CryptoWall Virüsü

[Mucit23]

Bir arkadaşımın bilgisayarına Cryptowall virüsü bulaşmış. Bütün resimler felan şifrelenmiş durumda.

Klasörlerin içerisinde yukarıdaki resimlerden var.

Bu şifreler çözülebilirmi sizce? Yoksa resimleri vs gözden çıkarıp formatmı atmalı?

[MC_Skywalker]

dosyaları untutun yada şantajcıların istrdiği yüklü miktarda istediği parayı ödeyip açtırın. başka kesin çözüm yok ama bazı antivirüs firmaları çözmeye çalışıyor

ilk olarak Cryptolocker adıyla çıktı şimdi varyasyonlatı bayağı çoğaldı

https://noransom.kaspersky.com

[DEno_12]

Dosyaları unutmanıza falan gerek yok. Gerçekten rsa ile şifreleme yapması için cok büyük bir işlem gücü gerekir. Sadece kandirmaca. Neyseki zemana var.
http://blog.zemana.com/2014/03/FatmalDecrypter.html

Bu arada zamana antimalware şu an piyasadaki en iyi anti malware programı ve türk bulgar yapımı.

[MC_Skywalker]

Evet bir türk var tor ağından çözmek için keyleri almış çözmek için kullanıyor.

Başka bir forumdan alıntı.
Elemanla konuştum versiyon 3 ile şifrelenmiş bir kaç dosya gönderdim çözebileceğini söylüyor. 3000 TL ücret istedi.
versiyon 2 olanları çok daha basit kırıyormuş.

Bu işi çözdüğünü söyleyen arkadaş, saldırganların kullandığı her pc için farklı id ve key karşılaştırmasını içeren veritabanına ulaştığını ordan keyleri elde edip hazırladığı tool ile dosyaları kurtardığnı söylüyor.

Emre TINAZTEPE17 Kasım 2014 15:42

Merhabalar,

Maalesef saldırganlar bir önceki saldırıya ilişkin blog yazısından alınması gereken dersi çıkarmışlar ve AES 128 - CBC mod kullanmışlar. Anahtar da public key ile şifrelendiği için çözüme ulaşmamız mümkün görünmüyor.

Saygılar.

Birde PCnizde buluna GPU'un işlem gücünü düşünün. GPU ile Bitcon SHA256 vb. çözüldüğüne göre

[DEno_12]

Evet bir türk var tor ağından çözmek için keyleri almış çözmek için kullanıyor.

Iyice saçmalamışlar. Şifreleme diye bir süreç işlemiyor. Zararlının ne yaptığını ve fatmal decrypter ın nasıl çalıştığını zemana dan bir arkadaş anlatmıştı bir güvenlik sempozyumunda. Video yu bulursam gönderirim.
mesaj birleştirme:: 06 Aralık 2015, 12:31:10
Buyrun tüm detaylar burada anlatılıyor, bizzat işi çözen arkadaş tarafından.

http://youtu.be/cFVTW-yKVJ0?t=1h19m

[Maxim]

hiç bu tür virus bulaşmış bir makinada temizlik yaptınızmı?

[engerex]

İlk versiyonlar çözülüyordu. Zemana bunu anlatmıştı çözümlemesi için neler gerektiğini de anlatmıştı. Zararlıyı yazan Zemanayı dinlemiş ve sonraki versiyonlar çözülemiyordu. Bunu Zemanayı kendisi de söyledi. Sonradan değişiklik olmuşta olur.
Belki bu sürüm çözülüyor da olabilir. Kestirip atmamak lazım. Belki başka bir geliştiricinindir.
Bu arada mutlaka Zemana Anti-Malware kullanmanızı öneririm. Bir kaç ay önce şirket epostalarına bu zararlının yeni çıkmışnbir versiyonu geldi ve zemana anında tespit etti. VirusTotalde sadece 1 güvenlik yazılımı tanıyordu. Denemek için emsisoft vs. diğer güvenlik uygulamalarını kurdum. Kimisi ertesi gün tanımaya başladı.
Zemana sistemi yormayan bir uygulama, kurulum boyutu ve tam taramaya bunu kolaylıkla anlıyorsunuz.
Zemana Beta aratın ve indirin 90 gün kullanın. Tekrar 90gün key girebiliyorsunuz.

[DEno_12]

hiç bu tür virus bulaşmış bir makinada temizlik yaptınızmı?

Cryptowall isimli zararlıyı temizlemiştim fatmal ile.Ama üstünden zaman geçti, zararlı geliştirilmişse yeni çözümler bakmak lazım.

MC_Skywalker hocam haklısınız, uzun zaman oldu video yu izleyeli, kaçırmışım. Ama dolandırıcının bahsettiği gibi rsa2048 hala yok ortada. Belki birgün iş oraya kadar gidebilir.

[engerex]

 Dün Turkcell_Fatura adlı bir eposta geldi, bir kaç ay önce de gelmişti. Ara ara geliyor. Bu virüsün çeşitli varyasyonları. VirusTotal'de ilk tarama 09.12.2015 11:45'te yapılmış ve bir kaç saat sonrasında ben bir tarama yaptım ve sadece 2 antivirüs (+zemana) tespit edebiliyordu.
Antivirüsüm var diye güvenmeyin.

[Burak B]

Eğer dosyaları arkadaşın için değerliyse boşuna uğraşmasın. Temizlemek v.s. fayda etmez. Bitcoin alıp tor üzerinden ödemeyi yapacak. Karşılığında PK (Private Key) elde edecek. Oda şansa kalmış. RSA-2048 private key olmadan çözmenize imkan yok. Tabi bir quantum bilgisayarınız yoksa.

Sonrasında makineye ve diğer tüm usb v.s. belleklerinize temiz bir format atıp. Adam gibi bir antivirüs kurup (Kaspersky tavsiyem) hayatınıza devam edin.