Trojan Cryptolocker

dr-manhattan-iconHedef bilgisayar içerisinde bulunan verileri şifreleyerek ( kriptolayarak ) sıkıştıran zararlı yazılımdır. Öncelikle spam mailler ekinde bulunan ve sosyal mühendislik yöntemleri ile (örn: e fatura) kullanıcıya e-posta yoluyla gelir. E-posta ekinin platformda açılmasıyla sisteme bulaşır. Saldırgan kullanıcıya şifreyi teslim etmek için belirli miktarda para ödemesi gerektiğini masaüstüne bıraktığı mesaj yoluyla iletir ve otomatik olarak ekrana parayı yatıracağı bitcoin gibi hesapları çıkartır. Dosyaları RSA 2048 kriptoloji metodunu kullanarak şifrelediği için, maruz kalmış kullanıcının dosya şifrelerini çözmesi söz konusu değildir. Bahse konu saldırıya maruz kalmamak için daha önce internethukuku.net adresinde yazmış olduğum makaleyi inceleyebilirsiniz.¶

  • Adı : Trojan.Cryptolocker
  • Keşif tarihi : 11 Eylül 2013
  • Diğer isimleri : Trojan.Gpcoder.H [Symantec], CryptLocker.B [Norman], Trojan:Win32/Crilock.A [Microsoft], TROJ_CRILOCK.NS [Trend], Trojan.Ransomcrypt.F [Symantec]
  • Tipi: Trojan
  • Seviye : Orta
  • Platform : Windows 2000, Windows 7, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Zararlı yazılımın ortaya çıkış tarihinden önceki dönemde çeşitli benzerlilik gösteren formları; Trojan.Ransomcrypt.F veya Trojan.Gpcoder.H olarak adlandırılmaktadır. 2013 yılında tespit edilip çözümlenene kadar yıla damgasını vurmuştur. Özellikle İngiltere e-posta üzerinden spam saldırıları içerisinde gizlenen bu saldırıya yoğun şekilde maruz kalmış, bir çok şirket maddi anlamda kayıp yaşamıştır.

FireEye ve partner şirketlerinden Fox-IT; Cryptolocker zararlısının yol açtığı hedef bilgisayarlardaki şifrelenen verileri ücretsiz olarak kurtarma çözümü sunmaktadır. https:///www.decryptcryptolocker.com adresinden kişisel bir decryption anahtarı oluşturarak verilerinizi kurtarabilirsiniz.

Cryptolocker normal bir ransomware’den farklılık gösterir. Ransomware’de hedef bilgisayar ekranı kilitlenirken ( örn. polis ve jandarma virüsü ) Cryptolocker’da dosyalar şifrelenmektedir. Tedbir olarak en basit yollarından bir tanesi sürekli olarak kritik dosyaların yedeğini almak olarak söylenebilir. Ayrıca bu tarz saldırıya maruz kalan şirketlerin asla saldırganın istediği meblağları yatırmaması gerektiği bilinmelidir. Zira paranın yatırılması ile şifrenin size teslim edileceğinin garantisi yoktur. Bunun yerine çeşitli antivirus firmalarının “recover ransomware” ya da “decryption” file araçları ile dosyaların geri getirilmesi sağlanmalıdır.

Teknik Detaylar: ( Sisteme bulaştıktan sonra )

Dosya çalıştırıldıktan sonra %AppData%\[GUID].exe dosyasını oluşturur.

Bu şekilde Masaüstü kilitlenebilir, dosyalar şifrelenir ve sonraki aşamada ekrana çıkan iletiden belirli bir meblağda para istenir.

İstenen meblağın MoneyPak, Paysafecard, Ukash, cashU, Bitcoin üzerinden yatırılması istenir.

 

Sistem içerisinde bulunan aşağıdaki uzantılardaki tüm dosyalar şifrelenir.

  • *.odt
  • *.ods
  • *.odp
  • *.odm
  • *.odc
  • *.odb
  • *.doc
  • *.docx
  • *.docm
  • *.wps
  • *.xls
  • *.xlsx
  • *.xlsm
  • *.xlsb
  • *.xlk
  • *.ppt
  • *.pptx
  • *.pptm
  • *.mdb
  • *.accdb
  • *.pst
  • *.dwg
  • *.dxf
  • *.dxg
  • *.wpd
  • *.rtf
  • *.wb2
  • *.mdf
  • *.dbf
  • *.psd
  • *.pdd
  • *.eps
  • *.indd
  • *.cdr
  • *.dng
  • *.3fr
  • *.arw
  • *.srf
  • *.sr2
  • *.bay
  • *.crw
  • *.cr2
  • *.dcr
  • *.kdc
  • *.erf
  • *.mef
  • *.mrw
  • *.nef
  • *.nrw
  • *.orf
  • *.raf
  • *.raw
  • *.rwl
  • *.rw2
  • *.r3d
  • *.ptx
  • *.pef
  • *.srw
  • *.x3f
  • *.der
  • *.cer
  • *.crt
  • *.pem
  • *.pfx
  • *.p12
  • *.p7b
  • *.p7c

Zararlı aşağıdaki yazılı internet adresleriyle bağlantıya geçmektedir:

  • 184.164.136.134
  • apvfgtlwxopblx.biz
  • aunuqtdksfwusw.ru
  • bdlsmdixygytss.co.uk
  • belylsfdytbhfd.net
  • bssqyerxiihsnl.ru
  • bwogwcstkeuojl.org
  • bwqrwhcqksfrlo.org
  • cfmeslxhqfwnsx.info
  • chxsedndssjwtm.org
  • cutcfjxkymteeg.org
  • cyrddmidbwrdlp.co.uk
  • dcoovwoelqjuud.info
  • djjvkirqarfkhn.ru
  • dnhwixpigdjkfb.org
  • dotieepaewfbc.org
  • eepaccuqcuvglq.com
  • ekjqemcpaoopau.info
  • ekngeelpbkowts.net
  • emvpdmswwgkjdc.info
  • eqnpockbktahek.com
  • esosujctnhffc.co.uk
  • fmkckuryrnmjqc.com
  • fperrnuwvvvxl.info
  • frghumsxnaicua.ru
  • fsfthncvhbnnoe.info
  • fshoavhdgpqosx.net
  • fylnkrwcnjypgd.biz
  • gaefqvxltbkbex.co.uk
  • gajnlhugrdikem.ru
  • gplddtxdcisamm.ru
  • gtjebwivesqyiq.org
  • gttudayenwvplw.co.uk
  • gtycishqfgvcc.com
  • guiagewmxooisv.biz
  • gwtorvmiacbrph.com
  • hcrsyplfqmuxec.com
  • hihlhwhhushsne.co.uk
  • hrpelnjyluwefa.co.uk
  • icrlqfrcepcerx.biz
  • idpsasvkqfxray.net
  • iqjniomrcxlkx.net
  • ivknfsplyphtfi.info
  • iyhbamujfqucid.info
  • jhcdifrdujawqk.info
  • jlnqviiltuwaad.ru
  • jnymfsfukmcda.biz
  • jwnbkdvmmsbhoo.com
  • kpabeowqbkcvsp.net
  • krtwvxrotwchq.ru
  • kxggvslsprbjty.co.uk
  • lahrcxrfgvnuth.info
  • mdeducqmtfcvda.com
  • nffobhwykjohtu.net
  • okciupwfkvctic.info
  • onccjlkxwbseba.net
  • otgbtxjxmunbnr.biz
  • pmdtbxmocuanyq.com
  • ppdnpqqknffpbb.biz
  • psagqfjgnlbcbs.net
  • puysairxjrmqci.co.uk
  • qbsngtwmimxrfp.info
  • qdcyqdtdtevenw.co.uk
  • qsayiuprbotqdc.ru
  • qtxgritlneevix.biz
  • qubrwnypfkyvbx.biz
  • qwmgiyhuklldlw.com
  • qyexsnvlnsregl.org
  • rawpyrwrnfndch.com
  • rcvenxgmqtdein.org
  • refhyefjvgqqvx.biz
  • rjqlcjjnlcwaxu.net
  • rubkoaversgctp.org
  • rvyrxqjufdcpyf.ru
  • sckdhotiljpgnh.biz
  • sewptgvvisbxil.co.uk
  • sgiefrebntnfac.ru
  • siavpsgqucahnj.com
  • skoldyhrpvgufk.biz
  • smdfunkwchspvi.org
  • thuuyimsfqnbky.info
  • tkuonbqdqbelxv.net
  • tsmjyotsslfdfo.org
  • ufbujjqonebhni.com
  • ulgbehqoorrijf.co.uk
  • upssuxytigmjmr.net
  • vjvedrgxpfvbep.net
  • vnysfydpqtapgy.biz
  • vpslmkvwuofxqv.ru
  • vqqsvbjyiypdyt.biz
  • vtbdmweodpilrp.co.uk
  • wcybigjcjqkkkh.com
  • wowsgobtunjkcw.ru
  • wrtcyhsysuujgw.ru
  • wyoqrqvaloolil.org
  • xsrcawqdwoeesl.org
  • xwuqcenuxdiscm.co.uk
  • ybpavmdeaedmcr.info
  • ynutaofkhkdplp.net
Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s