cdtt virüsü

Brute force'a bel bağlamayın evet kodu kodu genrate ettik diyelim, fidye virüsü el sıkışmalı çalışır.

Sen doğru kodu girdin çok güzel o kod aktifleşmesi için "pay" olarak atanan "bit"'i kontrol eder pay eğer aktif değilse o kod aktifleşip kendini imha etmez virüs.

Doğru anahtarı bulup bulmamak boş bu adamlar aptal değil, tamamen İnternete bağımlı bir virüs yazıp pay check yapmamaları size mantıklı geliyor mu empati kurun
 
Fidye virüsünü yazanlar dosyayı şifrelerken "bir kerelik şifre" denen yöntemi mi kullanıyor?
 
  • Beğen
Reactions: nt
Ben yazıyor olsam böyle bir virüsü, PC nin özgün özelliklerinden birini baz alarak şifre üretirdim. Mesela MAC adres. Böylece diyelim adam bit koyunları bana gönderdi. Tek yapmam gereken "mac adresini söyle" demek. Sonra da lokal olarak aynı şifreyi ürettirip adama veririm.

Ama tabi bu virüs yazanlarda müşteri memnuniyeti diye bir kaygı yoktur. O yüzden belki de hiç uğraşmam, alırım koyunları çıkarım yaylaya. Adam da ne halt edersen etsin :gulus2:
 
  • Haha
Reactions: nt
VincentVega dedi ki:
Hocam ilk işinizden sonra keygeni yapılırdı :)
Genişletmek için tıklayın...

Bunun bir garantisi yok. Kriptolojide "one way function" denen algoritmalar var. f(X) = Y oluyor. Ama f(Y) = X veren bir fonksiyon ya hiç bulunamıyor, yada çok sayıda X bulunuyor, bir işe yaramıyor.
 
Reverse etme olayı yok yav. Sen MAC adres söylüyorsun, ben KENDİ bilgisayarımda bulunan bir one way hash üretip sana veriyorum, sen de decrypt ediyorsun. Benim bilgisayarımdaki programı adam nasıl reverse edecek? decrypt eden programı reverse ederse ne faydası olacak? Senin elinde openssl in bütün kaynak kodları var, reverse etmene de gerek yok. Bütün şifreleri kırabiliyor musun?
 
Veya şunu düşün. Linux'ta zip programı kullanarak bir dosyayı ben zipledim. Ama şifre de koydum. Sende zip programının kaynak kodu var, çünkü linux zip program açık kaynak. Benim şifreli zip dosyasının şifresini kırabilir misin? Veya Windows'da winzip'i düşünelim, kaynak kodu elimizde yok. IDA Pro kullansan kırabilir misin?

Bu arada IDA Pro var bende. Profesyonel olmasam da kullanmasını biliyorum :)
 
Bilgisayara özel değerlerden private key üretmek çok iyi çalışmayabilir. Örneğin bilgisayarda birden fazla MAC adresi olabilir. Çözme işleminden önce bilgisayarın ethernet kartı değiştirilmiş olabilir. Disk başka cihaza taşınmış olabilir.

Şifrleyenin kendisini kısıtlamasına gerek yok. Oradaki "Personal ID" zaten aynı işi görüyor.
Bu değer bilgisayar özelliğinden üretilmiş ya da rastgele üretilmiş hiç önemi yok. Private Key'i almak için bu numarayı söylemek yeterli olacak. Hem MAC adresini almayı bilmeyene anlatmak daha zor. Ya Private Key bu Personal ID numarasından üretilmiştir ya da bu "Personal ID" geri döndürülebilecek şekilde private keyden.

Benim fikrim personal id değerinin tamamen rastgele üretildiği (olmasa da hiç farketmez) ve bu değer kullanılarak bir private key üretildiği ve bu kaullanılarak dosyaların şifrelendiği.

Adamın yapacağı şey sadece sizden bu Personal ID değerini alıp algoritmasına sokup Private Key'i tekrar üretmek ve size göndermek. Siz de yazılıma bu Private Key değerini gireceksiniz ve gerisini size verdiği yazılım halledecek.



Moral bozmak istemem ama;, kırma işine gelince;

@nt 64 karakterli bir anahtarı Brut Force yöntemi ile çözemezsiniz (yani çok şanslı değilseniz). Kabaca ortalamada 2 üzeri 4093 deneme (her karakter için 64 alternatif olduğunu varsayarak) yapmak lazım. Kaç basamaklı bir sayıdan bahsediyoruz bilmiyorum ama 1000-1200 basamaklı diye tahmin edebilirim. Tabi çok şanslısınızdır daha milyonda birlik dilimde denk gelirsiniz anahtara, 1-2 ayda çözersiniz o ayrı. Diğer türlü bir ömür sürer.

Ayrıca personal id 64 karakter diye private key de 64 karakter diye birşey de yok.

Çözebilmek için şu yöntemlerle yaklaşılabilir:
1- Virüs dosyasını temin edip assembler kodundan private key üretme yöntemini bulmaya çalışmak. (eğer private key random üretiliyor ve geri döndürülebilir olarak bu key ile personal id üretiliyorsa private key üretme algoritması virüsün iiçnde değildir. Bu yol işe yaramaz) (eğer virüs internetten bir servis çağırarak private key ürettiriyorsa yine bu algoritma dışarıdadır ve işe yaramaz)

2- Şifrelenmiş dosyaların şifrelenmemiş yedekleri varsa bunları karşılaştırarak analiz yapmak. Bu da çok zor ve deterministik olmayan bir yöntem.

Her iki yöntem de zor veileri seviyede uzmanlık istiyor. Programı geliştiren kişinin de bu konuda uzman, daha önce binlerce kırma denemesi görmüş ve art niyetli olduğunu düşünürsek burada bizim iki dakikada aklımıza gelmeyen bir sürü önlem de almış olabileceğini tahmin edersiniz.
 
kriptolama islemini herhalukarda bir exe yada calistirilabilir bir uygulama yapiyorsa antivirusler neden bu kadar duyarsiz, niye kimse uygulamaya arkadas sen hayirli bir isle ugrasmiyorsun git bir yetki al filan diyip islemi durdurmuyor, belliki sirali bir sekilde dosyalar uzerinde bir islem yapiliyor, normalde kullanicinin bu islemi bu kadar hizli ve daginik yapamayacagini antivirus programi kestiremiyor mu.
 
Haze dedi ki:
kriptolama islemini herhalukarda bir exe yada calistirilabilir bir uygulama yapiyorsa antivirusler neden bu kadar duyarsiz, niye kimse uygulamaya arkadas sen hayirli bir isle ugrasmiyorsun git bir yetki al filan diyip islemi durdurmuyor, belliki sirali bir sekilde dosyalar uzerinde bir islem yapiliyor, normalde kullanicinin bu islemi bu kadar hizli ve daginik yapamayacagini antivirus programi kestiremiyor mu.
Genişletmek için tıklayın...
hiv ya da grip virüsüne karşı bir aşının olamaması ile ayne sebepten; kriptik yani yapısı sürekli değişiyor
 
gömülü bir yazılım içindeki decrypter ile bir iş yapmıştık. decrypt keyi yazılımın içinde duruyordu ama düz bir string olarak değil. parçalanmış ve alakasız lokasyonlarda bulunan değerler bir algoritma ile decrypt öncesi ram içinde oluşturulup iş bitince o ram adresleri random veri ile dolduruluyordu.

tabi bu sistem de kurşun geçirmez değil. ama bizi hackleyebilecek kişilerin kapasitesini biliyordum. en fazla chipleri kırdırıp içindeki hexi elde edebilirlerdi. fakat disassemble edip algoritmayı çözeceklerine ihtimal vermedim. öyle de oldu zaten.

yani şunu diyorum bizim bu ultra dandik cihazda bile ve bu işin acemisi olduğumuzu da düşünerek. bu kadar önlem varsa o virüsün içinde neler neler vardır.
brute force ile denemek bile manasız o ayrı konu. keyi denk getirmeyi geçtim algoritma bilinmiyor.
 
belki yaniliyorumdur bilmiyorum ama birazda bu isler win kolayciligi yuzunden oluyor, win7 ilk ciktiginda ag dosya paylasimi yapana kadar kirk takla atmistim sonra patc ler filan ayni xp ye donmustu ayni durum win10 icinde gecerli, win ta kullanici her yetkiye sahip olmak istiyor sonrada bu yetkili kullanici ile internette dolasirken kendine yarar sagladigini zannettigi bu yetkiler sistem acigina donusuyor, mesela linuxta dosya paylasmak o kadar kolay degil yada bir program kurmak, eger ana dizinlere kurulum yapacaksaniz size hemen root sifresi sorar, guvenli sunuculardanda kurulum yaparsaniz kolay kolay virus derdiniz olmaz, tabiki kotu niyetli birisi bir sh dosyasina zararli kodlari gomer ve sizin farkina varamayacaginiz sekilde size zarar verebilir ama bunlar uc senaryolar, bilinen kaynaklardan kurulum yaparsaniz boyle bir derdinizde olmaz, zamaninda yazdigim uygulamalarin database lerini(pgsql) hep ayri bir linux makinaya kurardim ve db user yetkisi haricinde bir allahin kuluna erisim yetkisi vermezdim, client win tarfinda ne yaparsa yapsin, 15 senedir calisan uygulamalar var, demem oki kurallariniz kati olursa basinizda az agrir, bir sirkette gormustum adam windows makinaya lks server kurmus sonrada oturmus ayni makinada internette sorf yapiyor makinaya girip cikan flash disklerin haddi hesabi yok, bakarsan arkadas uzman kendine toz kondurmuyordu tabiki sonu husran, tabi tum sucta kullanicida degil, microsoftta her kesimden kullaniciya oyuncuya hitab edebilmek icin isleri cok kolaylastiriyor tek tiklama ile silent modda kurulan programlar var kimseyi uzmuyor antivirus ne halt yesin, ulkenin en belali mahallesinde asayis saglamaya calisan guvenlik gorevlisi gibi.
 
Merhabalar, 36 saatir çözüm aramadığım forum sitesi izlemediğim youtube videosu kalmadı. Fidye virüsü bulaştı tüm dosyalarımın uzantısı " cdtt " olarak uzatıldı. Saldırganın istediği ücret 1999 $ erken ödeme de kolaylık sağlıyor 999 $ sağolsun. Youtube' de bir kaç paylaşımda bat dosyası ile şifrelenmiş dosyaların şifresinin kırıldığını gördüm çözüm için iletişime geçilmesi iştenmiş telegram ve mail adresi paylaşmışlar çöze bileceğini idda eden 3 adrese iletişime geçtim adresler den birisi 75 $ istedi pazarlıkla 50 $ düştü bir diğer adres 300 $ dolar istedi pazarlık yapmadı kalan son adres henüz dönmedi. Anladığım şifreleme için kullanılan key olmadan %100 bu kişilerinde şifreleri kırıp kıramayacağının garantisi yada ödeme yapılsa dahi dosyaların başarılı şekilde şifrelerinin kaldırılabileceğinin garantisi yok 1 Tb 20 yıllık kişisel arşiv yalan oldu. Programlar vs önemli değil yerine konula bilecek şeyler fakat çocukların resimleri, videoları vs önemli kısımd. 36 saatlik araştırmaların sonunda nezaket ve profesyonel olarak konunun en iyi bu başlık altında tartışıldığını gördüm " Nt " kullanıcısının yazmış olduğu kodların başarılı olup olmadığını merak edişimin yanı sıra sizlere sormak istediğim " cdtt " yeni varyant olduğu için ( en azından ben böyle anladım ) " Emsisoft " veya başka yöntemler geliştirilene kadar yedeklerimi saklamalımıyım? Yeni varyant için çözüm kısa sürede çıkar veya çıkartılma şansı olabilir mi?
 
Yıkılmaz dedi ki:
Merhabalar, 36 saatir çözüm aramadığım forum sitesi izlemediğim youtube videosu kalmadı. Fidye virüsü bulaştı tüm dosyalarımın uzantısı " cdtt " olarak uzatıldı. Saldırganın istediği ücret 1999 $ erken ödeme de kolaylık sağlıyor 999 $ sağolsun. Youtube' de bir kaç paylaşımda bat dosyası ile şifrelenmiş dosyaların şifresinin kırıldığını gördüm çözüm için iletişime geçilmesi iştenmiş telegram ve mail adresi paylaşmışlar çöze bileceğini idda eden 3 adrese iletişime geçtim adresler den birisi 75 $ istedi pazarlıkla 50 $ düştü bir diğer adres 300 $ dolar istedi pazarlık yapmadı kalan son adres henüz dönmedi. Anladığım şifreleme için kullanılan key olmadan %100 bu kişilerinde şifreleri kırıp kıramayacağının garantisi yada ödeme yapılsa dahi dosyaların başarılı şekilde şifrelerinin kaldırılabileceğinin garantisi yok 1 Tb 20 yıllık kişisel arşiv yalan oldu. Programlar vs önemli değil yerine konula bilecek şeyler fakat çocukların resimleri, videoları vs önemli kısımd. 36 saatlik araştırmaların sonunda nezaket ve profesyonel olarak konunun en iyi bu başlık altında tartışıldığını gördüm " Nt " kullanıcısının yazmış olduğu kodların başarılı olup olmadığını merak edişimin yanı sıra sizlere sormak istediğim " cdtt " yeni varyant olduğu için ( en azından ben böyle anladım ) " Emsisoft " veya başka yöntemler geliştirilene kadar yedeklerimi saklamalımıyım? Yeni varyant için çözüm kısa sürede çıkar veya çıkartılma şansı olabilir mi?
Genişletmek için tıklayın...
ben yerinizde olsam(umarım olmam) numune 1 2 dosya gönderip çözüp çözmediklerinden emin olduktan sonra 50$ isteyenle işi hallederim. çocukların fotoğrafları diyorsunuz.
araba devrildikten sonra yol gösteren "that guy" olmayı sevmiyorum ama özellikle paradan değerli şeyleri asla çalışan makinede saklalamak gerek. harici bir diskte ve en az 2 yedekli (2 ayrı harici disk). şimdilik en azından parayla dönme şansınız var ama mesela disk aniden bozulsaydı o da olmazdı, veri kurtarmacılar da para konusunda fidyecilere rahmet okutabilir
 
Haze dedi ki:
tabiki kotu niyetli birisi bir sh dosyasina zararli kodlari gomer ve sizin farkina varamayacaginiz sekilde size zarar verebilir ama bunlar uc senaryolar
Genişletmek için tıklayın...
herhalde tüm yazılımcı dünyasının kullandığı notepad++'ın içine cia girmiş snowden faş edene kadar bilinmiyordu. daha neler neler var kim bilir :(
 
Bu durum gelişen teknolojinin getirdiği bir yanılsama. Bilgiye kolay erişim insanlarda her konuda 1 günde uzmanlaşabilecekleri yanılsaması yaratıyor. Eskiden bu Googledı şimdi ChatGPT. Daha az emek harcayarak bilgiye erişim tüm bilgiye neredeyse emeksiz ulaşabileceğini düşündürüyor insanlara. Birşeyler öğrenmek isteyenler için ciddi bir kaynak olan internet yüzeysel bilgiler cennetine dönüşüyor bir anlamda.
 
nt dedi ki:
elinizde virus bulaşmış ve bulaşmamış aynı dosyadan varmı ?
diskin imajını alın köşede dursun
Genişletmek için tıklayın...
Google chrome yüklemek için virüs bulaşmasından bir gün öncesinde 64bit uyumlu yükleme dosyası indirmiştim orjinal sitesinden virüs bulaşmış ve bulaşmamış olarak en sağlıklı bu dosyayı hatırlıyorum. Resimler vs içinde bulaşmış bulaşmamış kontrolün de bazı dosyalarda yeni aldığım yedeklerde isim ve boyut kontrolü yaptığım bazılarının boyutlarının değiştiğini fark ettim görselleri göremediğim için emin değilim fakat chrome aracından eminim.
 
Şifrelenmiş bir dosyayı çözen birileri çıkmış mı?
 
çaycı dedi ki:
ben yerinizde olsam(umarım olmam) numune 1 2 dosya gönderip çözüp çözmediklerinden emin olduktan sonra 50$ isteyenle işi hallederim. çocukların fotoğrafları diyorsunuz.
araba devrildikten sonra yol gösteren "that guy" olmayı sevmiyorum ama özellikle paradan değerli şeyleri asla çalışan makinede saklalamak gerek. harici bir diskte ve en az 2 yedekli (2 ayrı harici disk). şimdilik en azından parayla dönme şansınız var ama mesela disk aniden bozulsaydı o da olmazdı, veri kurtarmacılar da para konusunda fidyecilere rahmet okutabilir
Genişletmek için tıklayın...
Umarım dediğiniz gibi başınıza gelmez hatta kimsenin başına gelmesini istemem yeni formatladığım sisteme bulaştı dediğiniz gibi yedeklerim ayrı sürücü de muhafaza ediyordum eski donanımları olan bir laptop a windows 8.1 kurup ( usb hdd kutusu ile yedekleri baknak kullanmak istedim ) sonrasında güncellemeleri içinde barındıran pack bulmaya çalışırken başka forumda custom iso buldum yorumlara baktım neredeyse bir senelik konuydu kimse sorun yaşamamış gibi görünüyordu yorumlara güvenip indirdim iso yu usb ye gömmeye kalmadan cmd ekranları vs açılmaya windows hata mesajları vermeye başladı işe uyanıp hdd nin fişine çekene kadar herşey şifrelenmişti büyük ihtimalle indirmek için gittiğim sayfalarda birşey vardı ve bulaştı os yeni kurulu olduğu için herhangi koruma programı da aktif değildi.
 
Cevaplamak için giriş yap veya kayıt ol.

Benzer konular

TunahanC
Son zamanlarda artan phishing mailler hakkında
Cevaplar
1
Görüntüleme
532
taydin
taydin
Dede
Lityum Batarya Paketi Güvenlik Testi
Cevaplar
0
Görüntüleme
83
Dede
Dede
R
esp32 thermistor yazılımı
2
Cevaplar
28
Görüntüleme
2K
rubens
R
taydin
Yeni kod bloğu
Cevaplar
2
Görüntüleme
639
ercanersoy
E
I
TASARIM ÖDEVİ
2
Cevaplar
25
Görüntüleme
4K
taydin
taydin

Çevrimiçi personel

Çevrimiçi üyeler

Toplam: 53 (üye: 17, misafir: 36)
Robotlar: 298

Forum istatistikleri

Konular
6,950
Mesajlar
118,747
Üyeler
2,822
Son üye
lalemasall

Bu sayfayı paylaş

Son kaynaklar

Son profil mesajları

hakan8470
hakan8470 wrote on Dede's profile.
1717172721760.png
Dedecim bu gul mu karanfil mi? Gerci ne farkeder onu da anlamam. Gerci bunun anlamini da bilmem :gulus2:
•••
L
Lyewor_ wrote on hakan8470's profile.
Takip edilmeye başlanmışım :D ❤️
•••
Hüsnü03
Hüsnü03
Merhaba elektronik tutsakları...
•••
L
Lyewor_ wrote on taydin's profile.
Merhabalar. Elektrik laboratuvarınız varsa bunun hakkında bir konunuz var mı acaba? Sizin laboratuvarınızı merak ettim de :)
•••
L
Lyewor_ wrote on taydin's profile.
Merhabalar forumda yeniyim! Bir sorum olacaktı lcr meterler hakkında. Hem bobini ölçen hemde bobin direnci ölçen bir lcr meter var mı acaba?
•••
Back
Top