TTNET Cryptolocker virüsü nasıl temizlenir

Mehmet bey gerekli lisans bilgilerl mailinize gonderdim. İnceleme sonrası burada görüşlerinizi paylaşırsanız memnun olacağım

ne oldu bu iş Mehmet hocam sana link geldi mi?

ne oldu bu iş Mehmet hocam sana link geldi mi?

Link geldi, kurulumu tamamladım. Yalnız sadece Locky Locker'da test etme şansım oldu ve yazılım maalesef başarılı olamadı.
Bu başarısızlığı Locky'nin karekteristiğine verdim, zira Locky Locker office makrosu gibi çalışıyor. Yani doğal olarak yazılım makroyu herhangi bir şekilde devre dışı bırakmıyor. Belki de doğru olarak.

Diğer kripto kilit uygulamalarını deneyemedim, zira örnekler artık geçersiz. İlk fırsatta konuyla alakalı değerlendirmemi buraya yazacağım

ne oldu bu iş Mehmet hocam sana link geldi mi?

 

Link geldi, kurulumu tamamladım. Yalnız sadece Locky Locker'da test etme şansım oldu ve yazılım maalesef başarılı olamadı.
Bu başarısızlığı Locky'nin karekteristiğine verdim, zira Locky Locker office makrosu gibi çalışıyor. Yani doğal olarak yazılım makroyu herhangi bir şekilde devre dışı bırakmıyor. Belki de doğru olarak.

Diğer kripto kilit uygulamalarını deneyemedim, zira örnekler artık geçersiz. İlk fırsatta konuyla alakalı değerlendirmemi buraya yazacağım

Selam,

Office dosyasinin icinde calisan macro internetten dosyalari indirmektedir. Ekstra bir sey yapmiyor:)

Merhaba,

AV üreticileri bu konuda yapması gereken şey anomaly detection ve file integrity monitoring ( FIM ) 'tür. bunu düzgün yapsalar sıfır gün korumasını zaten sağlamış olaacaklar. AV seviyesinde FIM 'i sağlıklı yapan benim bildiğim kadarı ile Trend Micro var şuan sadece.

Decryption algoritması geliştirmek hem çok vakit alıcı bir iş, hemde karşı taraf tarafından çok hızlı ve kolay değiştirilebilecek bir şifreleme.

Önümüzdeki birkaç yıl daha bu konu ciddi gündemde kalmaya devam edecektir, diğer AV üreticileride anormaly deteciton ve fim yapana kadar fidyeciler kazanmaya devam edecektir.

en kötüsü geliştirilecek türevlerden bir tanesi tüm local network'ü tarayarak tüm local network'e saldırabilir. Şuandaki türevlerden bir tanesi bulaştığı makinadaki adreslere de mail gönderme yeteneği eklenmiş durumda.

Son kullanıcılara yapılan bildirimlerinde çok etkili olmadığını görüyoruz, alınabilecek en iyi önlem düzenli backup 'tır.

kolay gelsin,

yB

Bende bu konuda TM nin tek olduğunu biliyorum ama arkadaşlar %100 koruyor diyince bunu kanıtlamak gerekli diye düşündüm ama Mehmet i bekliyoruz bu konuda, ben şahsen Mehmet in bu konudaki tecrübelerine çok güveniyorum ki zaten bilgisi, tecrübeleri paylaştıkları ortada. Ondan sonra zaten gerekir ise %100 koyoru şeklinde olan postu sileceğim çünkü bariz reklam kokan bir hareket.

Bu sektördeki herkes bilir zaten. Bilgisayarınız kapalıysa % 100 korumadasınız demektir.

Bu virüsün neden olduğu zararlar ve alınacak önlemler daha önce anlatıldı ve tartışıldı. Bana göre önerilenler arasında en çok işe yarayan yöntem, içerik filtreleme üzerinde kategori edilmemiş web sitelerini engellemek, kullanıcılardan gelen geri bildirimlere göre de istenen web siteleri açmak.

Bunun haricinde de düzenli yedeklemeleri almak yeterli bence.

Bu kadar değişken bir tehdidi nasıl önlerizi tartışmak yersiz. Daha önemli olanı bulaşan virüs nasıl temizlenir. Zaten bu post bunun için.

Bu sektördeki herkes bilir zaten. Bilgisayarınız kapalıysa % 100 korumadasınız demektir. 

Emrah hocamın postundaki bir cümleyi özellikle alıntılamak istedim.
Evet %100 koruma sözkonusu olamaz. 
Panda için de öyle, diğer iddialı yazılımlar içinde... birçok varyantta test etmek için özellikle bekledim.

Sadece şunu söylemek isterim ki; %100 koruma çok iddialı bir söz olur. Yani ben kurumuma bu ürünü alsam %100 güvenemem, diğer iddialı ürünlere de öyle. Benim için %100 güvenlik sağlıklı ve ve güncel yedektir.
konu tamamen insanların ticareti ve ekmek parası olduğu için daha fazla detay vermem ama isteyenler hangi ürünün ne derece başarılı olup/ne derece olmadığı hakkında maille, özel mesajla bana ulaşabilirler. 

Mehmet, panda yı denedin mi, en azından başkaları paylaşmış fikrini, sende açıktan bence paylaşabilirsin

Mehmet, panda yı denedin mi, en azından başkaları paylaşmış fikrini, sende açıktan bence paylaşabilirsin

Panda %100 koruma sağlamıyor. 
Şüphesiz etkili olduğu varyantlar var ama tüm varyantlarda etkili olduğunu iddia etmek abartı ve yanlış olur.
%100 koruma sağlamadığını zaten kendisi de yazmış. Ve iyi bir yedekleme önermiş. 

http://www.pandasecurity.com/mediacenter/malware/cryptolocker-evolution/

http://www.pandasecurity.com/mediacenter/security/stop-cryptolocker-accessing-information/

http://www.pandasecurity.com/mediacenter/malware/cryptolocker-locky-how-it-works/

Teşekkürler

Mehmet bey Mrhaba;

Gölge kopyalarını nasıl getiririm acaba

Merhaba,

bu programı kullanabilirsiniz ama yeni bulaştı ise zaten gölge kopyalarıda silmiştir

http://www.shadowexplorer.com/

bugün itibari ile daha değişik 2 yeni varyant ile karşılaştım temizlemesi çok kolay fakat fatura mailindeki gibi bulaşmıyor bu yeni varyantın 1 tanesi video izlerken tak diye geldi gerçi reklam içeriğindende gelmiş olabilir sitedeki dosya uzantısını değiştirip bozmuyor tüm herşey normal gibi görünsede 4096 bit aes şifreleme yapıyor. şifreli 1 dosyayı ücretsiz çözme sayfasından dosyayı açtırmaya kalkınca 400 kb' lık word dosyasının çözülmesi 45 dakika sürdü bu arada. bir diğer varyant ise şifre çözme talimatı yada benzeri bir dosyası yok sistemde direk kriptoluyor her dosyanın uzantısı farklı ve her dosya rasgele şifreleniyor tek düzen bir argoritmaya sahip değil. Office 365 ,one drive, yandex disk, gmail drive  çözümlerindede senkron çalışmayın bulutta var olan herşeyi kriptoluyor. ben bile bilmiyordum böyle bir zafiyetimden faydalanacağını virüsü sistemimdeki hiç bir dosyaya müdahalede bulunmadı veri kalkanı açıktı ama one drive içinde ne var ne yok tamamen uçurdu hepsi kriptolanmış durumda.artık kabus oldu diyebiliriz yedekleme esnasında backup ünitesi sisteme bağlanmadan önce ağ bağlantısını kesmek en mantıklısı gibi işlem bitene kadar.

olaya sadece ttnet yada turkcell faturası sorunu olarak bakmamakta fayda var ve yedeklemelerin çok sık yapılması önem kazandı artık.

Yeni bir varyant daha çıktı microsoft işletim sistemlerinde var olan uzak masaüstündeki güvenlik açığından faydalanarak yayılıyor. rdp portunu başka port üzerinden yönlendirerek kullanmak geçici bir çözüm ama kesin çözüm demek imkansızdır.

dosya uzantılar " Hizmet Akdi.doc.ID5EC5AD10.gerkaman@aol.com.xtbl " şeklini almaktadır dikkat edin çok gerekli değil ise geçici olarak rdp' yi kapatmak en kesin çözüm.

29.03.2016 itibarı ile,
Türkiye'de görülen varyantlardan;
TeslaCrypt 2.0 çözüldü : 
http://www.cozumpark.com/blogs/gvenlik/archive/2016/01/17/teslacrypt-sifrelenmis-dosyalarin-cozum-islemleri.aspx
Tesla 3 çözümsüz : ( xxx,ttt,mp3,micro)
Tesla 4 çözümsüz : ( dosya uzantısı değişmiyor )

Torlocker v1 çözüldü : ( encypted) 
http://blog.zemana.com/2014/03/FatmalDecrypter.html
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
Torlocker v2-v3 çözüldü : yurtdışı kaynaklı bir firma - ücrete mukabil

Cryptowall 3-4 : çözümsüz ( dosya uzantıları ve isimleri değişiyor )
Locky : Çözümsüz
Xtbl : Çözümsüz

Nemucod ( crypted ) : çözüldü
http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/

Umbercrypt, HydraCrypt : Çözüldü
http://emsi.at/DecryptHydraCrypt

Sonuç: belki tamamı olmasa da, birçok varyant gelecekte çözülecektir. dosyaların mutlaka yedeklenip saklanmasını tavsiye ederim

29.03.2016 itibarı ile,
Türkiye'de görülen varyantlardan;
TeslaCrypt 2.0 çözüldü : 
http://www.cozumpark.com/blogs/gvenlik/archive/2016/01/17/teslacrypt-sifrelenmis-dosyalarin-cozum-islemleri.aspx
Tesla 3 çözümsüz : ( xxx,ttt,mp3,micro)
Tesla 4 çözümsüz : ( dosya uzantısı değişmiyor )

Torlocker v1 çözüldü : ( encypted) 
http://blog.zemana.com/2014/03/FatmalDecrypter.html
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
Torlocker v2-v3 çözüldü : yurtdışı kaynaklı bir firma - ücrete mukabil

Cryptowall 3-4 : çözümsüz ( dosya uzantıları ve isimleri değişiyor )
Locky : Çözümsüz
Xtbl : Çözümsüz

Nemucod ( crypted ) : çözüldü
http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/

Umbercrypt, HydraCrypt : Çözüldü
http://emsi.at/DecryptHydraCrypt

Sonuç: belki tamamı olmasa da, birçok varyant gelecekte çözülecektir. dosyaların mutlaka yedeklenip saklanmasını tavsiye ederim

Bilgi için teşekkürler

Arkadaşlar 2 gün önce şirket te bir bilgisayara bulaştu virüs. Epeyce araştırmama rağmen çözüm bulamadım. İnternetten bir bilgisayar firması çözbildiğini belirtmiş. Deneme amaçlı 1 excel dosyası yolladım 2 saat sonra çözüp yolladılar. 1500TL para istiyorlar 🙂

20 dosya var dedim sadece bunlar ne olur deyince dip fiyatımız 1500TL dediler. Virüsü yayan vatandaş 900TL istiyor siz neden bu kadar fazla para istiyorsunuz diye sorduğumda sizin yapacağınız ödeme sonrası veri kurtarmanın garantisi yok biz garantili yapıyoruz dediler.

Özetle anladığım kadarı ile bunlar virüsün sahipleri ile beraber işbirliği halindeler. Adamlara 900TL yatırıp kalanı kendileri alıyor.

Bilginiz olsun.

Arkadaşlar 2 gün önce şirket te bir bilgisayara bulaştu virüs. Epeyce araştırmama rağmen çözüm bulamadım. İnternetten bir bilgisayar firması çözbildiğini belirtmiş. Deneme amaçlı 1 excel dosyası yolladım 2 saat sonra çözüp yolladılar. 1500TL para istiyorlar 🙂

20 dosya var dedim sadece bunlar ne olur deyince dip fiyatımız 1500TL dediler. Virüsü yayan vatandaş 900TL istiyor siz neden bu kadar fazla para istiyorsunuz diye sorduğumda sizin yapacağınız ödeme sonrası veri kurtarmanın garantisi yok biz garantili yapıyoruz dediler.

Özetle anladığım kadarı ile bunlar virüsün sahipleri ile beraber işbirliği halindeler. Adamlara 900TL yatırıp kalanı kendileri alıyor.

Bilginiz olsun.

bu posttan linki kaldırmanız yerinde olur.

Evet bunu ne yazık ki gelir kapısı haline getirenler var.