Tuesday, November 18, 2014

Dosyalarınızı şifreleyen telefon faturasına dikkat edin!

Merhaba,

Geçtiğimiz aylarda, telefon faturası emaili şeklinde gelen ve dosyalarınızı şifreleyen şantajcı yazılım için daha önce bir çözüm üretmiştik.

Aynı zararlı geçen hafta tekrar kendini gösterdi, Zararlı'yı incelediğimizde bir önceki ile birebir aynı olduğunu fark ettik, ancak bu defa daha önce yapılan ve bizim çözüm üretmemize olanak sağlayan kriptografik hataların yapılmadığını gördük, dolayısıyla eskisine benzer bir çözüm üretmemiz mümkün değil.

Daha önceki çözümümüzde, çözüm hakkında detaylı bir yazı yazmamıştık, Bu yazımızda hem önceki versiyon'a nasıl çözüm ürettiğimizi hemde son versiyon için neden çözüm üretemeyeceğimiz hakkında detaylı yazmaya karar verdik.

Bir önceki versiyon, dosyaları simetrik olarak (AES-CTR) ve AES anahtarı da, asimetrik (RSA) bir şekilde şifreliyordu. Mağdurlardan RSA public key ile şifrelenmiş anahtar istenip, private anahtar ile çözümlenmiş şifreyi içerisinde barındıran decrypter programını kurbanlarına veriyorlardı.

AES'i uygulamanın en güvenli yolu CTR olarak bilinir. RSA anahtarınında PRNG  (Pseudorandom number generator) ile üretildiğini ilk gördüğümüzde kurbanlara yardım edilebilecek bir yöntem olamayacağını düşündük. Fakat incelemeye devam ettiğimizde, AES-CTR uyugulamarında, Nonce ve counter değerlerinin (IV) tüm dosyalarda sabit olduğunu gördük. 

AES-CTR'de bu değerlerin sabit olması, kriptolojide felaket olarak tabir edilir. Nedenini anlamak için AES-CTR'nin çalışma şekline bir bakalım.


Semada görüldüğü üzere, CTR sayesinde, blok şifreleme olarak çalışan AES, stream şifreleme yapacak şekilde kullanılmaktadır. IV ve Key aynı olduğundan dolayı, şifrelenmiş dosyalardan, en büyük olanının şifrelenmemiş halini bulursak, bunları birbirleri ile XOR işlemine tuttuğumuzda,  şifrelemede kullanılan max KeyStream'a ulaşmış oluruz.

C=PAES(Key,IV) burada C=ChipperText, P=Plaintext , IV sabit, C'yi zaten biliyoruz ve P'yi bulabilirsek, KeyStream'ı KS=CP formülü ile bulabiliriz. KS'yi bulduğumuzda, herhangi bir dosyanın şifresini PX=CXKeyStream formülü ile çözebiliriz.

Peki, şifrelenmiş dosyalar içinde en büyük olanının, orijinal halini nasıl bulacaktık? 
En iyi çözüm, az bir ihtimalde olsa kullanıcı, belki bu dosyanın orijinal kopyasını email kutusunda vb. yerlerde bulabilmesiydi. Eğer, orijinal dosyaya ulaşamazsak, çözüm geliştirmemiz zor olurdu. Bu noktada, zararlının yazarları yaptıkları hata ile işimizi dahada kolaylaştırdı. Çünkü geliştirdikleri zararlı, hedef dosya ne kadar büyük olursa olsun, dosyanın sadece ilk 2MB'lik bölümünü şifreliyordu. Bu durumda, şifreli ve orijinal halini bildiğimiz 2MB boyutunda bir dosya bulmamız, tüm dosyaların şifresini çözmemiş için yeterli olacaktı.

Bu dosya için en uygun hedef ise, Windows'un, kurulum sırasında örnek videolar klasörüne koyduğu ve zararlı tarafından da şifreleme işlemine tabi tutulan "Vahşi Yaşam.wmv" video'su oldu.


"Vahşi Yaşam.wmv" video'sunun orijinal halinin ilk 2MB'lik kısmını, temiz bir sistemden alarak , tool'umuzun içine koyduk ve tool'umuz, bu dosyayı, infekte olmuş sistemdeki "Vahşi Yaşam.wmv.sifreli" dosyası ile XOR ettiğinde, decryption için gerekli olan 2MB boyutundaki KeyStream oluşuyordu.

Hatırlayanlar bilir, tool'umuz, XP sistemlerde çalışmamaktaydı, bunun sebebi "Vahşi Yaşam.wmv" video'su gibi en az 2MB'lik bir dosyayı XP'de bulamamızdı.

Şimdi en çok merak edilen ve son fatura zararlısından ve olası kurtarma seçeneklerinden bahsedelim;

Aslında bu zararlı yazılım, kendini CryptoLocker olarak göstersede, CryptoLocker versiyonu değil, ilk saldırıyı yapanlar tarafından çok ufak modifikasyonlar yapılarak derlenmiş bir halidir.

Fatura saldırılarını yapan gurubun, AV'leri atlatmak konusunda çok başarılı çalıştığını söyleyebiliriz, zararlı, elimize ilk geldiğinde, sadece 1 tane ismi duyulmamış bir AV tarafından bulunabiliyordu, bu nedenle, söz konusu faturayı açan kullanıcıların neredeyse tümüne bulaştığını tahmin ediyoruz. AntiLogger kullananlar hariç, çünkü kullandığı "code injection" işlemi, AntiLogger tarafından fark ediliyor ve neticesinde, zararlı şifreleme işlemine başlamadan sonlandırılıyor.



İncelediğimiz zararlının MD5'i 4A4BAF09600A0DA0E803D4F7716642A3, Söz konusu zararlı, ilkinde de olduğu gibi dosyaları AES ile ve anahtarı da RSA ile şifreliyor. Şifrelediği dosyaların uzantısını ".encrypted" olarak değiştiriyor. Arakasından'da VSS shadow backup'ları silerek, kurbandan 1.245 BTC (1200 TL) talep ediyor.

Bu defa AES'i, CBC modunda uygulamışlar ve eski versiyonda yaptıkları aynı hatayı yapıp, her dosya için yine aynı Key/IV değerlerini kullanmışlar. Hemen heyecanlanmayın, çünkü AES-CBC'de IV/Key'yi tekrarlamak kötü bir kriptografik uygulama olsada, AES-CTR'de tekrarlamak kadar kötü bir durum değil.

AES-CBC'nin çalışma şekline bir bakalım.

Şekilde görüldüğü gibi bu defa AES, bir önceki versiyonda olduğu gibi "stream chipper" olarak kullanılmamış ve IV her dosya için aynı olsada, dosyanın ilk başlarında 1 bit'in bile değişmesi bambaşka bir chipher ortaya çıkartıyor.

Çözüm üretmemiz için olanak sağlayacak bir hata olmamasına rağmen, kötü bir kriptografik uygulama diyebiliriz. Çünkü iyi bir kriptografik uygulamada, şifrelenmiş mesaj'a bakmak, orijinal mesaj hakkında hiçbir fikir vermemesini gerektirir

Özetlememiz gerekirse, maalesef şifre çözücü bir uygulama yayınlayamıyoruz fakat mağdurlara aşağıdaki tavsiyelerde bulunmanın faydalı olacağını düşünüyoruz:

  1. Başlarda da bahsettiğimiz üzere, bu zararlı çalıştığında "Volume Shadow Copy" geri yükleme dosyalarını siliyor, ancak login olduğunuz sistemde yönetici haklarınız yoksa zararlı yazılım, dosyalarınızı şifrelemesine rağmen, geri yükleme noktalarını silemeyeceği için, yönetici hesabından, şifrelenmiş dosyalarınız kurtarılabilir.
  2. Zararlı, dosyanın içeriğini olduğu yerde değiştirip, MoveFile fonksiyonu ile dosya uzantısını değiştirdiği için, aslında bir silme işlemi gerçekleşmiyor ve sıradan dosya kurtarma programları maalesef işinize yaramayacaktır, ancak geri yükleme noktalarını silerken, güvenli bir silme gerçekleştirmeyip, vssadmin.exe ile silme işlemini yapmakta ve vssadmin.exe'de bunları DeleteFile fonksyonu ile sildiğinden bu geri yükleme noktaları, dosya kurtarma programları ile kurtarılabilir.
  3. "Volume Shadow Copy" dahil hiçbir yedek yoksa bile bazı önemli dosyalar kurtarılabilir, çünkü Windows, defrag işlemi yaptığında, dosyaların fragmante olmuş kısımlarını, ilk yerinde bırakıyor, tabi bu işlem çok karmaşık ve zahmetli olduğundan, bu işi adli bilişim firmalarına bırakmalısınız. Türkiye'de kendini ispatlamış, sizlere önerebileceğimiz Adeo ve Difose gibi çok başarılı firmalar var.
Dosyalarınızı kurtardıktan sonra Zemana Anti-Malware'in ücretsiz sürümünü download edip sisteminizi bu virüsten temizliyebilirsiniz.

Son olarak, konu hakkında geçtiğimiz aylarda takım liderimiz Emre'nin, CypSec konferansında yapmış olduğu sunumu izlemenizi tavsiye ederiz.








29 comments:

  1. Yazıda anlatılan kriptografik işlemleri eğlenceli bir şekilde öğrenmek ve denemek için Cryptool2 yi kullanabilirsiniz. İnsanlarımıza kriptografiyi sevdirdiğim gün misyonumu tamamlamış hissedeceğim :(

    ReplyDelete
  2. Zararlı, dosyanın içeriğini olduğu yerde değiştirip, MoveFile fonksiyonu ile dosya uzantısını değiştirdiği için, aslında bir silme işlemi gerçekleşmiyor ve sıradan dosya kurtarma programları maalesef işinize yaramayacaktır, ancak geri yükleme noktalarını silerken, güvenli bir silme gerçekleştirmeyip, vssadmin.exe ile silme işlemini yapmakta ve vssadmin.exe'de bunları DeleteFile fonksyonu ile sildiğinden bu geri yükleme noktaları, dosya kurtarma programları ile kurtarılabilir.

    Demişsiniz tüm diskleri Recuva programıyla tarattırdım, ancak virüsün sildiği dosyalara ulaşamadım. Sadece benim önceden sildiğim dosyalar mevcut.

    ReplyDelete
  3. Selamlar, şifreleme değişti ise fidyecilere gönderdiğimiz rastgele dosyayı nasıl cozebiliyorlar?

    ReplyDelete
  4. Merhaba,

    Fidyeci masa üzerine bıraktığı HTML dosyasında RSA ile şifrelenmiş anahtarı kaydediyor dolayısıyla, private key ile bu şifreyi deşifre edip şifre çözücü uygulamanın içine yerleştirerek size geri gönderiyor.

    ReplyDelete
    Replies
    1. Burada anlayamadığım kısım su fidyeci rastgele yollanan dosyayı nasıl kırıyor, sonuçta yukarda anlattığıniz şifreleme algoritması dosyaları birbirine bağlı sifreliyor.

      Delete
  5. Rastgele dosyadan kastım, fidyeciler ödeme için yaptıkları sitede yolladigimiz 1mb'a kadar 1 tane dosyayı deşifre edip geri yolluyor.

    ReplyDelete
  6. CryptoLocker örneğinden bahsediyorsunuz. Masaüstüne bıraktığı HTML dosyasında bulunan ID'niz ya da encrypt edilmiş dosya içerisine gömülen bir data ile yapılıyor.

    ReplyDelete
  7. Merhabalar Emre bey, çalıştığım iş yerinde bir pc de 2 gün önce fatura virüsü bulaşmıştır. Virüsü temizlememe rağmen pc de bulunan eord, excel, jpeg vb. dosyalar ".encrypted" uzantısınla şifrelenmiştir. Bu konuda ne yapabilirim. Sizlerden yardımlarınızı bekliyorum. Saygılarımla

    ReplyDelete
  8. Merhabalar,

    Maalesef bu versiyon için bir çözüm yok :(

    ReplyDelete
  9. Peki ilerleyen zamanlarda da bunun için bir çözüm yolu olabilirmi. Yani şuan için ne yapmam gerekiyor. İnanın zor bi durumdayız. Anlayışınıza sığınıyorum.

    ReplyDelete
  10. Üzülerek söylüyorum ama çözümü maalesef yok... Adli bilişim firmaları ile görüşmenizi tavsiye ederim (Adeo, Difose gibi)

    ReplyDelete
    Replies
    1. tek bir dosya kurtaramazmıyız emre bey

      Delete
    2. Sn.Emre Tınaztepe,
      merhaba, Adli Bilişim şirketleri arasında bizde varız, üstelik adını saydığınız yukarıdaki şirketlerden çok daha önce 2005 yılında turkishforensic olarak bu işe başladık. Twitterdan bizi takip etmenize rağmen adımızı anmamanız çok ilginç,

      Cenk Ceylan / TURKISH FORENSIC
      Adli Bilişim ve Bilgi Güvenliği Araştırmacısı
      GÖKTÜRK Bilgi Teknolojileri ve Bilişim Analizi Denetim Yatırım Danış.Ltd.Şti
      e-posta: info@turkishforensic.com http://www.turkishforensic.com

      Delete
    3. Merhaba Cenk Bey,

      Saydığım şirketler benim adını duyduğum şirketlerdir. Türkiye'de faaliyet gösteren firmaları yazmak gibi bir amacım olmadığı için iki şirketin adını alfabetik sırayla yazmakla yetindim.

      Delete
  11. MERHABALAR EMRE BEY,
    FİDYECİLERİN İSTEDİĞİNİ VERİPTE ÇÖZÜME ULAŞAN OLDU MU ACABA?

    ReplyDelete
  12. Çözüm maalesef yok ama sistem geri yüklemeniz açıksa yansıma dosynızı kurtarbiliyorsunuz ShadowExplorer programı ile deneme de fayda var

    ReplyDelete
  13. ben de şöyle bir soru sorayım.
    para vererek şifresiyi çözdürüp dosyasını kurtaranlar var mı?

    ReplyDelete
    Replies
    1. malesef ödemeyi yapıp bilgileri kurtaran biriyim. tüm dosylar kurtuldu ancak bazı excel dosya içerikleri eksik olarak gri döndü. buda bana yetti. yinede siz yedekerinizi güvenli ortamlarda sürekli güncel tutmaya özen gösterin. bu soygunculara ödeme yapmak zorunda kalmayın

      Delete
  14. Merhaba,
    Bizim şirkette, şifrelediği dosyaları .exx uzantılı dosyalara çevirmiş.Bunları kurtarma ihtimalimiz var mıdır?

    ReplyDelete
  15. Merhaba Sophos antimalvare ve antivirüsü denedinizmi acaba

    ReplyDelete
  16. verdiğiniz bilgiler çok önemli, çok teşekkürler ederiz

    ReplyDelete
  17. Evet. 4500 TL istediler ve 1500 TL ye anlaşıldı. Parayı da oyun kredisi sitesinden aldılar.

    ReplyDelete
  18. Çok basit bir soru soracam. Konuyu yukarda çok güzel ve detaylı anlatmışsınız. Eğer bilgisayarımızda zemana antimalware ve antilogger programları olsa bu virüsün bize bulaşma ihtimali varmı? Programlarınız bunu %100 engelleyebiliyormu?

    ReplyDelete
  19. Merhabalar..
    Zaten bunu yapan kişinin amacı parayı almak, parayı aldıktan sonrada şifreyi veriyor. Bağlı olduğum bilgi işlem uzmanının bir müşterisinin başına da gelmiş bu virüs 900 tl kadar bir ödeme yapıldı bitcoin den sonra şifreyi verdi.
    Bu virüsün çözümü yok istediğiniz programı kullanın ama silinen geri yükleme dosyası bulunamıyor.
    Tek çare sağlam yedek alınması.

    ReplyDelete
  20. Yukarıda bahsedilen KeyStream dosyasını oluşturmak için bizim de cep telefonumuz da orjinal dosyalar mevcut. Bir yazılım yapsanız veya varsa paylaşsanız da ev kullanıcılarıda kendileri çözse.

    ReplyDelete
  21. Erst habe ich drei Geschaeftstermine schnell wahrnehmen weil ein Kollege krank gemeldet wurde und ich fuer ihn einspringen musste.casus yazılım

    ReplyDelete
  22. Erst habe ich drei Geschaeftstermine schnell wahrnehmen weil ein Kollege krank gemeldet wurde und ich fuer ihn einspringen musste. casus yazılım

    ReplyDelete
  23. Faydalı bir yazı teşekkürler telefon takip programları ce casus programlarla ilgili detaylı bilgi için telefontakipprogrami.net sitesini inceleyebilirsiniz.

    ReplyDelete