cdtt virüsü

Eski bir malware analizcisi olarak şunu demek isterim ki, herkesinde düşündüğü gibi bu bir fidye virüsüdür. Cdtt ise geliştiricisinin veya APT grubunun imzasıdır. Bir kaç firmanın böyle çalışması var. Emsisoft ve malwarebyte vs. Şimdi olay şu Ransomwarelerde temel mantık şifreleme ve klasör ağacındaki belirli başlı önemli dosyaların şifrelenmesidir. Bu virusler ile mücadelede için yapılan çalışmalarda genelde şüpheli dosya ele alınıp sandbox ortamlarında reverse engineering yapılarak. İçindeki kullanılan şifreleme algoritması bulunur.

Örnek şifreleme yaparken en performanslı ve hızlı algoritmayı kullanmaları gerekiyor çünkü kullanıcı dosyaların değiştiğini görünce bilgisayarı kapatıp şüphelenebilir bu yüzden boot esnasında şifrelemeye başlayabilir. Bu algoritmalarda belli başlı yanlışlıklar yapılabiliyor. Malware Araştırmacıları veya firmalar bunları keşfedip "Removal"larını oluşturuluyorlar. Genelde olarak Readme.txt veya virusun içindeki belli başlı sabit alanlar virusun türünü ve familyasını bulmak için kullanılıyor. Sadede gelecek olacaksak Emsisoft vb. veritabanlarında yoksa virus. Açıkcası söylemeliyim ki çok zor. Keyi gibi görünen şeylerin karakteri uzunluğu ile hiçbir yere gidilmez. Çünkü arkadaki algoritmayı bilmeden brute force saldırısı yaptığında uzay boşluğuna göndermiş olacaksın. Ransomwareyı yapan adamlar key olarak "Ransom1234" gibi şeyler kullanmaz. Size key girme alanı bile koymayabilirler sizin onlara vereceğini referans kodu ile bir program daha oluşurup için private key koyarlar.

Örnek
Kod:
-----BEGIN PRIVATE KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCgbFKcsF2OGimsqheG6Eiv8I+p pyQs69iy1qqXqb7FexdWNGYpygKR6qXSl6USogorwytMLZcWnFRaat81cFn1ZCsR m0mRDX3SXh5tQL5RZrGaK5SlnQiFQq9eudv59nMU6ugkAZt62SaaYxc/nJOVXJpG ZWUIVxvqQ0SN5Dh/OQIDAQAB

-----END PRIVATE KEY-----

Brute force olayını düşünmek mantıksız.

Acı ama gerçek bazı hack forumların bu tarz programların çözebilen kişiler olabiliyor. Genelde 1000 dolar ise size 500 dolara yapıyorlar. Bu bir strateji genelde yine işin arkadasında geliştirici ekibi veya komisyoncusu oluyor.10 dolar bile olsa para almak almamaktandan daha iyidir diye düşünüyorlar. Bir yerden kaçsanız bile diğer yerde yine karşınıza komisyoncusu çıkabilir. Bunlarında sahte olma ihtimalinede çok yüksektir. En iyisi yorumlarda bahsedilen sistemin komple imajının alınmasıdır. Başka bir alanda güvenli cihazda removalların veya internetteki çözümlerin denenmesi. Diğer türlü eğer dosyaları silen bir removal veya çözüm olabilir fark etmeden yaparsanız elinizdeki tüm veriler gider.
Peki biz önemli dosyalarımızı google driveda yedekliyorsak fidye yazılımı bu dosyaları değiştirdiğinde google drive dosya değişti diye sağlam dosyayı şifreli dosyayla değiştiriyor mu? Eğer böyle böyle google drive yada benzeri sistemler de çözüm değil.
 
Hocam Ransomware Linux tabanı içinde tehtiddir. Bir compiled binary veya sh scriptin içine payload olarak aynı şeyi gömebilirler. Sonuçta klasör ağacı ve dosyalama sistemi linuxdada mevcuttur. Her işletim sisteminde bilinçli bir kullanıcı olmak avantaj sağlar. Linux privilege escalation(yetki yükseltme) zafiyetleri bol bir işletim sistemidir. Windowsun genelde hedef alınması ise muhasebe programlarının windows sql server ile daha yoğun çalışması. Şimdiye kadar gördüğüm bir çok muhasebe firmasıda MSSQL kullanılıyor. Peki herkes linuxa geçerse sorun kalmıcak mı derseniz. Bu sefer namlu linuxa dönecektir. :D

Malware yapan firmalar da para kazanmaya çalışıyor. O yüzden de saldırı hedefini ona göre seçiyorlar. Linux'tan kazanılacak pek para yok, o yüzden güvenli liman. Ama tabi üzerine odaklanılsa linux için de malware yazabilir bu firmalar.
 
64 karakter aldatmasın
64 x 256 = 16.384 bit

Sadece karakterler yer değiştirmiyor bitler değiştiriyor olsa..

bilinmeyen uzunluktaki bilinmeyen algoritma için şifreyi çözmek bilinmeyen zaman kadar sürecektir
 
Hocam şöyle söyleyeyim Bu tarz saldıralarda genelde Antivirusleri bypasslıyorlar. Fud denen bir kavram var. Full Undetected (Tamamen Tespit edilemeyen) bu işlemden geçen malware, anviriuslerı bypasslıyor. Benim gördüğüm aktif olarak malwarebytes bu konuda çok hassas çalışmaları çok fazla. Bir nebze yardımcı olabilir. Fakat aktif çözümler için yeni yeni methodlar üretilip sunuluyor. Bunları antivirusler farkedemiyor. Bazıları işletim sisteminin belli başlı servisleri üzerinden saldırılıyor.

Bunun için seneler önce VEEAM Backup'ın istanbuldaki seminerine gitmiştim. Bu sistem üzerine dünyada lider konumdalar diyebilirim. Ransomware yeseniz bile yedeklerinizi güvenle tutuyorlar. Tabi bu firmadan firmaya değişebilir . Hep tam yedek tutup eski yedekleri siliyorsanız gidebilir. Dosya Sekronu yapıyorsanız ayrıdır. Ama Eğer kullanmak istiyorsanız veeam backupı 25 bilgisayara kadar ücretsiz bir şekilde kullanabiliyorsunuz diyebiliyorum.
Ben dosya senkronu kullandığım için risk var. Aslında ubuntu kullanıyorum pcde çoğunlukla. Yani bu tip yazılımlar için potansiyel hedef değilim.Ama sağolsun google linux için client sunmadığı için ve diğer servisler google drive'a göre çok pahalı olduğu için mecbur hdd-google drive senkronu için arada windows açmak durumunda kalıyorum. Bu yüzden google'a ayrı uyuzum zaten. Neredeyse tüm sistemleri linux üzerinde ama linux için client çıkarmıyorlar. Linux için bu işlemi yapan insynq varmış ama güvenip denemedim. Verdiğim paranın boşuna gitmesi hoşuma gitmiyor.
 
Son düzenleme:
https://www.veeam.com/downloads.html community editon kısmına bakıp orada google ve diğer servisler için ücretsiz alanları görebilirsiniz. Linux desteğide var bildiğim kadarıyla. Ürün katalogunda gördüm Community editionda malware korumasıda varmış.
Şimdi baktım ama bir boyut kısıtlaması var mı yok mu tama anlayamadım. Benim google driveda 2tb alanım var. Ücretsiz planın kısıtlamaları neler tam çözemedim. Yine de biraz daha inceleyim. Genelde böyle iyi hizmet veren firmalar ücretsiz versiyonlarında ciddi kısıtlamalara gider.
 
Son düzenleme:
Hocam şöyle söyleyeyim Bu tarz saldıralarda genelde Antivirusleri bypasslıyorlar. Fud denen bir kavram var. Full Undetected (Tamamen Tespit edilemeyen) bu işlemden geçen malware, anviriuslerı bypasslıyor. Benim gördüğüm aktif olarak malwarebytes bu konuda çok hassas çalışmaları çok fazla. Bir nebze yardımcı olabilir. Fakat aktif çözümler için yeni yeni methodlar üretilip sunuluyor. Bunları antivirusler farkedemiyor. Bazıları işletim sisteminin belli başlı servisleri üzerinden saldırılıyor.

Bunun için seneler önce VEEAM Backup'ın istanbuldaki seminerine gitmiştim. Bu sistem üzerine dünyada lider konumdalar diyebilirim. Ransomware yeseniz bile yedeklerinizi güvenle tutuyorlar. Tabi bu firmadan firmaya değişebilir . Hep tam yedek tutup eski yedekleri siliyorsanız gidebilir. Dosya Sekronu yapıyorsanız ayrıdır. Ama Eğer kullanmak istiyorsanız veeam backupı 25 bilgisayara kadar ücretsiz bir şekilde kullanabiliyorsunuz diyebiliyorum.
çok yeni bir fidye virüsüne denk geliyorsak ya da özel hedef seçildiysek o zaman zaten yapacak birşey yok. ama fark edilmiş virüsleri fazla oyalanmadan databese eklerler diye düşünüyorum. mesela bu konudaki cdt çok uzun zamandır biliniyor. muhtemelen bir virüs koruması olsa bu durum olmazdı.
 
Son düzenleme:
Dosyanın orjinali ile şifrenlemiş hali karşılaştırıbilirse belki ancak o şekilde kurtarılabilir.

Daha önce hafıza kartım bilgisayar görmez olmuştu. Fotoğrafları kurtarmak istediğimde önizleme dosyası sağlamsa kurtarılabildiğini okumuştum. Bir süre sonra sinirlenip bırakmıştım uğraşmayı.

Linuxta silinen dosyaları geri getirme gibi programlarıyla belki birşeyler yapılabilir. Uzantıyı düzeltip açmaya çalışılabilir.
 
Başka bir öneri:

Hedef bilgisayarda çözme işini yapacak bir uygulama iletiliyor veya oluşturuluyor olmalı

Çok sayıda mağdur para toplasa, kişi başı 1usd gibi maliyet olacak. Yem olarak bir bilgisayar virüse mağdur edilecek. Ödeme yapıldığında çözücü veya çözme yöntemi iletilirse antivirüs geliştirme ekibi olayı itinayla inceleyerek genel bir çözücüyü yapabilir.

Çözücü gelitiriştirildiğinde tüm mağdurlar yararlanmış olur.
 
Fidye virüsünü yiyen her makine için ayrı decrypt programı gönderiliyor.

Bu yüzden her makinede ayrı encrypt keyle şifreleniyor dosyalar.
 
Kannada yı 2 defa yazmışsın.
Ayrıca bu kannadalılar hala medeniyete ulaşamamışlar mı? Neden resimler ile kendilerini ifade etmeye çalışıyorlar? :D
 
  • Haha
Reactions: nt
Çince harfler tahminimden daha azmış yav. Ben öğrenirim bu çinceyi :ok1:
 
  • Beğen
Reactions: nt
Daha önce ödeme yaparak çözdürme yapanlardan, varsa dosyanın şifreli hali ve çözülmüş hali toplanacak

Şu 3lü setlerden bolca olsun

Şifreli dosya, şifre, çözülmüş dosya


Bunları yapayzekaya verelim. Uğraşsın çözsün :)
 
  • Beğen
Reactions: nt
Eğer içi boş yada çoğunluğu boş olan bir dosya varsa bunu nasıl etkilemiş diye hex kodları açılıp incelenebilir buradan mantık yürütülebilir. dosyaya basit bir xor işlemi ile dönüştürmüş olabilirler , nedeni dosyanın olduğu gibi değişmesi önceki kaydının olmaması harddiskten kurtarma yapılamamsı için.

Cdtt doyalarında dosya büyüklüğü değişmiş mi ? Tahmimince aynıdır.
 
  • Beğen
Reactions: nt

Forum istatistikleri

Konular
6,954
Mesajlar
118,780
Üyeler
2,824
Son üye
selocan32

Son kaynaklar

Son profil mesajları

hakan8470 wrote on Dede's profile.
1717172721760.png
Dedecim bu gul mu karanfil mi? Gerci ne farkeder onu da anlamam. Gerci bunun anlamini da bilmem :gulus2:
Lyewor_ wrote on hakan8470's profile.
Takip edilmeye başlanmışım :D ❤️
Merhaba elektronik tutsakları...
Lyewor_ wrote on taydin's profile.
Merhabalar. Elektrik laboratuvarınız varsa bunun hakkında bir konunuz var mı acaba? Sizin laboratuvarınızı merak ettim de :)
Lyewor_ wrote on taydin's profile.
Merhabalar forumda yeniyim! Bir sorum olacaktı lcr meterler hakkında. Hem bobini ölçen hemde bobin direnci ölçen bir lcr meter var mı acaba?
Back
Top