Çalışanlardan birinin uyarılara rağmen yaptığı büyük hata sonucu bağlı olduğu bilgisayardan dosya sunucusunun bir klasörüne CryptoLocker bulaştı ve o klasördeki tüm dosyalar şirelenmiş durumda. Word, Excel ve PDF dosyalarının uzantıları .encrypted olarak görünüyor ve hiç birine erişilemiyor. Virüsü bulaştıran kişiler panzehir için para istiyorlar, para ödenirse açacak olan key'i göndereceklerini belirtiyorlar. Bunu yaşayan veya çözümü için bir öneri getirebilecek bir arkadaşımız var mıdır?
Dikkatli olun; virus, TTNET'ten bir online fatura veya duyuru mesajı şeklinde e-maille geliyor. Sizler de avlanmayın.
https://www.decryptcryptolocker.com/ (https://www.decryptcryptolocker.com/)
bu site yardımcı oluyordu. bir ara BBC de bir haberde bu siteden bahsedilmişti.
O linki enfekte olmuş en az 5-6 dosyada denedim. Şu mesajı veriyor:
The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.
Daha sonra bunu araştırdım, şifreleme metodu değişmeden önce saldırılan dosyalarda bu yöntem işe yarıyormuş ama farklı bir yöntem kullanıldığı zaman o linkteki yazılım da şifrelemeyi algılamıyor görünüyor.
hocam pek vaktim yok derse gidicem ama şöyle birşey buldum ,
https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html (https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html) ,
belki yararı dokunur size tam okuyamadım devamıda var yanılmıyorsam yazının umarım yararı dokunur ...
Peki bu kişi ile iletişime geçilerek yakalanması mümkün olmamış mı?
Para nereye gönderilecek? çöpün yanına mı bırakılacak? illa ki kendisi veya anlaştığı biri parayı almak isteyecek bu sayede yakalanabileceklerdir.
Virüsü bulaştıran kişi, ödeme için Bitcoin sistemini kullanıyor. Önümüzdeki iki gün içinde Bitcoin sitesinden onların belirttiği 20 küsür haneli Bitcoin hesabına parayı gönderirseniz size bir dosyayı indirmeniz için link gönderiyorlar ve o dosya da dosyaları eski haline getiriyor. En azından anlatılan böyle ama bir garantisi yok tabi ki. Bitcoin'de kendiniz için yaratacağınız hesaba da bir bankadan EFT ile para gönderiyorsunuz. Paypal mantığına benziyor aslında. Alıcının hiç bir iletişim bilgisi yok, o da Bitcoin hesabına gelen parayı kendi banka hesabına havale ediyor ve işlem bitiyor.
elimde son bu link var ttp://www.remove-pcvirus.com/tr/cryptolocker-kaldir/
Peki ne kadar ücret talep ediliyor? Dosya içeriğine ve değerine bakmadan sabit ücret istiyor olsa gerek.
Bu sayfadaki (https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html) açıklamalardan anlaşıldığı kadarıyla sadece şifreleme yapıyor, gönderilecek diye bildirmesine rağmen dosyaları bir yere göndermiyormuş.
Sadece firmalara mı gidiyormuş bu virüs?
ev kullanıcısı formatlayıp geçiyor da, işyeri için sıkıntı.
İstenen para 900 TL. Denildiği gibi bu makina bir dosya sunucusu olunca ve yedek olmayınca büyük problem.
TTNET nasıl böyle bir dosya gönderiyor peki? Bu durumda sorumlu TTNET değil mi?
Alıntı yapılan: kantirici - 17 Kasım 2014, 19:38:23
TTNET nasıl böyle bir dosya gönderiyor peki? Bu durumda sorumlu TTNET değil mi?
Gönderen ttnet değil zaten. TTnet sayfası görünümlü sahte bir link.
Aynen. Sayfa o kadar güzel dizayn edilmiş ki tecrübeli olmayan biri kolaylıkla TTNet'ten fatura geliyor sanıp açabiliyor. Gelen dosya bir pdf gibi görünüyor ama gizli .exe uzantısı var.
Hocam, bu virüsün çeşitli varyantları çıkmış durumda, eğer şansınız varsa ilk cryptolocker varyantlarından ise TorrentUnlocker.exe diye bir program ile dosyalarınızı kurtarma ihtimaliniz oluyor. Bizim işyerinde de benzer virüs bulaşışı olmuştu sözde TTNET sitesinden gönderilen bir e-posta aracılığı ile ben bu programla bir takım (bazı resim dosyaları) dosyaları kurtarabildim, ancak en az 2 MB'lık dosyalar gerekiyor şifrelenmiş ve şifrelenmemiş hali olan ki bu da yedek almadı iseniz çözüm olmuyor. Bizim çözümümüz birkaç ay önce alınmış olan komple yedeğe geri dönmek olmuştu. Ancak Cryptolocker 2 veya cryptowall varyantları bulaşmışsa işiniz oldukça zor, hatta cryptowall için henüz bir çare bulunmuyor.
Linkini verdiğiniz site https://www.decryptcryptolocker.com/ (https://www.decryptcryptolocker.com/) sadece ilk cryptolocker virüsüne karşı etkili, keza diğer varyantlarda virüsün sahibi/sahipleri açıkları kapatmışlar.
Tek tek uğraşmak çok zor, zira 13.000 adet dosya var. Eski versiyon olsaydı sizin verdiğiniz yazılım da verdiğim linkteki yazılım da büyük ihtimalle çözüm sağlardı. Para ödemek ve durumu kabullenip yeni saldırılara karşı açık hedef olma konusu beni çok rahatsız ediyor. Bu kadar dosyayı kaybetme konusu ayrı büyük bir problem. Arada kaldım. Karar vermek veya çözüm bulmak için bir tam gün var.
hocam ben hergün bu sitede takıldıgım için günlük çıkan virüsleri takip ediyorum keşke önceden burda paylaşsaydım şimdi paylasıyorum artık virusun mantıgını
ve görünüşünü göründe bidaha başkasının başına gelmesin
bu arada pc güvenligide çok önemlidir tavsiye ederim yani siteyi en azindan düşmanlarınızı görürsünüz tanırsınız :)
http://www.turkhackteam.org/guvenlik-haberleri/1067705-tum-internet-kullanicilari-buyuk-bir-tehlike-icerisinde.html#post4371389 (http://www.turkhackteam.org/guvenlik-haberleri/1067705-tum-internet-kullanicilari-buyuk-bir-tehlike-icerisinde.html#post4371389)
bunu denemedim belki işini çözer
http://www.turkhackteam.org/genel-guvenlik/1036564-kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html (http://www.turkhackteam.org/genel-guvenlik/1036564-kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html)
O yazıyı bugün okumuştum. Eğer dosyalar şifrelenirken bu yakalansaydı çözüm olabilirdi ama şu anda iş bitmiş durumda, anahtarı elde edebileceğimizi sanmıyorum. Ama virüs temizliği için işe yarar.
Şebeke yakalanmış.
http://www.teknolojioku.com/haber/e-fatura-ile-cryptolocker-virusunu-yayanlar-silahli-orgut-cikti-24278.html (http://www.teknolojioku.com/haber/e-fatura-ile-cryptolocker-virusunu-yayanlar-silahli-orgut-cikti-24278.html)
Bekledikleri parayı ödemeyi reddettik. Dosyalar öylece duruyor. Hepsine elveda demeyi göze aldık. Yine de bir umut bekliyorlar. Onlarsız yaşamaya başladık bile.