TTNET Cryptolocker virüsü nasıl temizlenir

Peki deneyip görelim reklamdan öteye geçebilecek mi.

dediğinizde sonuna kadar haklısınız ve kesinlikle yadırgamıyorum sebebine gelince ben zaten neredeyse 4 senedir sürekli kaspersky ürünü öneren ve satan biriyim ama şu karekterinin ne olduğu belirsiz kripto virüsü çıktı çıkalı kabus oldu resmen herkez için pandanın yazılımlarında zaten bu 4 senelik süreçte ki en büyük şikayet genel olarak güncelleme ve teknik destek olmuştu. kaspersky' ın bir kaç dakika içinde yeni bir virüs tespit edildiğine dair bilgi verdiğimizde hemen bulut sisteme ekleyip anti virüsün temizleyebilmesini sağlamasına karşın panda çok geç eklemek ile kalmayıp saçma bahaneler ile oyalama yoluna gitmesini halen unutmuş değilim.

 bu bahsettiğim kurumsal ürünü ilk yolladıklarında gene klasik yazılım demiştim sizler gibi ve az kurcaladım kafasına göre takılıyor diye düşünmüştüm ama kullanırken müşterimin birisi kendisine gelen maili bana yolladı kripto virüsü vardı ve sırf panda firmasına her ne kadar güvenmesemde 1 şans vermek istedim ve içinde dökümanlarımın olduğu diskimin yedeğini aldıktan sonra virüsü indirdim ve çalıştırdım hiç bir uyarı penceresi açılmadı dosyalardada bozulma olmadı 1 sat boyunca kapatmadan kullandım sistemi. daha sonra pandanın bahsettiği koruma özelliğini devre dışı bırakıp tekrar virüsü indirdiğimde bütün evraklarımın gittiğini gördüm ve antivirüs bu meneti tanıdığı halde bozuldu dosyalar.

bunun dışında unlocker yazılımını kurmayı denediğim içeriğinde kurulurken search bar ve baybalon toolbar beraberinde kuruluyor olmasına karşın toolbarları hiç kurdurmadan sadece unlocker yazılımın kurulmuş olması da beni çok şaşırttı sadece engelleme değilim kurulum esnasındaki işlemleri ayırt edebilmesi rastlanan bir durum değil.

bu yazılımı özelliklen denemenizi istiyorum sadece birisi var demişti yada sizler imkansız dediniz kalsın uğraşılmaz demek istemiyorum. 

Demo talep ettim ama link gelmedi.
İndirme linkini ulaştırabilir misiniz ?

Cloud tabanlı bir ürün olduğundan download yapılmıyor.Aşağıdaki adresten Request Demo linkini tıklayın. Açılan Formu doldurun. Verdiğiniz mail adresine gelecek linkler ile ürünü kullanmaya başlayabilirsiniz.

http://www.pandasecurity.com/enterprise/solutions/advanced-threat-protection/

Mehmet bey gerekli lisans bilgilerl mailinize gonderdim. İnceleme sonrası burada görüşlerinizi paylaşırsanız memnun olacağım

ne oldu bu iş Mehmet hocam sana link geldi mi?

ne oldu bu iş Mehmet hocam sana link geldi mi?

Link geldi, kurulumu tamamladım. Yalnız sadece Locky Locker'da test etme şansım oldu ve yazılım maalesef başarılı olamadı.
Bu başarısızlığı Locky'nin karekteristiğine verdim, zira Locky Locker office makrosu gibi çalışıyor. Yani doğal olarak yazılım makroyu herhangi bir şekilde devre dışı bırakmıyor. Belki de doğru olarak.

Diğer kripto kilit uygulamalarını deneyemedim, zira örnekler artık geçersiz. İlk fırsatta konuyla alakalı değerlendirmemi buraya yazacağım

ne oldu bu iş Mehmet hocam sana link geldi mi?

 

Link geldi, kurulumu tamamladım. Yalnız sadece Locky Locker'da test etme şansım oldu ve yazılım maalesef başarılı olamadı.
Bu başarısızlığı Locky'nin karekteristiğine verdim, zira Locky Locker office makrosu gibi çalışıyor. Yani doğal olarak yazılım makroyu herhangi bir şekilde devre dışı bırakmıyor. Belki de doğru olarak.

Diğer kripto kilit uygulamalarını deneyemedim, zira örnekler artık geçersiz. İlk fırsatta konuyla alakalı değerlendirmemi buraya yazacağım

Selam,

Office dosyasinin icinde calisan macro internetten dosyalari indirmektedir. Ekstra bir sey yapmiyor:)

Merhaba,

AV üreticileri bu konuda yapması gereken şey anomaly detection ve file integrity monitoring ( FIM ) 'tür. bunu düzgün yapsalar sıfır gün korumasını zaten sağlamış olaacaklar. AV seviyesinde FIM 'i sağlıklı yapan benim bildiğim kadarı ile Trend Micro var şuan sadece.

Decryption algoritması geliştirmek hem çok vakit alıcı bir iş, hemde karşı taraf tarafından çok hızlı ve kolay değiştirilebilecek bir şifreleme.

Önümüzdeki birkaç yıl daha bu konu ciddi gündemde kalmaya devam edecektir, diğer AV üreticileride anormaly deteciton ve fim yapana kadar fidyeciler kazanmaya devam edecektir.

en kötüsü geliştirilecek türevlerden bir tanesi tüm local network'ü tarayarak tüm local network'e saldırabilir. Şuandaki türevlerden bir tanesi bulaştığı makinadaki adreslere de mail gönderme yeteneği eklenmiş durumda.

Son kullanıcılara yapılan bildirimlerinde çok etkili olmadığını görüyoruz, alınabilecek en iyi önlem düzenli backup 'tır.

kolay gelsin,

yB

Bende bu konuda TM nin tek olduğunu biliyorum ama arkadaşlar %100 koruyor diyince bunu kanıtlamak gerekli diye düşündüm ama Mehmet i bekliyoruz bu konuda, ben şahsen Mehmet in bu konudaki tecrübelerine çok güveniyorum ki zaten bilgisi, tecrübeleri paylaştıkları ortada. Ondan sonra zaten gerekir ise %100 koyoru şeklinde olan postu sileceğim çünkü bariz reklam kokan bir hareket.

Bu sektördeki herkes bilir zaten. Bilgisayarınız kapalıysa % 100 korumadasınız demektir.

Bu virüsün neden olduğu zararlar ve alınacak önlemler daha önce anlatıldı ve tartışıldı. Bana göre önerilenler arasında en çok işe yarayan yöntem, içerik filtreleme üzerinde kategori edilmemiş web sitelerini engellemek, kullanıcılardan gelen geri bildirimlere göre de istenen web siteleri açmak.

Bunun haricinde de düzenli yedeklemeleri almak yeterli bence.

Bu kadar değişken bir tehdidi nasıl önlerizi tartışmak yersiz. Daha önemli olanı bulaşan virüs nasıl temizlenir. Zaten bu post bunun için.

Bu sektördeki herkes bilir zaten. Bilgisayarınız kapalıysa % 100 korumadasınız demektir. 

Emrah hocamın postundaki bir cümleyi özellikle alıntılamak istedim.
Evet %100 koruma sözkonusu olamaz. 
Panda için de öyle, diğer iddialı yazılımlar içinde... birçok varyantta test etmek için özellikle bekledim.

Sadece şunu söylemek isterim ki; %100 koruma çok iddialı bir söz olur. Yani ben kurumuma bu ürünü alsam %100 güvenemem, diğer iddialı ürünlere de öyle. Benim için %100 güvenlik sağlıklı ve ve güncel yedektir.
konu tamamen insanların ticareti ve ekmek parası olduğu için daha fazla detay vermem ama isteyenler hangi ürünün ne derece başarılı olup/ne derece olmadığı hakkında maille, özel mesajla bana ulaşabilirler. 

Mehmet, panda yı denedin mi, en azından başkaları paylaşmış fikrini, sende açıktan bence paylaşabilirsin

Mehmet, panda yı denedin mi, en azından başkaları paylaşmış fikrini, sende açıktan bence paylaşabilirsin

Panda %100 koruma sağlamıyor. 
Şüphesiz etkili olduğu varyantlar var ama tüm varyantlarda etkili olduğunu iddia etmek abartı ve yanlış olur.
%100 koruma sağlamadığını zaten kendisi de yazmış. Ve iyi bir yedekleme önermiş. 

http://www.pandasecurity.com/mediacenter/malware/cryptolocker-evolution/

http://www.pandasecurity.com/mediacenter/security/stop-cryptolocker-accessing-information/

http://www.pandasecurity.com/mediacenter/malware/cryptolocker-locky-how-it-works/

Teşekkürler

Mehmet bey Mrhaba;

Gölge kopyalarını nasıl getiririm acaba

Merhaba,

bu programı kullanabilirsiniz ama yeni bulaştı ise zaten gölge kopyalarıda silmiştir

http://www.shadowexplorer.com/

bugün itibari ile daha değişik 2 yeni varyant ile karşılaştım temizlemesi çok kolay fakat fatura mailindeki gibi bulaşmıyor bu yeni varyantın 1 tanesi video izlerken tak diye geldi gerçi reklam içeriğindende gelmiş olabilir sitedeki dosya uzantısını değiştirip bozmuyor tüm herşey normal gibi görünsede 4096 bit aes şifreleme yapıyor. şifreli 1 dosyayı ücretsiz çözme sayfasından dosyayı açtırmaya kalkınca 400 kb' lık word dosyasının çözülmesi 45 dakika sürdü bu arada. bir diğer varyant ise şifre çözme talimatı yada benzeri bir dosyası yok sistemde direk kriptoluyor her dosyanın uzantısı farklı ve her dosya rasgele şifreleniyor tek düzen bir argoritmaya sahip değil. Office 365 ,one drive, yandex disk, gmail drive  çözümlerindede senkron çalışmayın bulutta var olan herşeyi kriptoluyor. ben bile bilmiyordum böyle bir zafiyetimden faydalanacağını virüsü sistemimdeki hiç bir dosyaya müdahalede bulunmadı veri kalkanı açıktı ama one drive içinde ne var ne yok tamamen uçurdu hepsi kriptolanmış durumda.artık kabus oldu diyebiliriz yedekleme esnasında backup ünitesi sisteme bağlanmadan önce ağ bağlantısını kesmek en mantıklısı gibi işlem bitene kadar.

olaya sadece ttnet yada turkcell faturası sorunu olarak bakmamakta fayda var ve yedeklemelerin çok sık yapılması önem kazandı artık.

Yeni bir varyant daha çıktı microsoft işletim sistemlerinde var olan uzak masaüstündeki güvenlik açığından faydalanarak yayılıyor. rdp portunu başka port üzerinden yönlendirerek kullanmak geçici bir çözüm ama kesin çözüm demek imkansızdır.

dosya uzantılar " Hizmet [email protected] " şeklini almaktadır dikkat edin çok gerekli değil ise geçici olarak rdp' yi kapatmak en kesin çözüm.

29.03.2016 itibarı ile,
Türkiye'de görülen varyantlardan;
TeslaCrypt 2.0 çözüldü : 
http://www.cozumpark.com/blogs/gvenlik/archive/2016/01/17/teslacrypt-sifrelenmis-dosyalarin-cozum-islemleri.aspx
Tesla 3 çözümsüz : ( xxx,ttt,mp3,micro)
Tesla 4 çözümsüz : ( dosya uzantısı değişmiyor )

Torlocker v1 çözüldü : ( encypted) 
http://blog.zemana.com/2014/03/FatmalDecrypter.html
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
Torlocker v2-v3 çözüldü : yurtdışı kaynaklı bir firma - ücrete mukabil

Cryptowall 3-4 : çözümsüz ( dosya uzantıları ve isimleri değişiyor )
Locky : Çözümsüz
Xtbl : Çözümsüz

Nemucod ( crypted ) : çözüldü
http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/

Umbercrypt, HydraCrypt : Çözüldü
http://emsi.at/DecryptHydraCrypt

Sonuç: belki tamamı olmasa da, birçok varyant gelecekte çözülecektir. dosyaların mutlaka yedeklenip saklanmasını tavsiye ederim