Cryptokiller Aracı

  • 2 minute read

Geçtiğimiz haftalarda, kullanıcıların ve kurumların oldukça başını ağrıtan Cryptolocker zararlı yazılımı üzerinde çalışırken, işletim sistemine Cryptolocker zararlı yazılımının bulaştığını tespit edip, işlemi (process) durduran Cryptokiller adında bir araç hazırladım.

Windows 7 Enterprise SP1 (x86)’de test ettiğim bu aracı 5 farklı Cryptolocker zararlı yazılımı üzerinde test ettikten sonra yeni bir salgın başlamadan önce herkesin kullanımına sunma kararı aldım.

İlerleyen zamanlarda bu aracı kaynak kodu ile birlikte burada yayınlayacağım. Bu sayede aracı ihtiyaçlarınıza göre iyileştirme/geliştirme imkanınız olacaktır.

Aracın Kısıtları:

  • Cryptokiller aracı, Cryptolocker zararlı yazılımı sisteme bulaşmadan önce sistem üzerinde çalışıyor olması gerekmektedir.
  • Cryptolocker’ı tespit etmek için sistem üzerinde en az bir dosyanın Cryptolocker tarafından şifrelenmesi gerekmektedir.
  • Aracın yönetici yetkisi ile çalıştırılması gerekmektedir.
  • 32 bit Windows işletim sistemi üzerinde çalışmaktadır.
  • Sistem üzerinde Python 2.7 ve Winappdbg modülünün yüklü olması gerekmektedir.

    • Aracı “hidden” parametresi ile çalıştırdığınız taktirde (cryptokiller.exe hidden) GUI olmadan çalışabilmekte ve gerçekleştirdiği işlemlerlerle ilgili bilgileri C:\Cryptokiller klasörü altına kayıt etmektedir.

    Araç ile ilgili gelişmelerden haberdar olmak için https://www.mertsarica.com/cryptokiller adresini ziyaret edebilirsiniz.

    Uyarı: Crytokiller, POC olarak geliştirdiğim bir araçtır bu nedenle hataları/eksikleri olabilir. Aracı prototip olarak düşünmeli ve bunu göz önünde bulundurarak kullanmanızı öneririm.

    İndir (Windows 7 Enterprise SP1 x86’da test edilmiştir.)

    Güncelleme (19.11.2015): Cryptokiller aracının kaynak kodu yayınlanmıştır.

    ENGLISH

    —————————————————————————————————————————————————–

    While I was working on a Cryptolocker malware that targeted Turkish users, I decided to create a POC tool called Cryptokiller (tested on Windows 7 Enterprise SP1 x86) which is able to detect and stop the infection and also kills the infected process. I tested it on 5 different Cryptolocker malwares.

    I will share the source code of Cryptokiller soon so you will be able to modify it for your needs.

    Limitations:

  • Cryptokiller must be running on the operating system before the infection.
  • Cryptokiller is able to detect & kill the Cryptolocker process after at least one file is encrypted by Cryptolocker.
  • It must be run must under an account with administrator privileges.
  • Supports only 32 bit Windows 7 at the moment.
  • Python 2.7 and Winappdbg module must be installed on the system.

    • You can run Cryptokiller without GUI by running it with “hidden” parameter. (cryptokiller.exe hidden). You will find the log file inside C:\Cryptokiller folder.

    Warning: Cryptokiller is POC tool. It may have bugs/issues so keep in mind.

    Download (Tested on Windows 7 Enterprise SP1 x86)

    Update (19.11.2015): Source code of Cryptokiller tool released.

    POC Video: Cryptokiller vs 5 Cryptolocker Malwares

    ——————————————————————————————————————————————————-

    image_pdfShow this post in PDF formatimage_printPrint this page
    Total
    0
    Shares
    Tweet 0
    Share 0
    Share 0
    Share 0
    Share 0
    Related Tags

    Mert is a well-known and respected Cyber Security Researcher, Speaker and Blogger. He has been living and pursuing his career in the United States with an Alien of Extraordinary Ability visa (EB-1A), an employment-based green card, since October 2022.

    As of February 2023, Mert has been working at SOCRadar® Extended Threat Intelligence as the Head of Security Research & Operations. SOCRadar is a cybersecurity company committed to democratizing threat intelligence and providing superior cybersecurity solutions to thousands of companies in hundreds of countries. SOCRadar's mission is to provide organizations of all sizes with the tools to counter cyber threats.

    In his current position, Mert has been advising the CEO on strategic decisions that align with the company's mission, objectives, and overall goals.

    He has often overseen strategic initiatives by working closely with various departments, such as product development, sales, and marketing. Also, he has been managing the day-to-day operations of the Security Analyst, Support, and Professional Services teams to ensure efficiency, quality, service, and cost-effective management of resources.

    In addition, he has been driving innovation across the product by promoting new ideas and features.

    Besides that, he has been managing, mentoring, and supporting a cadre of threat researchers, threat hunters, security analysts, and technical content writers who research cyber threats, vulnerabilities, and trends.

    From October 2020 to September 2022, Mert demonstrated his expertise as an Executive Vice President / CISO of IT Security & Risk Management Group which incorporates Cyber Defense Center, Cyber Security Technologies, Cyber Security Architecture, Information Security & Risk Management teams (40 HCs) at Intertech. Intertech is an Information Technology subsidiary of DenizBank, owned by Emirates NBD

    From January 2018 to September 2020 as the Vice President, Mert was responsible for the management of Akbank's Cyber Defence Center (CDC) which incorporates Vulnerability Management, Threat Detection, Threat Response & Intel, and Security Engineering teams. (26 HCs)

    From 2007 to 2017 Mert was responsible for performing and managing penetration tests, malware analysis, security incident detection, and response as a Technical Lead in the Threat & Vulnerability Management team at IBTech. (Information Technology subsidiary of QNB Finansbank)

    From 2014 – 2016 Mert instructed Malware Analysis course in Cyber Security Graduate Program at Bahcesehir University.

    In 2003 Mert’s career journey began by discovering a security vulnerability on the e-portal web application of the Yeditepe University where he was studying at that time. After sharing his findings with the executives of the university, he was awarded an achievement grant and recruited as an Ethical Hacker. Mert graduated from Yeditepe University, Information Systems and Technologies in 2006 and Yeditepe University, Master of Business Administration program in 2010.

    From the beginning of 2011, Mert spoke at more than 30 technical cyber security conferences. In addition, he was invited as a guest speaker to more than 40 universities to share his cyber security career journey and his profession “Ethical Hacker” to the students as a role model.

    25 comments

    2. Açıkçası kaynak koda bakıp görene kadar, yorumların ve uygulamanızın rahatlatıcı bir çözüm olduğunu düşünmüştüm ama söyler misiniz mirim ya bu zararlıyı geliştiren arkadaşlar cryptolocker proccesin ismini random yapmayi tercih ederler veya yine well-known bir başka bir process ismi ile execute ederlerse ne olacak?

      Reply

      1. Siz hiç imza veritabanı, tarama motoru güncellenmeyen antivirüs yazılımı gördünüz mü ? Görmediniz :) Neden görmediniz çünkü zararlı yazılımlar zaman içinde yöntem değiştirebiliyorlar bu nedenle bu yazılımların da yeni tehditlere ve yöntemlere göre güncellenmeleri gerekiyor dolayısıyla Cryptokiller aracını da bunun gibi düşünebilirsiniz.

        Zaten Cryptokiller’ın açık kaynak kodlu olmasının sebebi de bu gibi yöntem değişikliklerinde kaynak kodunu buna göre güncelleyebilmenize imkan tanımaktır. Uzantıyı değiştirirlerse farklı yöntem izlersiniz, farklı bir programa kendisini enjekte ederse yine farklı bir yöntem izlersiniz kısacası bunu kedi fare oyunu gibi düşünebilirsiniz.

        Reply

    4. Cryptolocker sistem üzerinden temizleniyor ama dosyalara bulaştığında çözüm yok uzantıları yeni çıkan Cryptolocker .vvv olarak değiştiriyor ve kesin olarak çözümüde yok 1 hafta nerede ise 16 17 saat uğraştım öenmli bilgiler için yedek imaj farklı şekilde saklanan dosyaları mp3 hariç hepsini bozmuştu ve kurtarma yolu sadece fidye ödemek fbı dahi sitesinde bu yeni versiyon için bildiri yayınladı Cryptolocker bulaştı ise yapıcak en güzel şey format ve daha derine işlemesi ile farmattan sonra dahi geri dönüp sistemde görüldüğü söylendi son 1 haftanın bilgileri bu şekilde bu Cryptolocker versiyonu devlet tabanlı tüm yerlerde görülmeye başlanmış ttnet altyapısı turkcell falan bir çok noktadan ortaya çıkıyor Cryptolocker son zamanlarda hala araştırıyorum sosyal ağ üzerinde facebook olmaması gereken şekilde resimler içine yerleştirilmiş versiyonu tespit edilmiş dahası var yeni Cryptolocker çok riskli ve zorlu olacak gibi

      Reply

    6. Oldukça Başarılı Bir Çalışma Olmuş Kardeşim. Ellerin\’e Sağlık. Ülkemiz\’den Başarılı Bilişimciler Çıkmasının Vakti Geldi Ve Geçiyor! Çok Dua Aldığın\’dan Adım Kadar Emiğinim:) Başarılarının Devamını Dilerim…

      Reply

    10. Guzel yazi olmus.
      Inglizce olarak da yazdigin icin ayrica tesekkurler. Artik yabanci arkadaslara yazilarini direk iletebiliriz :)

      Reply

    12. Mert Abi,
      Öncelikle emeğine sağlık, gerçekten faydalı bir paylaşım olacağına eminim. Programın her kullanıcı tarafından kullanılabilir esnekliği açısından bir önerim olacaktı..

      Her kullanıcıda Python yüklü olmayabilir bu yüzden programı Python Setup\’ı ile packleyip (bu yüzden Cryptokiller programı .exe olabilir) kullanıcı programı çalıştırdığında ilk olarak Python\’un OS\’da yüklü olup olmadığını kontrol edip duruma göre arkaplanda veya arayüzde yükledikten sonra Cryptokiller\’i Regedit\’ten sistem açılışına ekletirsek ve arkaplanda çalıştırıp monitör moda geçmesini sağlarsak herşey otomatize olmuş olacaktır. Böylece kullanım esnekliği hayli artacaktır diye düşünüyorum.

      Umarım anlatabilmişimdir :)

      Görüşmek üzere, iyi çalışmalar.

      Reply

      1. Teşekkürler önerin için @İsmail.
        Ben de benzer şekilde bir paket hazırlamayı planlıyorum. Python olmasa da zaten pyinstaller ile paketi oluşturacağım için Python yüklü olmayan sistemlerde de çalışacaktır.

        Reply

    14. Mert hocam 4 gözle bekliyoruz :) çevrenin hatta piyasanın beklediği bir ürün, HackTrick seminerinizde zaten duyurmuştunuz bitti testleri kaldı sadece diye. Ayrıca hocam bu virüs durdurmanın ardından eğer sisteme bulaştı ise nasıl çözülebilir ile alakalı bilgi de verebilirseniz çok memnun oluruz.

      Tekrardan teşekkürler :)

      Reply

      1. Sisteme bulaştıysa ve tüm veriler şifrelendiyse elle tutulur tek çözüm sistemin yedekleri alınıyorsa yedekten geri dönmek olacaktır.
        Buna ilave olarak veri kurtarma yöntemleri de izlenebilir ancak ne kadar başarılı olur tecrübe etmedim.

        Reply
    Leave a Reply

    Your email address will not be published. Required fields are marked *

    You May Also Like
    Read More

    e-Devlet Hacklendi mi?

    If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
    Read More
    0
    0
    0
    0
    0
    Read More

    LinkedIn Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
    Read More
    0
    0
    0
    0
    0
    Read More

    WhatsApp Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
    Read More
    0
    0
    0
    0
    0
    Read More

    Profilime Kim Baktı?

    If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
    Read More
    0
    0
    0
    0
    0