TTNet Fidye Virüsüne Dikkat

scanfan

scanfan

Yönetici
25 Eyl 2013
7,211
75,788

TTNet Fidye Virüsüne Dikkat
Çok Tehlikeli Bir Virüs
Ve Temizlemesi Çok Çok Zor

Sevgili diyardaşlar, dün büyük bir tehlike atlattım. e-mail'imi çok seyrek kullanmama rağmen az daha bana da denk geliyordu. Zira bu virüs "e- mail" ile geliyor. Bu mail "TTNet", "Türk Telekom", "Turkcell" gibi tanıdık ve sürekli mail aldığınız bir şirketin kisvesi altında geldiği için şüphe çekmiyor. Ara yüzü çok ustaca bir biçimde o şirketinkine benzetilmiş. Hattâ şirketin adresi ile küçük bir harf farkıyla gerçek şirketin adresine benzetilmiş. Mailde, şu kadar borcunuz var, faturayı indirmek için tıklayın diyor. Fatura "pdf veya zip" formatında. Tıkladığınız an yandınız! Zira pdf/zip gibi gösterilmiş o dosya aslında "exe" formatında bir virüs dosyası. Bu tür virüslere "Ransomware" (Fidye virüsü) ya da "Cryptolocker" (şifreyle kilitleyici) adı veriliyor. Adı üstünde bu dosyayı çalıştırdığınızda bilgisayarınızdaki tüm dosyaları şifreyle kilitleyip kullanılamaz hale getiriyor (ama silmiyor). Sonra da sizden -adı üstünde- şifreleri çözme karşılığında "fidye" istiyormuş. Bu şifreler çok güçlü şifrelermiş, normal şifre kırma yazılımlarıyla çözülmeleri yıllar alıyormuş. Fidyeyi 1000 lira karşılığında "bitcoin" olarak (izi sürülmesin diye) istiyorlarmış. Daha kötüsü fidyeyi verseniz bile şifreyi vermiyorlarmış. Vürüse henüz tam bir çözüm bulunamamış. Çeşitli yöntemler (çok meşakkatli) öneriliyor. Önerilen bu çözümlerden bazıları da işe yaramıyormuş. Her geçen gün yeni çözüm önerileri ortaya atılıyormuş.

Ben direkten dönmüşüm. Bu konularda oldukça hassas olmama rağmen az daha tuzağa düşüyordum. Bir kere bana TTNet'ten "e-fatura" gelmezdi (ben basılı postayı tercih etmiştim). İkincisi faturada belirtilen miktarda borcum olması imkansızdı (şüphe çekmemek için miktarı mutedil tutmuşlar, ne az, ne de astronomik!). Ancak mail eki "pdf" dosyası gibi gözüktüğü için tıkladım ama açılan ikinci ekranda birden uyandım. Hemen bilgisayarın fişini çektim. Bana bulaşmamıştı. İnternette bu konuda uyarılar var. Sizleri de uyarayım dedim.
1. Bu ve benzeri şirketlerden gelen e-maillere çok dikkat edin.
2. Mail eklerini açarken birkaç kez düşünün

Ben bana gelen mesajı korkudan hemen sildim. Ama internette benzerleri var. Bana TTnet'ten gelmişti ve fatura eki pdf idi. Bu örnekte dosya türü belirtilmemiş. Miktar tam bana gönderilen miktarla aynı: 251 lira küsür.
son.png


Yönlendirdikleri 2. sayfa (ben burada uyandım).
image2.png


Burada da artık fidye isteniyor
ttnet_vir_s_ne_kar_nlem.png


 
Son düzenleme:
direnc11

direnc11

Yönetici
11 May 2009
10,090
37,141
İstanbul
Bu çok bela bir virüs. Aman dikkat!

Uyarı için teşekkürler, üstadım.

Benzeri bir mail e-mail eşime gelmişti. Şüphelendiğimiz için nette bir araştırma yapmış ve şunu bulmuştuk:

Ziyaretçiler için gizlenmiş link,görmek için Giriş yap veya üye ol.


Çok eleştireni var ama ben seviyorum Ekşi Sözlük'ü. Çoğu zaman aradığım yanıtı orada buluyorum. :)
 
uzung

uzung

Yönetici
Yönetici
14 Ağu 2009
3,414
26,985
İstanbul
Ben de aynı direkten dönenlerdenim. Benimki Turkcell'den gelmişti. 261.00 TL ve son ödeme
tarihi geçmiş bir zamandı. İlk panikle linke tıkladım ama hemen indirilen dosyanın exe olduğunu
fark edip iptal ettim. Hemen Turkcell'i aradım. Bu konuda araştırma yaptıklarını, bu yolla gelen
mesajları açmamam gerektiğini söylediler. Olayın bu derece önemli olduğunu bilmiyordum. Gerçekten ucuz kurtulmuşum.
Bilgilendirme için çok teşekkür ederim.
 
serdary67

serdary67

Onursal Üye
18 Eki 2009
8,731
26,115
ordu-turkey
Yazınızı görünce daha yeni araştırdığım için konuya bazı bilgiler ekleyeyim.
1-Şifrelenmiş bu dosyaları açan bazı programlar var.
CoinVaultDecryptor,FatmalDecryptor,KriptoAnahtarVeAcikDosyalar,mbam-setup-2.2.0.1024 bunlar ile bu dosyaları kurtarmak mümkün ücretsiz olarak günde 5 dosya ücretli sınırsız dosya şifrelenmişse kurtarılıyor.
2-Combofix diye bir program var.Bu program hakkında bilgilerin olduğu siteyi aşağıya yazdım.Dün gece pc'yi tarattım ve 3 tane gizli rout virüs bulup temizledi.Şu an pc'im tertemiz.
Ziyaretçiler için gizlenmiş link,görmek için Giriş yap veya üye ol.

3-Spyshelter anti keylogger pc'imde yüklü benim onayım olmadan yaprak kımıldamıyor.Ayrıca win 7 tüm güncellemeler ve güvenlik duvarı yüklü ve yanında eset yüklü buna rağmen maşallahı var hiç yavaşlama olmadı.Ve dizüstü olmasına rağmen çok iyi performansı var.
4-Ben asla spam mailleri açmam yaklaşık 8 mailim var.Ama spam mail nerde görsem silerim.
Tüm bunlara rağmen virüs bulaşırsa ehhh ona da artık yapana helal denir.
Aşağıya tübitaktan aldığım bir yazıyı da ekliyorum.
KriptoKilit için KriptoAnahtar
Osman PAMUK, TÜBİTAK BİLGEM
12.03.2014
Daha önceki yazımızda fidyeci KriptoKilit[1] zararlı yazılımdan ayrıntılı olarak bahsetmiştik.
İlk incelemelerimizde şifrelenen verileri zararlı yazılım çalışması sırasında AES şifresini elde ederek kurtarmak
için bir yöntem önersek bile, bütün dosyaların şifreleme işlemi bitirdikten sonra şifrelenmiş dosyaları kurtarma
için bir yol gösterememiştik. Daha sonra gerçekleştirilen incelemelerde ise şifrelenen dosyaların işlem bittikten
sonra da açılabilmesinin mümkün olabileceğini gösterildi. Bu konuda özellikle Zemana[2] firması herkesin kullanımına
açık bir araç da geliştirdi. Bu sebeple, biz de zararlı yazılımın kullandığı şifreleme yöntemini bir daha gözden
geçirdik ve AES block cipher kullanımında çok basit bir hata ile karşılaştık. Bu hatadan faydalanarak, elimizde bir
dosyanın hem açık hali hem de şifreli hali mevcutsa, aynı bilgisayarda şifreli halde bulunan diğer dosyaları da
açmak mümkün olabilmekte. Daha fazla detaylandırmak gerekirse, elimizde kriptokilit tarafından şifrelenmiş 2 mb dan
küçük bir dosyanın şifrelenmemiş hali mevcut ise bu dosyanın boyutundan küçük diğer bütün şifreli dosyaları açmak
mümkün olmakta. Eğer elimizdeki dosyanın boyutu 2 mb dan büyük ise boyut kısıdı olmaksızın bütün şifreli dosyaları
açmak mümkün olmakta.

Bu şifre açma işlemini otomatik hale getirmek için KriptoAnahtar aracını geliştirdik.
Yukarıda da bahsedildiği üzere bu aracın (teorik olarak) bütün şifreli dosyaları açabilmesi için en az
2 mb boyutunda, şifrelenmiş bir dosyanın açık halinin elinizde olması gerekmekte. Bu tür bir dosyayı
“exe” nin bulunduğu klasörün altında, “AcikDosyalar” isminde bir klasöre koymanız yeterli olacaktır.

KriptoAnahtar çalıştırıldığında, ilk önce “AcikDosyalar” klasörü altındaki dosyaların ve daha sonra bütün
şifreli dosyaların listesini oluşturmaktadır. Bu işlemden sonra, “AcikDosyalar” klasöründe, şifreli dosyalardan
birinin şifrelenmemiş halinin olup olmadığını, dosya ismi ve dosya boyutu ile kontrol etmektedir. Bu tür bir
dosya mevcutsa, diğer dosyaları açmak için kullanılacak şifreyi hesaplamakta ve şifreli dosyaları açmaya
başlamaktadır. Açma işlemini iki türde gerçekleştirebilmektedir. Eğer KriptoAnahtar çalıştırılırken “orj”
parametresi ile çalıştırılmışsa, şifreli dosyalar, orijinal yerlerinde orijinal isimleri ile açılmaktadır.
Eğer herhangi bir parametre ile çalıştırılmamışsa, şifreli dosyalar “AcilmisDosyalar” klasörü altına,
orijinal dosya isminin yanına MD5 özetinin ilk 9 karakteri eklenerek oluşturulan bir isimle açılmaktadır.

Şifrelenmiş dosyaların açık hallerinin bulunmasını kolaylaştırmak adına, varsayılan kurulum ayarları
ile gelen, Windows XP işletim sistemleri için “PINBALL.DAT” ve Windows 7 işletim sistemler için
“win7_scenic-demoshort_raw.wtv” dosyaları kullanılabilir. “PINBALL.DAT” dosya boyutu 928.700 byte
yani 2mb dan düşüktür, bu sebeple şifrelenmiş dosyaların şifrelenmemiş hali olarak elimizde sadece
“PINBALL.DAT” dosyası mevcut ise, 928.700 byte (906 KB) boyutundan büyük olan dosyaları açmak mümkün olmayacaktır.
Bu durumda bilgisayarınızda şifrelenmiş dosyaların listesini kontrol edip, elinizde daha büyük boyuttaki bir dosyanın
şifrelenmemiş hali olup olmadığını kontrol etmeniz gerekecektir. “win7_scenic-demoshort_raw.wtv” dosyasının boyutu 2mb
dan büyük olduğu için bu tür bir kısıdı bulunmamaktadır. Windows 7 sisteminizde herhangi bir sebepten dolayı bu dosya bulunmuyor
veya bulunuyor ve şifrelenmemiş ise, başka bir dosya bulmanız gerekecektir.
 
hggurak

hggurak

Onursal Üye
Çeviri & Balonlama
8 May 2015
1,133
8,183
İstanbul
İnsanların emeklerini çalmak ve özel yaşamlarına girmek bu kadar kolay oldu ya, ben buna yanıyorum...
Tarladaki çürük domatesler gibi, böyle soysuzca işlere kalkışan insan müsveddesi yaratıklarla aynı havayı soluduğum için tiksiniyorum...
Bilgilendirme için çok teşekkürler Sevgili Scanfan dostum...
 
samuray64

samuray64

Süper Üye
17 Eyl 2009
944
1,971
28:58 E - 41:01 N
geçen ay bizim şirkete bulaştı.
50 den fazla makineye sıçradı. 5 gün boyunca kilit oldu her şey.
1000 tl tamamı için değil her bir makine için istiyorlar, 50 pc var 50.000 tl.
parayı vermedik tabi her şeyi formatladık yeniden kurduk.
hatta bu duruma düşen başka firmaları da bulduk. biri parayı verip kurtulmuş.
gerçi adamlar indirim de yapıyorlar :) her şey komedi, bugün 6 ya kadar yatırın pc başı 500 gibi ilanlarına da rastladık.
yalnız nod 32 virüsü saptıyor, biz de başka antivirüs vardı göremedi. sadece nod 32 unutmayın bu varsa sizde hemen saptıyor yoksa sızıntı oluyor, kurulu değil ise nod 32 kurunca virüsü siliyor ama kilitlenen dosyalar bozuk olarak kalıyor. sadece virüsden ve yayılmasından kurtuluyorsun.
 
Son düzenleme:
Cevap yazmak için giriş yap yada kayıt ol.
ÇizgiDiyarı - Çizgi Roman Hepimizin!

İçerik sağlayıcı paylaşım sitelerinden biri olan Cizgidiyari.com isimli sitemizde T.C.K 20.ci Madde ve 5651 Sayılı Kanun'un 4.cü maddesinin (2).ci fıkrasına göre tüm üyelerimiz yaptıkları paylaşımlardan sorumludur. Cizgidiyari.com hakkında yapılacak tüm hukuksal şikayetler buradan iletişime geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 1 (Bir) Hafta içerisinde Cizgidiyari.com yönetimi olarak tarafımızdan gereken işlemler yapılacaktır.İletişim : iletisim@cizgidiyari.com

Bu sayfayı paylaş

Community platform by XenForo® © 2010-2023 XenForo Ltd.
Üst