Cryptokiller Aracı

Geçtiğimiz haftalarda, kullanıcıların ve kurumların oldukça başını ağrıtan Cryptolocker zararlı yazılımı üzerinde çalışırken, işletim sistemine Cryptolocker zararlı yazılımının bulaştığını tespit edip, işlemi (process) durduran Cryptokiller adında bir araç hazırladım.

Windows 7 Enterprise SP1 (x86)’de test ettiğim bu aracı 5 farklı Cryptolocker zararlı yazılımı üzerinde test ettikten sonra yeni bir salgın başlamadan önce herkesin kullanımına sunma kararı aldım.

İlerleyen zamanlarda bu aracı kaynak kodu ile birlikte burada yayınlayacağım. Bu sayede aracı ihtiyaçlarınıza göre iyileştirme/geliştirme imkanınız olacaktır.

Aracın Kısıtları:

  • Cryptokiller aracı, Cryptolocker zararlı yazılımı sisteme bulaşmadan önce sistem üzerinde çalışıyor olması gerekmektedir.
  • Cryptolocker’ı tespit etmek için sistem üzerinde en az bir dosyanın Cryptolocker tarafından şifrelenmesi gerekmektedir.
  • Aracın yönetici yetkisi ile çalıştırılması gerekmektedir.
  • 32 bit Windows işletim sistemi üzerinde çalışmaktadır.
  • Sistem üzerinde Python 2.7 ve Winappdbg modülünün yüklü olması gerekmektedir.
  • Aracı “hidden” parametresi ile çalıştırdığınız taktirde (cryptokiller.exe hidden) GUI olmadan çalışabilmekte ve gerçekleştirdiği işlemlerlerle ilgili bilgileri C:\Cryptokiller klasörü altına kayıt etmektedir.

    Araç ile ilgili gelişmelerden haberdar olmak için https://www.mertsarica.com/cryptokiller adresini ziyaret edebilirsiniz.

    Uyarı: Crytokiller, POC olarak geliştirdiğim bir araçtır bu nedenle hataları/eksikleri olabilir. Aracı prototip olarak düşünmeli ve bunu göz önünde bulundurarak kullanmanızı öneririm.

    İndir (Windows 7 Enterprise SP1 x86’da test edilmiştir.)

    Güncelleme (19.11.2015): Cryptokiller aracının kaynak kodu yayınlanmıştır.

    ENGLISH

    —————————————————————————————————————————————————–

    While I was working on a Cryptolocker malware that targeted Turkish users, I decided to create a POC tool called Cryptokiller (tested on Windows 7 Enterprise SP1 x86) which is able to detect and stop the infection and also kills the infected process. I tested it on 5 different Cryptolocker malwares.

    I will share the source code of Cryptokiller soon so you will be able to modify it for your needs.

    Limitations:

  • Cryptokiller must be running on the operating system before the infection.
  • Cryptokiller is able to detect & kill the Cryptolocker process after at least one file is encrypted by Cryptolocker.
  • It must be run must under an account with administrator privileges.
  • Supports only 32 bit Windows 7 at the moment.
  • Python 2.7 and Winappdbg module must be installed on the system.
  • You can run Cryptokiller without GUI by running it with “hidden” parameter. (cryptokiller.exe hidden). You will find the log file inside C:\Cryptokiller folder.

    Warning: Cryptokiller is POC tool. It may have bugs/issues so keep in mind.

    Download (Tested on Windows 7 Enterprise SP1 x86)

    Update (19.11.2015): Source code of Cryptokiller tool released.

    POC Video: Cryptokiller vs 5 Cryptolocker Malwares

    ——————————————————————————————————————————————————-

    image_pdfShow this post in PDF formatimage_printPrint this page
    25 comments
    1. Mert hocam 4 gözle bekliyoruz :) çevrenin hatta piyasanın beklediği bir ürün, HackTrick seminerinizde zaten duyurmuştunuz bitti testleri kaldı sadece diye. Ayrıca hocam bu virüs durdurmanın ardından eğer sisteme bulaştı ise nasıl çözülebilir ile alakalı bilgi de verebilirseniz çok memnun oluruz.

      Tekrardan teşekkürler :)

      1. Sisteme bulaştıysa ve tüm veriler şifrelendiyse elle tutulur tek çözüm sistemin yedekleri alınıyorsa yedekten geri dönmek olacaktır.
        Buna ilave olarak veri kurtarma yöntemleri de izlenebilir ancak ne kadar başarılı olur tecrübe etmedim.

    2. Mert Abi,
      Öncelikle emeğine sağlık, gerçekten faydalı bir paylaşım olacağına eminim. Programın her kullanıcı tarafından kullanılabilir esnekliği açısından bir önerim olacaktı..

      Her kullanıcıda Python yüklü olmayabilir bu yüzden programı Python Setup\’ı ile packleyip (bu yüzden Cryptokiller programı .exe olabilir) kullanıcı programı çalıştırdığında ilk olarak Python\’un OS\’da yüklü olup olmadığını kontrol edip duruma göre arkaplanda veya arayüzde yükledikten sonra Cryptokiller\’i Regedit\’ten sistem açılışına ekletirsek ve arkaplanda çalıştırıp monitör moda geçmesini sağlarsak herşey otomatize olmuş olacaktır. Böylece kullanım esnekliği hayli artacaktır diye düşünüyorum.

      Umarım anlatabilmişimdir :)

      Görüşmek üzere, iyi çalışmalar.

      1. Teşekkürler önerin için @İsmail.
        Ben de benzer şekilde bir paket hazırlamayı planlıyorum. Python olmasa da zaten pyinstaller ile paketi oluşturacağım için Python yüklü olmayan sistemlerde de çalışacaktır.

    3. Guzel yazi olmus.
      Inglizce olarak da yazdigin icin ayrica tesekkurler. Artik yabanci arkadaslara yazilarini direk iletebiliriz :)

    4. Oldukça Başarılı Bir Çalışma Olmuş Kardeşim. Ellerin\’e Sağlık. Ülkemiz\’den Başarılı Bilişimciler Çıkmasının Vakti Geldi Ve Geçiyor! Çok Dua Aldığın\’dan Adım Kadar Emiğinim:) Başarılarının Devamını Dilerim…

    5. Cryptolocker sistem üzerinden temizleniyor ama dosyalara bulaştığında çözüm yok uzantıları yeni çıkan Cryptolocker .vvv olarak değiştiriyor ve kesin olarak çözümüde yok 1 hafta nerede ise 16 17 saat uğraştım öenmli bilgiler için yedek imaj farklı şekilde saklanan dosyaları mp3 hariç hepsini bozmuştu ve kurtarma yolu sadece fidye ödemek fbı dahi sitesinde bu yeni versiyon için bildiri yayınladı Cryptolocker bulaştı ise yapıcak en güzel şey format ve daha derine işlemesi ile farmattan sonra dahi geri dönüp sistemde görüldüğü söylendi son 1 haftanın bilgileri bu şekilde bu Cryptolocker versiyonu devlet tabanlı tüm yerlerde görülmeye başlanmış ttnet altyapısı turkcell falan bir çok noktadan ortaya çıkıyor Cryptolocker son zamanlarda hala araştırıyorum sosyal ağ üzerinde facebook olmaması gereken şekilde resimler içine yerleştirilmiş versiyonu tespit edilmiş dahası var yeni Cryptolocker çok riskli ve zorlu olacak gibi

    6. Açıkçası kaynak koda bakıp görene kadar, yorumların ve uygulamanızın rahatlatıcı bir çözüm olduğunu düşünmüştüm ama söyler misiniz mirim ya bu zararlıyı geliştiren arkadaşlar cryptolocker proccesin ismini random yapmayi tercih ederler veya yine well-known bir başka bir process ismi ile execute ederlerse ne olacak?

      1. Siz hiç imza veritabanı, tarama motoru güncellenmeyen antivirüs yazılımı gördünüz mü ? Görmediniz :) Neden görmediniz çünkü zararlı yazılımlar zaman içinde yöntem değiştirebiliyorlar bu nedenle bu yazılımların da yeni tehditlere ve yöntemlere göre güncellenmeleri gerekiyor dolayısıyla Cryptokiller aracını da bunun gibi düşünebilirsiniz.

        Zaten Cryptokiller’ın açık kaynak kodlu olmasının sebebi de bu gibi yöntem değişikliklerinde kaynak kodunu buna göre güncelleyebilmenize imkan tanımaktır. Uzantıyı değiştirirlerse farklı yöntem izlersiniz, farklı bir programa kendisini enjekte ederse yine farklı bir yöntem izlersiniz kısacası bunu kedi fare oyunu gibi düşünebilirsiniz.

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    You May Also Like
    Read More

    e-Devlet Hacklendi mi?

    If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
    Read More
    Read More

    WhatsApp Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
    Read More
    Read More

    LinkedIn Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
    Read More
    Read More

    Bad Bad USB

    If you are looking for an English version of this article, please visit here. Her yıl, Ağustos ayında, ABD’nin Las Vegas kentinde düzenlenen geleneksel Black Hat Bilgi Güvenliği Konferansı‘nın sonuncusunda, Karsten NOHL ve Jakob LELL adındaki iki araştırmacı, BadUSB adında dikkat çekici bir sunuma imza attı. Bu sunumda kısaca, USB’de…
    Read More