı olarak demosu kullanıldığında daha iyi anlaşılabilir koruma başarısı. mantık olarak yaptıkları aslında Mehmet YAYLA beyin dediklerine benziyor virüsü engelleme noktasında.

 
Gönderildi : 15/02/2016 14:17

(@resulsoydas)
Gönderiler: 1658
Noble Member
 

Arabirimi Panda Endpoint Protection'a çok benziyor. Rengini farklı yapmışlar.

 
Gönderildi : 15/02/2016 14:38

(@FatihSOYDEMiR)
Gönderiler: 10
Active Member
 

evet zaten tabanı aynı 1 kademe ileri taşınmış sürümü ama bu kademenin daha çok yapacağı iş olacak gibime geliyor. şu anda henüz 1 tane bile vakaya denk gelmedik Türkiyede ama Bombertic denen kriptodanda sıkıntılı bir virüs türevi var o virüs tam anlamıyla bir baş belası lock mod açıkken ihtimal vermiyorum sisteme musallat olabilmesine eğer tüm ayarları düzgün yapılmışsa yazılımın ama ayarları yapılandırılmamış ve bu özellik kapalı ise hiç bir korunma söz konusu değil varsayılan olarak kapalı gelen bir özellik zaten defensive sürümlerinde konsoldan etkin hale getirilmesi gerekiyor.

 
Gönderildi : 15/02/2016 17:54

Sayfa 3 / 7
Paylaş: