CryptoLocker Virusu ve Engelleme Yöntemi

irfanGüvenlik0 Yorum27 Mart 2015

cryptolockerSon günlerde sıkça karşımıza çıkan ve e-mail yolu ile yayılan CryptoLocker isimli virusu şuan pek çok antivirus tanımamaktadır.Bunun başlıca nedeni ise virusun direk dosya halinde değilde e-mail üzerinden link ile gönderilmesidir.Mail serverlerimizde kurulu olan güvenlik ve tarama programları maili taramasına rağmen bulgu ile karşılaşmadığı için müdahalede etmemektedir.

CryptoLocker Nasıl Çalışır ?

İlk versiyonunda e-fatura adı altında sahte e-mailler göndererek kullanıcıları tuzağa düşüren virus hedef bilgisayarda bulunan 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx. Yani Microsoft ürünlerinin dosyaları (word, excel vb), Adobe ürünlerinin dosyaları (ai, eps, psd vb), resim/fotoğrafları (jpg, raw vb), ve çok farklı uzantılarda dosyaları etkilemekteydi.

İkinci versiyonunda yine aynı uzantıları etilemekte fakat bu kez sadece e-fatura adı altında mailler ile değil ptt kargo ve kargo şirketlerine ait sahte e-mailler ile kullanıcıdan adres değiştirme formu talep ederek tuzağa düşürmekteydi.Genel olarak internet kullanıcılarının %90 lık gibi büyük bir kısmı internet üzerinden alışveriş yaptığı için tuzağa kolayça düşüyordu.

CryptoLocker Korunma Yöntemleri

Diyelimki virus işletim sistemimize bulaştı ve tüm dosyalarımızı şifreleyip bizden fidye istedi ve bizde bu fidyeyi ödedik.Peki ödeme işleminden sonra dosyalarımızı kurtaracağımızın bir garantisi varmı?Tabiki hayır artık karşımızdaki saldırganın insafına kalmış birşey bu 🙂 zaten insaf olsa insanlara böyle zarar vermezdi diye düşünmeden alı koyamıyor insan kendini.

Bir çok sitede ve makalede CryptoLocker virusunun temizlenmesi hakkında bilgi verilmiş ve bilgilerin yararı asla tartışılamaz.Ama önemli olan virusun sisteme bulaşmadan önce engellenmesi değilmi?Verilen bilgilerde virusun sistemden nasıl temizleneceği anlatışmış ama dosyalarımızın nasıl kurtarılacağı anlatılmamıştı.Saldırganın gönderdiği e-mailler üzerinden yola çıkarak yaptığımız testlerde %95 gibi yüksek bir skorla başarılı sonuçlar elde ettik.

CryptoLocker virüsüne karşı alınacak önlemlerin en başında e-mail serverimiz kendi bünyemizde ise sağlam bir blacklist oluşturmak ve sürekli güncel tutmaktır.Ama istesekte istemesekte gözümüzden bir e-mail kaçacak ve virus içerikli e-mail posta kutumuza düşecek.

CryptoLocker virusu direk kendi serverlerinden yayılmak yerine ücretsiz download/upload ve depolama hizmeti veren servisleri kullanmaktadır.Eset mühendislerinin yaptıkları incelemede bu güne kadar yayılan tüm CryptoLocker viruslerinin Copy.com , downloader.disk.yandex.com ve downloader.disk.yandex.ru isimli ücretsiz servis sağlayan bir firmanın hizmetinden fayfalanmış.Eğer güvenlik duvarı yada bu özelliklere sahip bir modem kullanıyorsak ilk yapmamız gereken işlem cihazımıza bağlanı Copy.com , downloader.disk.yandex.com ve downloader.disk.yandex.ru uzantısını içeriye ve dışarıya engellemek olacaktır.Virus içeren mail size gelse bile ismi geçen site engelli olduğu için download işlemi yapamayacak ve virusu sisteminize bulaştıramayacaksınız.

Yukarıda bahsettiğim işlemi bire bir test ettiğim için sizlere gönül rahatlığı ile tavsiye edebiliyorum.Fakat unutmamak gerekir ki böyle bir virus yapan kişi/kişiler onada bir yöntem bulacaklardır.Belki farklı bir servis kullanacaklar belkide kendi servislerini geliştirecekler bunu bilemeyiz.

CryptoLocker Sistem Bulaşırsa Nasıl Temizlerim?

CryptoLocker işletim sistemize bulaştığı andan itibaren tüm dosyalarınızı şifreler ve fidye ekranı karşınıza gelir.

Peki virus sisteme bulaştı dosyaları şifreledi sonra ne olacak ?
Önceliğimiz sistemi temizlemek mi yoksa dosyalarımızı kurtarmak mı olacak?

Sisteme virus bulaştımı hepimizin eli ayağı birbirine dolaşır ilk yapmamız gereken işlemi en sona bırakırız. 🙂

İlk önce Malwarebytes programını indirip bilgisayarımıza kuruyoruz.Kurulum işleminden sonra program otomatik olarak kendini güncelleyecektir.

Gerekli programı kurduktan sonra internet bağlantımızı tamamen kesiyoruz ve Malwarebytes programı ile sistemimizde derinlemesine bir tarama yapıyoruz.

Tarama işlemi sonrasında bulunan zararlı dosyaların listesi ekranınıza gelecektir.Hiç bir değişiklik yapmadan tümünü silip (Sağ altta bulunan uygula butonu) bilgisayarınızı yeniden başlatın.

Bilgisayarmızı yeniden başlattıktan sonra virus sistemimizden tamamen temizlenmiş olacak.Artık yapmamız gereken işlem dosyalarımızı kurtarmak olacak.

Bunun için 2 yöntem kullanabilirsiniz ikiside hemen hemen aynı işi yapar ve sonuç başarılı olur.

1. Yöntem : Shadow Explorer isimli program ile sistemini geri yüklemeden oluşturulan geri yükleme tarihlerindeki dosyaları kopyala yapıştır yaparak kurtarabilirsiniz.Bu işlemi yapmadan önce Yeni bir klasör oluşturup geri yükleme noktasından kopyalayacağınız dosyaları buraya taşıyın işlem sonrasında  .encrypted  ve fidya mesajını içeren .html uzantılı dosyaları silme işlemi yapacağız.

Programı kurduktan sonra aşağıdaki resimdeki gibi işlemleri yapabilirsiniz.

Shadow Explorer 1

Shadow Explorer 2

 

Sistem geri yükleme noktası en son hangi tarihe aitse o tarihteki dosyaları kurtarır.

2. Yöntem : Bu yöntem hiç bir program kullanmadan windows vista / 7 / 8 / 10 sürümüne ait işletim sistemlerinden daha etkilidir.Aşağıdaki adımları izleyerek dosyalarınızı kurtarabilirsiniz.

1

2

3

4

5

 

Yüklemek istediğimiz dizini seçip sayfanın altında bulunan yeşil butonu tıklayarak dosyalarımız eski yerine yüklemiş oluruz.Bu aşamaya kadar olan işlemlerinizi yapmış olduğuzu varsayarak son aşamaya geçiyorum.

Dosyalarımızı kurtardık ve şimdi  .encrypted uzantılı yani virüs tarafından şifrelenmiş dosyaları silmeye geldi.

Aşağıda vermiş olduğum kodları notdefterine yapıştırıp farklı kaydet sekmesinden .vbs şeklinde kaydedip çalıştırın bir kaç saniye bekledikten sonra masa üstünüzde sağ tıklayıp yenile yaptığınızda şifrelenmiş dosyalarınızın silindiğini göreceksiniz.

strComputer = “.”
Set objWMIService = GetObject(“winmgmts:” _
& “{impersonationLevel=impersonate}!\” & strComputer & “rootcimv2”)
Set colFiles = objWMIService.ExecQuery _
(“Select * from CIM_DataFile where Extension = ‘encrypted'”)
For Each objFile in colFiles
objFile.Delete
Next

İşlemler bittikten sonra bilgisayarınızı yeniden başlatarak kullanmaya devam edebilirsiniz.SIFRE_COZME_TALIMATI.html Dosyasınıda silmeyi unutmayın.

Son olarak bu güne kadar CryptoLocker virusu içeren e-mail gönderen alan adları üzerinden yola çıkarak oluşturduğum Blacklist arşivimide sizinle paylaşıyorum.Makalede bahsi geçen tüm adımlar tarafımca test edilmiş olup başarılı sonuçlar alınmıştır.Umarım sizinde işinizi görür.Ama unutmayınki sürekli kendini yenileyen bir virüs ile karşı karşıyayız biz her ne kadar korunma yöntemleri geliştirmeye çalışsak ta virusu yayanlarda farklı yöntemlere başvuracaktır.

BlackList

turkcell13.com
darknet.gen.tr
turkcell84.org
turkcell18.net
faturamerkezi.net
turkcell71.com
rvgraphics.ru
turkcellfaturasiodeme.com
isubeisbankislemler.com
turkcell94.net
fewfefewfe.myjino.ru
turkcel-hesap.com
turkcell91.com
islemonlineisbankasi.com
turkcellmuster1.net
onlineislemmatik.net
finansbankislem.com
kartislemlerin.com
turkcellhesap.org
genelbankasubeislemleri.net
deepturk.net
kredikartiborcun.com
royalfaturaode.com
turkcel1-servis.com
turkcel1-hesap.biz
89.108.71.23
tcell-musteri.biz
borcsorgusitesi.com
bkmfaturaode.com
faturaodeme724.com
bankaborcislemleri.com
kredikartisorgula.com
vacdgwaw5djp5hmu.torcarrier.org
turkcel-hesap.com
borcogren.com
turkcel-fatura.net
tcell-hesap.com
tcell-portal.net
tcell-fatura.net
tcell-servis.com
subegarantiislem.com
internetsubegaranti.com
llimango.com
e-kredikart.com
trcell-odeme.biz
trcell-info.net
faturaniz-trcell.com
turcell-emusteri.org
turcell-fatura.com
turcell-hizmet.org
turcell-online.net
turcell-musteri.org
turkcell-online.net
turcell-fatura.info
kartborcusorgulamaservisi.com
724sorgu.com
ddnmamozagreb.com/paymo/
webeden.co.uk
etidor.es
garantifatura.org
kredikartibakiyesorgulama.com
kredi365.com
trcell-hizmet.org
is-banka.com
trcellonline.org
garantiibank.org
efatura-indir.com
efatura-trcell.com
trcellabone.com
bilgi-garanti.com
trcellfatura.com
vakif-bank.in
vakifbnk.com
sms-vakifbank.com
vakifbank-bilgi.com
vakif-bank.com
f3ip4.turcell.org
wqoi9mqu.turcell.org
i7g29.fatura-online.com
bankalarbirligi.com
otrazheniye.ru
metal-kaluga.ru
internet.subeisbankasi.com
internetsubesi.sube-akbank.com
2015-e-posta-hesabi-gncelleme.my-free.website
kredikartiborcumunasilsorgularim.com
185.94.111.1
205.234.203.50
turkcell9.biz
mobilsubeaktive.com
servisayarlari.com
62.231.92.20
87.83.110.130
200.178.96.86
gohtci.com
turkiyeisbank.com
genelonlineislemler.com/
turkiyeisbanka.xyz
turkcargo7.org
entegresistemi.com
hgsbakiyeyukleme.com
trafikcezaode.com
internet.turkisbankasi.com
genelonlineislemler.com
turkishcargo7.net
adwentegra.com
turkishcargo3.com
turkishcargo5.com
turkishcargo1.com
cargo-turk.com
turkish-cargo1.com
kargo-turk.net
turkargo.com
turkcell6.org
turkcell9.info
turkcell4.org
turkcell7.info
turkcell7.biz
turkcell8.org
turkcell2.info
turkcell2.org
cubbyusercontent.com
3turkcell.info
turkcell3.org
turkcell7.org
turkcell6.com
turkcell2.net
iturkcell.info
turkcell1.net
turkcellservis.net
turkcell-service.com
mobilsubekurulum.com
turkcell247.net
turkcell1.com
turkcell-odeme.com
turkcell24.org
e-turkcell.net
turkcell-efatura.com
iturkcell.net
klixoprend.com
modeloptics.in
epilstudio.com.ua
coffmakers.com
turkcell24.net
eposta9111.twomini.com
mobilsubekurulumu.com
mobilayar.com
tvvtter.us
31.220.16.141
basbakanlik.e-posta.tk
mobilsubesiaktivasyon.com
yoru.me
sinfaerj.org.br
mobilaktivasyon.com
siamarmstrong.com
sunnies101.com
btinternet.islamhood.net
ptt-gonderi.com
ptt-cargo.net
ptt-sistem.net
ttnet-fatura.info
ttnet-fatura.org
riveraccusing.com
fbclouderfb.com
SantanderBillPayment.co.uk
lookntake.com
3dchristmaswallpapers.com
yourplaceforitall.com
ayfirsat.com
bultenaltincicadde.com
altincicadde.com
bowling-biz.com
bombers.com.au
boatersclassified.com
bodyfields.com
contoso.com
marketmindful2.com
worldwind.co.uk
jhs.co.uk
iturktelekom.com
turktelekomservis.org
turktellekom24.com
pnjinternational.com
darwinrealty.com
turkcell-fatura.org
ptt-cargo.info
boardwalkonline.com
ptt-takibi.com
ptt-cagro.org
copy.com
copy.net
copy.org
grafe-dran.com
linkza.net
ptt-tracking.org
ptt-cargo.org
ptt-tracking.info
ptt-cargo.com
turkcell-servis.com
turkcell-fatura.biz
turkcell-servis.net
ptt-tracking.net
ptt-posta.biz
ptt-posta.org
albl.org
slwtech.com
ttnet-efatura.com
ptt-posta.info
pttpost.net
ttnet-bilgilendirme.org
ttnet-online.com
turktellekom24.net
ttnet-fatura.net
turktelekomservis.com
turktelekomservis.info
turktelekom24.info
newnigerianwave.ru
mysslserver.org
turktelekomonline.org
turktelekomonline.info
turktelekom24.org
turktelekom24.net
supergoodstart.ru
turktelekomonline.net
turktelekomfatura.info
screenshot-pro.com
dota2.bz
botsworkingnets.net
wjetphp.com
qrz.uni.me
tweeterplanet.ru
efatura.ttnet-fatura.biz
updatemyhost.ru
walkingdead32.ru
efatura.ttnet-fatura.info
efatura.ttnet-fatura.com
deadwalk32.ru
csi.efatura-turkcell.net
cryptdomain.dp.ua
ptt-sistem.com
ptt-sistem.net
ptt-sistem.org
ptt-sistem.info
ptt-turkiye.com
ptt-turkiye.net
ptt-turkiye.org
ptt-turkiye.info
ptt-gonderi.com
ptt-gonderi.net
ptt-gonderi.org
ptt-gonderi.info
emailmarketing.com
siamarmstrong.com
sunnies101.com
hsbci.co.uk
iegallery.com
gez.io
mobilaktivasyon.com
basket.sk
macozetivideo.com
firsttutorial.net
firsttutorial.com
turkcell24.net
turkcell24.com
mycapitalinbox.net
turkcell1.com
allterrain.my
companytutorial.com
zhoushangang.cn
shop.zhoushangang.cn
dr-smood.com
turkcell24.org
turkcell2.net
turkcell2.org
turkcell2.info
turkcell2.biz
turkcell2.com
ashleylily.co.uk
cubbyusercontent.com
3turkcell.info
turkcell3.org
turkcell7.org
turkcell6.com
iturkcell.info
turkcell1.net
turkcellservis.net
turkcell-service.com
mobilsubekurulum.com
turkcell247.net
isbanka.net
dkib.iwll.org
iwll.org
disorderstatus.ru
turkcella.info
ik4.turkcella.info
rostagroup.ru
turkisbankasionline.pw
periscope.tv
trcell-odeme.biz
trcell-info.net
faturaniz-trcell.com
turcell-emusteri.org
turcell-fatura.com
turcell-hizmet.org
turcell-online.net
turcell-musteri.org
turkcell-online.net
turcell-fatura.info
kartborcusorgulamaservisi.com
724sorgu.com
webeden.co.uk
etidor.es
garantifatura.org
kredikartibakiyesorgulama.com
kredi365.com
trcell-hizmet.org
is-banka.com
garantiibank.org
vakifbnk.com
sms-vakifbank.com
www.bankalarbirligi.com
vakif-bank.com
turkiyeisbank.com
trafikcezaode.com
genelonlineislemler.com
e-turkcell.net
bankalarbirligi.com
cheerdance.ru
tcell-portal.net
alfavnt.ru
turkcel-fatura.net
tcell-hesap.com
premiumvehiclesales.com.au
mkbd.co.za
aurorajonica.com
irisconsulting.net.au
danangship.com.vn
uplaw.co.th
sabbaprofumi.it
thesoulawakens.com
expertforyou.ro
samsungolfakademi.com
ipmlk.org
alpseehof.de
netsystem.sk
boroodatza.ir
turkcellhesap.org
kartislemlerin.com
finansbankislem.com
onlineislemmatik.net
bigpond.com
bigpond.net.au
ng-sport.de
balcitarim.com.tr
kiliclariveco.com.tr
ropade-moda.com
alquran.in
asv.com.tr
mazda-tr.com
afmenerji.com.tr
ata-oz.com
payzadokum.com.tr
genelsigorta.com
auschi.com
studiolegalerocchetti.it
mobi.com.tr
apart812.ru
ima.com.tr
mascotexports.in
clothing-2016.com
magnoliascientific.com
ygmimarlik.com
restpointmotel.com.au
aba-alliance.co.tz
downloader.disk.yandex.com
downloader.disk.yandex.ru

Etiketler: , , , ,

CryptoLocker Virusu ve Engelleme Yöntemi Hakkında Yorum Yaz

Yorum yapmak için giriş yapmalısınız.

Sponsor Reklam Sponsor Reklam Sponsor Reklam Sponsor Reklam
Cyberoam Captive Portal Kaldırma

Cyberoam Captive Portal Kaldırma

Merhaba ; Googlede Cyberoam ile ilgili kelimeleri ararken en çok

irfan8 Yorum17 Aralık 2015
Cyberoam SSL VPN Kurulumu

Cyberoam SSL VPN Kurulumu

Merhaba ; Cyberoam güvenlik duvarının en çok tercih edilme nedenlerinden

irfan7 Yorum7 Mayıs 2015
Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam Transparent Authentication Suite (CTAS) :  Şeffaf kimlik doğrulama sistemi

irfan6 Yorum31 Mayıs 2015
Cyberoam DHCP Kuralı Oluşturma

Cyberoam DHCP Kuralı Oluşturma

Merhaba ; Bu makalemizde güvenlik duvarı üzerinde dhcp oluşturmayı elimden

irfan5 Yorum23 Nisan 2015
Cyberoam Log Viewer Nedir?

Cyberoam Log Viewer Nedir?

Cyberoam Firewall bir çok işlemi yönetim panelinden extra bir cihaz

irfan4 Yorum3 Ekim 2015
Cyberoam ile  DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam ile DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam güvenlik duvarının en önemli modüllerinden birisi olan IPS modülü

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği kişi ve kurumları ilgilendirdiği kadar yasal zorunlulukları

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği Nedir

Kurumsal Bilgi Güvenliği Nedir

Son zamanlarda sıkça karşımıza çıkan Bilgi güvenliği , kişisel verileri

irfan0 Yorum27 Mart 2017
Sophos Intercept X (Anti Fidye Yazılımı)

Sophos Intercept X (Anti Fidye Yazılımı)

Sophos tarafından yeni nesil uç nokta güvenlik çözümü olarak geliştirilen Intercept

irfan0 Yorum17 Ekim 2016
DLP – Data Loss Prevention / Veri Kaybını Önleme

DLP – Data Loss Prevention / Veri Kaybını Önleme

Data Loss/Leak Prevention yani Veri Kaybını önleme network güvenlik alanlarına

irfan0 Yorum24 Eylül 2016
Sera Sistemleri
Merhaba, Faydalı bir bilgi paylaşımı olmuş. İşime yaradı. Teşekkürler. İyi çalışmalar
Ayna
Makaleniz için teşekkür ederim, çok faydalı bilgiler teşkler.
irfan
Merhaba , Hattınızda Load Balance varsa bu söylemiş olduğunuz sitelere girişlerde sorun yaratabilir.Eğer hatta load balance yoksa sorun…
cemal
Merhaba, Kurumumuzda server alt yapısında cyberoam firewall bulunmaktadır. Fakat bundan 2 3ay öncesine kadar biruni.tuik.gov.tr ve 2…
irfan
Merhaba ; Active directory üzerindeki kullanıcıların logon ve logoff bilgilerini firewallun çekebilmesi için control panali/administary tools/ local security policy/…

Sponsonr Reklamlar