cdtt virüsü

Gokrtl

Gökhan Kartal (TeknoDay)
Staff member
Katılım
27 Şubat 2019
Mesajlar
12,020
Aslında virüsün adı tam nedir bilmiyorum. Fidye yazılımı kategorisine giriyor.
Ablamın bilgisayarına bulaşarak bütün dosyalarını ".cdtt" uzantıya çevirmiş. Tabiki dosya çözücüyü vermek için 2000$ istiyorlar. Utanmadan bir de erken ödemeye 1000$ indirim yapıyorlar.
Bilgisayara çeşitli antivirüsler yükleyip kök yazılımı kaldırmaya çalıştım ama yemedi.
Sistem geri yüklemeyi kullanarak 1 hafta önceki haline geri yükledim ama o da yemedi.
Bende bozulan dosyalardan biraz yedek alıp eve geldim. Dosyayı kendi bilgisayarımda nasıl çözerim diye araştırırken karşıma Emisoft diye bir yazılım çıktı.
Ne hikmetse cdtt uzantılı dosya ile ilgili nasıl bir arama yayarsam yapayım karşıma emisoft çıktı.
İndirdim kurdum ama o da çözemedi.
Şöyle bir "readme" dosyası var;
Kod:
ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-FCWSCsjEWS
Price of private key and decrypt software is $1999.
Discount 50% available if you contact us first 72 hours, that's price for you is $999.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:
0845OSkw2cKKxd0QipQw18j49itcIldshjOkMWyw8IslC0Dx

Yeğenimin bebeklik resimleri filan olmasa uğraşmayacağım ama onlar giderse yedekleri de yok. Var mı akıl verebilecek kimse?

Ekran görüntüsü 2024-01-15 225512.png
 
  • Beğen
Reactions: nt
Bootable antivrüs programlarını denedin mi? İşletim sistemi yüklenmeden sistemi tarıyor. Belki işe yarayabilir.

Norton Bootable Recovery Tool

Kaspersky Rescue Disk
 
Cdtt arayınca şu video çıktı galiba çözüm anlatılıyor

Bakıyorum hemen.

Bootable antivrüs programlarını denedin mi? İşletim sistemi yüklenmeden sistemi tarıyor. Belki işe yarayabilir.

Norton Bootable Recovery Tool

Kaspersky Rescue Disk
Derdim virüsü silmek değil. Makineyi formatlayacağım zaten.
Şuanda tek sıkıntım şifrelenmiş dosyaları çözmek-kurtarmak.
 
@nt Hemen yazar bir python kodu çözer bütün dosyaların şifresini :) .
 
Şimdi benim ingilizcem yok. İzlediğim kadarıyla anladığımı söyleyeyim.
Bir tande malaware yazılımı ile pc yi temizliyor, sonrasında şifrelenmiş dosyaların sonuna eklenen ".cdtt" uzantısını elle siliyor ve dosya geri geliyor.
Bu şekilde yapınca olmuyor maalesef.
Videoda başka bir şey anlattıysa ben anlamadım.
 
Şimdi benim ingilizcem yok. İzlediğim kadarıyla anladığımı söyleyeyim.
Bir tande malaware yazılımı ile pc yi temizliyor, sonrasında şifrelenmiş dosyaların sonuna eklenen ".cdtt" uzantısını elle siliyor ve dosya geri geliyor.
Bu şekilde yapınca olmuyor maalesef.
Videoda başka bir şey anlattıysa ben anlamadım.
Videonun sonunda bu program dosyaların şifesini çözmez diyor. Yani sadece malware'i temizliyor.
 
Geçmiş olsun. Virüsün bulaştığı bilgisayarda videodaki programla dosyaları geri kurtarmayı deneyebilirsiniz.

Teşekkürler.
Bulabildiğim tek şifre çözücü emisoft aşağıdaki mesajı vererek umudumu iyice kırdı.

Kod:
Kötü amaçlı yazılım, dosyalarınızı şifrelemek için çevrimiçi bir anahtar kullandı. Şifre çözme anahtarını sizinle paylaşacak kimse yok. Dosya kurtarma ancak fidyeyi ödeyerek mümkündür.

Son olarak PohotoRec deneyeceğim. O da olmazsa dosyaların yedeğini alıp ileride bir gün çözüm çıkarsa diye bekleyeceğim..
 
Teşekkürler.
Bulabildiğim tek şifre çözücü emisoft aşağıdaki mesajı vererek umudumu iyice kırdı.

Kod:
Kötü amaçlı yazılım, dosyalarınızı şifrelemek için çevrimiçi bir anahtar kullandı. Şifre çözme anahtarını sizinle paylaşacak kimse yok. Dosya kurtarma ancak fidyeyi ödeyerek mümkündür.

Son olarak PohotoRec deneyeceğim. O da olmazsa dosyaların yedeğini alıp ileride bir gün çözüm çıkarsa diye bekleyeceğim..
Bildiğim kadarıyla photorec sadece veri kurtarma yazılımı şifreli dosyaları çözmeye yarayan bir program değil. Yani silinmiş veya zarar görmüş dosyaları kurtarır.
 
Bildiğim kadarıyla photorec sadece veri kurtarma yazılımı şifreli dosyaları çözmeye yarayan bir program değil. Yani silinmiş veya zarar görmüş dosyaları kurtarır.
Zararlı yazılım dosyaların orjinallerini silip kendi oluşturduğu şifreli dosyayı bırakıyor. Bir ihtimal kurtarma yolu ile geri alınabilir diye düşünüyoruz.
 
Teşekkürler.
Bulabildiğim tek şifre çözücü emisoft aşağıdaki mesajı vererek umudumu iyice kırdı.

Kod:
Kötü amaçlı yazılım, dosyalarınızı şifrelemek için çevrimiçi bir anahtar kullandı. Şifre çözme anahtarını sizinle paylaşacak kimse yok. Dosya kurtarma ancak fidyeyi ödeyerek mümkündür.

Son olarak PohotoRec deneyeceğim. O da olmazsa dosyaların yedeğini alıp ileride bir gün çözüm çıkarsa diye bekleyeceğim..
sadece dosyaların değil sistemin enfekte haliyle komple imajını alın. şifreleme için kullanılan keyleri çıkarmak için gerekebilir ayrıca bildiğim bazı şifreleyiciler 72 saat sonunda şifreleme keylerini siler ve kurtarmayı da imkansızlaştırmaya çalışır o yüzden çok geciktirmeyin
 
en mantıklı yol diskin imajını almak hatta o diski söküp kenara koymak. yarın öbür gün baktılar büyük para koparamıyor 10-20 dolara keyleri verebilirler. ya da çözen bi yazılım çıkabilir.

bu sebeplerden hem bilgisayarda hem de telefonumda ücretli bitdefender kurulu ayrıca önemli klasörlerin hepsini sürekli olarak google drive yedek alıyor.

arada açıp bitdefenderin uyarılarına bakıyorum. o kadar normal görünen web sitelerinde bile trojan-pishing yazılımları var ki inanamazsın.
 
Geçmiş olsun öncelikle Gökhan abi.

Fidye virüsü sisteme enfekte olurken öncesine kendisine tanımlanan tüm excel word not defteri resim dosyalarını kendi kimliğine göre uzantısını değiştiriyor ve bunları kendi sunucusundaki online encyrpt keyi ile şifreliyor.

Dosya adı uzantısınu manual elle değiştirmen veya sistem geri yükleme yapman hiç bir sonuç vermez.Sadece bu windowsdaki bir dosyaya sağ click yapıp özelliklere girdiğimizde önceki versiyonlar (shadoe copy)diye seçenek vardı.o Kısım aktifse bu kripto virüsünün bir varyantında geri getirebiliyordunuz dosyalarınızı. oraya bakmanızda yarar var.

İstediğiniz kadar ücretli antivirüs programını kullanabilirsiniz kripto virüsüyle 2015 yılında tanıştım.tüm şirket bilgisayarları tüm usb portlar ana sunucu üzerinden yönetilmesine rağmenn kullanıcının turk telekom oltalama mailini fatura zannedip tıklamasıyla tüm sistem yedi fidye virüsünü.Çünkü antivirüs programı virüs uzantısını tanımıyordu aldı kabul etti sonrası güm.

Kullanıcı olarak bizlerin uyanık olmasında yarar var artık.Önceleri internete giren virüs yer otururdu aşağı.Şimdilerde öyle bişey kalmadı böyle oltalama mailleriyle fidye virüsleri kullanıcı rızasına bırakılıyo.Kullanıcı da diyor ki aa faturam geldi,kargom ulaşmadı o anki telaşla onaylıyo tüm uyarıları ve sisteme bulaşmış oluyo.

Diski sistemden ayırın ve yeni diskle yolunuza devam edin.Oldu ki çözebilen varyantı buldunuz dosyaları çözer sıfırdan formatlar devam edersiniz.
 
Konuyla ilgili biraz araştırma yaptım

yanlış saymadıysam 64 karakter var bunlar şifreyide 64 karakter yapmış olabilirler
bunu py ile yapabiliriz ama benim makina kaldırmaz bu işlemi

Taksit yapmıyolarmı usta :katil1:
Görüşmedim. Düşünmüyorum da.
 
Şifreyi çözsem nereye giricem onuda bilmiyorum ki
 
O zaman sen kodu yaz gönder bana. Gerekirse 1 ay makineyi açık bırakırım. Emeğini de karşılıksız bırakmam.
 
2017-2019 arası bende solidwork yüzünden yedim bu fidye virüsünü kendim ayrı @VincentVega ayrı uğraşmıştı dosyaların raw verisi bir şifre ile şifreleniyor hatta parayı verince çalışıp çalışmadığını görmek için en önemli bir dosyamı ücretsiz acıp bana göndereceklerini bile söylediler. Her yere readme dosyası bırakmışlar zaten. Eh tabi yapılacak tek şey format atmaktı bende öyle yaptım daha sonrasın da ise antivürüs dahi kurmadım çünkü o kadar araştırma yaptım ki artık neyin virüs neyin virüs olmadığını anlar hale geldim.

Zaten antivürüsler bir işe yaramıyor yaraması için yeni virüsü tanıması lazım onuda tanıyamıyor. Hele bu fidye virüslerini hiç tanıyamıyor. Bu virüsleri yapanların da antivürüe şirketlerinde çalıştıklarını düşünüyorum.
 
Eski bir malware analizcisi olarak şunu demek isterim ki, herkesinde düşündüğü gibi bu bir fidye virüsüdür. Cdtt ise geliştiricisinin veya APT grubunun imzasıdır. Bir kaç firmanın böyle çalışması var. Emsisoft ve malwarebyte vs. Şimdi olay şu Ransomwarelerde temel mantık şifreleme ve klasör ağacındaki belirli başlı önemli dosyaların şifrelenmesidir. Bu virusler ile mücadelede için yapılan çalışmalarda genelde şüpheli dosya ele alınıp sandbox ortamlarında reverse engineering yapılarak. İçindeki kullanılan şifreleme algoritması bulunur.

Örnek şifreleme yaparken en performanslı ve hızlı algoritmayı kullanmaları gerekiyor çünkü kullanıcı dosyaların değiştiğini görünce bilgisayarı kapatıp şüphelenebilir bu yüzden boot esnasında şifrelemeye başlayabilir. Bu algoritmalarda belli başlı yanlışlıklar yapılabiliyor. Malware Araştırmacıları veya firmalar bunları keşfedip "Removal"larını oluşturuluyorlar. Genelde olarak Readme.txt veya virusun içindeki belli başlı sabit alanlar virusun türünü ve familyasını bulmak için kullanılıyor. Sadede gelecek olacaksak Emsisoft vb. veritabanlarında yoksa virus. Açıkcası söylemeliyim ki çok zor. Keyi gibi görünen şeylerin karakteri uzunluğu ile hiçbir yere gidilmez. Çünkü arkadaki algoritmayı bilmeden brute force saldırısı yaptığında uzay boşluğuna göndermiş olacaksın. Ransomwareyı yapan adamlar key olarak "Ransom1234" gibi şeyler kullanmaz. Size key girme alanı bile koymayabilirler sizin onlara vereceğini referans kodu ile bir program daha oluşurup için private key koyarlar.

Örnek
Kod:
-----BEGIN PRIVATE KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCgbFKcsF2OGimsqheG6Eiv8I+p pyQs69iy1qqXqb7FexdWNGYpygKR6qXSl6USogorwytMLZcWnFRaat81cFn1ZCsR m0mRDX3SXh5tQL5RZrGaK5SlnQiFQq9eudv59nMU6ugkAZt62SaaYxc/nJOVXJpG ZWUIVxvqQ0SN5Dh/OQIDAQAB

-----END PRIVATE KEY-----

Brute force olayını düşünmek mantıksız.

Acı ama gerçek bazı hack forumların bu tarz programların çözebilen kişiler olabiliyor. Genelde 1000 dolar ise size 500 dolara yapıyorlar. Bu bir strateji genelde yine işin arkadasında geliştirici ekibi veya komisyoncusu oluyor.10 dolar bile olsa para almak almamaktandan daha iyidir diye düşünüyorlar. Bir yerden kaçsanız bile diğer yerde yine karşınıza komisyoncusu çıkabilir. Bunlarında sahte olma ihtimalinede çok yüksektir. En iyisi yorumlarda bahsedilen sistemin komple imajının alınmasıdır. Başka bir alanda güvenli cihazda removalların veya internetteki çözümlerin denenmesi. Diğer türlü eğer dosyaları silen bir removal veya çözüm olabilir fark etmeden yaparsanız elinizdeki tüm veriler gider.
peki bu durmlara düşmemek için en sağlam antivirüs hangisi ? uzun süredir bitdefender total security kullanıyorum. sanki araştırmalara göre en iyi tespit oranlarına bitdefender ulaşıyor. çok sağlam gibi görünen web sitelerinde bile bazen sayfada phishing ya da benzer bir kod çıkabiliyor.
 

Forum istatistikleri

Konular
6,954
Mesajlar
118,780
Üyeler
2,824
Son üye
selocan32

Son kaynaklar

Son profil mesajları

hakan8470 wrote on Dede's profile.
1717172721760.png
Dedecim bu gul mu karanfil mi? Gerci ne farkeder onu da anlamam. Gerci bunun anlamini da bilmem :gulus2:
Lyewor_ wrote on hakan8470's profile.
Takip edilmeye başlanmışım :D ❤️
Merhaba elektronik tutsakları...
Lyewor_ wrote on taydin's profile.
Merhabalar. Elektrik laboratuvarınız varsa bunun hakkında bir konunuz var mı acaba? Sizin laboratuvarınızı merak ettim de :)
Lyewor_ wrote on taydin's profile.
Merhabalar forumda yeniyim! Bir sorum olacaktı lcr meterler hakkında. Hem bobini ölçen hemde bobin direnci ölçen bir lcr meter var mı acaba?
Back
Top