Coin Vault Ransomware Yeni Bir Cryptolocker Türü

 

Bildiğiniz gibi ttnet tarafından yayılan fatmal ransomware herkesi ciddi şekilde etkilemişti. Bu tarz verileri şifreleyen yeni bir fidye zaralısı daha ortaya çıktı ve yurt dışını etkilemeye başladı. Yakın zamanda ülkemizde de bunu görmemiz olasıdır.

 

Mantığı gene aynı ekli gelen bir dosya ile sisteminize ulaşıp aşağıdaki uzantıları tüm diskinizde şifreliyor.

 

.odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2,.dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .lnk, .der, .cer, .crt, .pem, .pfx,.p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt, .zip, .rar, .mp4, .iso

 

Etkilediği yerler:

%AppData%\Microsoft\Windows\coinvault.exe
%AppData%\Microsoft\Windows\edone
%AppData%\Microsoft\Windows\filelist.txt
%Temp%\CoinVaultFileList.txt
%Temp%\wallpaper.jpg

 

Registry ayarları:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Vault "%AppData%\Microsoft\Windows\coinvault.exe"

HKCU\Control Panel\Desktop\Wallpaper "%Temp%\wallpaper.jpg"

 

Gene diğerinde yaptığı gibi belirli bir süre de sizden bit coin olarak ödeme yapmanızı bekliyor. Ve geciktikçe de fiyat artıyor.

 

Şifreledikleri dosyaları %Temp%\CoinVaultFileList.txt dizinine alıyor. İşlem bitip sisteminizdeki dosyalar şifrelendiğinde şu arka paln oturuyor ekranınıza:

 

 

Diğer ttnet vakasında da yaşadığımız gibi xp sistemler dışında bu durumu volume shadow copy kullanarak geri getirebiliyorsunuz en güncel alınmış dosyaya.

 

Bu yönüyle 4 tavsiye vermek gerekirse:

1- Sürekli yedek alın!
2- VSS kullanın
3- Bilmediğiniz ve ekli gelen dosyaları açmak için ya virus total uploader ya da kum havuzu ile açınız.. 
4- Güncel antivirüs yazılımı kullanın. 

 

Şu forumu da okumanızı tavsiye ederim..

 

Not: Bu yazı 1 aralık 2014 de kaleme alındığında henüz ülkemizde bu zaralı görülmemişti. Umarım da hiç görünmez.



"Coin Vault Ransomware Yeni Bir Cryptolocker Türü" Hakkında Kafanıza Takılanı Hemen Sorun

Çağrı Polat

Şu anda DEU Bilgisayar Mühendisliğinde Doktora yapmaktadır. " Kalıcı Gelişmiş Saldırılar ve Siber Güvenlik" üzerinde çalışmaktadır.


Bilgisayar Yüksek Mühendisidir. Ayrıca, Elektrik-Elektronik mühendisi ve İşletme bölümlerini bitirmiştir. Yüksek lisans tez konusu "kurumsal ağlarda sızma testleri ve önlemleri" idi.Akademik olarak da bilgi güvenliği üzerine çalışmaktadır.



Kariyerinin ilk yıllarında bilgi işlem sorumluluğu, sistem destek uzmanlığı yaptıktan sonra, IT manager, IT koordinator ve son 3 yılda da kurumsal firmalara bilgi güvenliği danışmanlığı yapmaktadır Yaklaşık 12 yıllık tecrübeye sahibidir.


9 uluslararası sınavda alınmış Microsoft sistem mühendisliği güvenlik sertifikasıyla birlikte, EC Council' den eğitim alarak CEH v9 sertifikasını almıştır. MCSE, CEH ve bilgi güvenliği başlıklarında bireysel ve kurumsal eğitimler ve seminerler vermektedir.


ISO27001:2013 BGYS konusunda baş denetçilik, eğitmenlik ve danışmanlık yapmaktadır. Ayrıca Bilirkişilik ve Kamulaştırma Bilirkişilik yetkilendirme belgesi sahibidir.