Scarab fidye virüsü nedir, scarab ile şifrelenen dosyalar nasıl çözülür?

alattin (17125) 6 yıl önce sordu

Scarab fidye virüsü nedir?

Scarab ile şifrelenen dosyalar nasıl çözülür?

Toplam 1 cevap


alattin (17125) 6 yıl önce cevapladı

Scarab Fidye virüsü nedir?


Scarab fidye virüsü ilk olarak haziran 2017 yılında keşfedildi. O günden bugüne pek çok Scarab türevi yaratıldı.

Scarab fidye virüsü de diğer pek çok fidye virüsü gibi kurbanın dosyalarını şifredikten sonra bitcoin olarak fidye talep ediyor.

Scarab fidye virüsünün Aralık 2017 de keşfedilen Scarabey başka bir türü daha mevcut. Scarabey, Scarab fidye virüsünden biraz daha farklı.

Scarabey daha çok kurbanlarını RDP üzerinden buluyor. Brute force gibi teknikler ile RDP çalışan Windows sunucular hedef alınıyor.
Sunucuya sızıldıktan sonra Scarabey çalıştırıp tüm dosyalar şifreleniyor ve fidye notu sunucuya bırakılıyor.

İlk çıktığı dönemlerde Rus kullanıcıları hedef alan Scarabey ve türevlerine artık Türkiye'de, lokalize olarak rastlamak mümkün.

Orjinal Scarab fidye virüsünde kullanıcı fidyeyi ne kadar geç öderse o kadar daha fazla ödemek zorundaydı.Scarabey fidye virüsünde durum daha farklı işliyor:  Fidye ödemesi yapılmadan geçirilen her gün daha fazla dosyanın silineceğini ve 
en sonunda kurtarılacak bir dosya kalmayacağı yönünde bilgi veriyor.

Scarab ve Scarabey dosyaları AES şifrelem algoritması ile şifreliyor.

Pek çok online kaynakta Scarabey fidye virüsünün bir backdoor içerdiği ve backdoor gibi davrandığı yazıyor.Backdoor, bulaştığı sistemde bir kapı açarak kurban bilgisayara uzaktan erişimi olanak kılıyor, aynı zamanda sunucudan veri çalmak için de kullanılabiliyor.

Malwarebytes incelemesinde bunun doğru olmadığı belirtilmiş. Ama Malwarebytes'ın incelediği varyant farklı olabilir elbette.Sonuç olarak pek çok Scarab türevi ortlıkta dolanıyor. Malwarebytes incelemesine göre Scarabey sadece dosyaları şifrelemekle yetiniyor.

Scarab ve türevlerinin belirli bir dosya uzantısı yok. Örneğin uzmanim.net'e gelen örnekte  adlandırlası DosyaAdı.uzantı.[firmabilgileri@airmail.cc] şeklindeydi.
Şifrelen dosya bir excel dosyasıysa örneğin, dosya adı şu şekilde değiştiriliyor: Belge.xlsx.[firmabilgileri@airmail.cc]

Ayrıca bir de yine benzer şekilde dosya adına eklenen [Firmabilgileri@bk.ru] email adresi ile de karşımıza çıkan Scarab versiyonu mevcut.

Bu kripto şantajcılar fidye mesajını HOW the TO the RECOVER The ENCRYPTED files.txt adlı dosyanın içinde sisteme bırakıyorlar.

Maalesef bu tür fidye virüslerini üretmek çok kolay bir hale geldi. Pek çok yerden elde edilebilecek kitler ile otomatik olarak bu tür fidye virüsleri kolaya üretilebiliyor.


Scarab fidye virüsü ailesi oldukça geniş: Aşağıda Scarab fidye virüsü varyantları ve keşfedilme zamanlarını bulabilirsiniz:

  • Scarab (ScarabLocker)  - Haziran 2017
  • Scarab-by Scorpio (by Scorpio)  - Temmuz 2017
  • Scarab - by Jackie  - Ekim 2017
  • Scarab - Rusça (Scarabey)  - Aralık2017
  • Scarab - Decrypts  - Mart 2018
  • Scarab - Crypto  - Mart 2018
  • Scarab - Amnesia  - Mart 2018
  • Scarab - Please  - Mart 2018
  • Scarab - XTBL  - Nisan 2018
  • Scarab-Oblivion  - Nisan 2018
  • Scarab - Horsia  - Mayıs 2018
  • Scarab - Walker  - Mayıs 2018
  • Scarab - Osk  - Mayıs 2018 
  • Scarab - Rebus  - Mayıs 2018 
  • Scarab - DiskDoctor  - Haziran 2018 
  • Scarab - Danger  - Haziran 2018 
  • Scarab - Crypt000  - Haziran 2018 
  • Scarab - the Bitcoin  - Haziran 2018 
  • Scarab - Bomber  - Haziran 2018 
  • Scarab - Omerta  -  Haziran 2018 
  • Bin-now Scarab  - Haziran 2018 
  • Scarab-of Recovery  - Haziran 2018
  • Scarab -Türkçe  - Haziran 2018 
  • Scarab - Barracuda - Temmuz 2018

Görüldüğü gibi Türkçe olan Scarab çok yakın bir dönemde yayılmaya başladı.

Scarab Türkçe fidye notu şu şekilde:

SISTEMINIZDEKI DEGER GORULEN VERILERIN TUMU TARAFIMCA SIFRELENMISTIR.
VERILERINIZI GERI ALMAK ICIN ASAGIDA SIZE YAZDIGIM MAIL ADRESINDEN BANA ULASABILIRSINIZ.

BANA MAIL ADRESINIZDE IP ADRESINIZI GONDERMEYI UNUTMAYIN. 

firmabilgileri@airmail.cc

BUNUN YANINDA;

GENELDE SERVERINA GIRDIGIMIZ MUSTERILERIN TEREDDUTLERI ODEME YAPTIKTAN SONRA DOSYALARIMIZ GELMESSE KOMSUMUZ HACKLENDI DOSYALARI ACILMADI
EKSIK ACILDI VS. VS. VS. MALESEF SON ZAMANLARDA BU YAPTIGIMIZ ISIN TRENDLESMESI SONUCU BU TARZ SEREFSIZLIKLER YAPAN VAR PEKI BANA NASIL GUVENECEKSINIZ
SU SEKILDE BELIRTEYIM DAHA ONCE HACKLEDIGIM BIR FIRMAYI REFERANS AMACLI SOYLEYEBILIRIM ARAR SORARSINIZ 


BIR DIGER KONUYA GELIRSEK
YAPTIGIMIZ SIFRELEMEYI BIZDEN BASKA ACABILEN YOK SAGA SOLA GONDERIYORSUNUZ SERVERLARI ADAMLAR SIZDEN ALACAGIMIZ RAKAMINDA USTUNE RAKAM EKLEYEREK
KENDILERI SIFRELERI COZMUS GIBI ISINIZI GORUYORLAR BIRCOK VERI KURTARMA FIRMASIYLADA CALISYORUZ, CALISYORUZ DERKEN ORTAKLIK VS. DEGIL SIZIN ONLARA GONDERDIGINIZ
SERVERLARIN SIFRELERINI SIZE DEGIL AYNI RAKAMA ONLARA VERIYORUZ ONLARDA KARLARINI EKLEYEREK SIZE VERI KURTARMA HIZMETINI VERMIS OLUYOR

BIR DIGER KONU LUTFEN SAAT 10:00'A KADAR DONMUS OLUN BUNUN NEDENLERINE GELIRSEK
GERCEKTEN COK YOGUN BIR TEMPO ILE CALISYORUZ BIZIM ICIN VAKIT SIZIN YAPACAGINIZ ODEMEDENDE ONEMLI BIR SONRAKI GUNUN SERVERLARININ HAZIRLANMASI SIFRELENMESI
BIZDE NETICEDE INSANIZ UYKU YEMEK SOSYAL AKTIVITELER DERKEN VAKTIMIZ KALMIYOR ELIMIZDE ONLARCA IS VARKEN GERIYE DONUP 1 ISLE UGRASAMIYORUZ SIFRELEDIGIMIZ VERILERIN
SIFRELERI 1234 KOYACAK KADAR AMATOR DEGILIZ YADA DATALARI RECOVERY PROGRAMLARI, SHADOW EXPLORER ILE KURTARACAGINIZ BIR SEKILDE BIRAKMIYORUZ YANI OYALANMANIN SAGA SOLA
SORMANIN BIR MANASI YOK VAKITLICE DONUN HERKES VAKITLICE ISINI YAPSIN 

BIR DIGER KONU SAVCILIGA GIDECEK ARKADASLAR ICIN BU KISIM 
BANKA HESAP NUMARASI ISTEYIP DURMAYN CUNKU BANKA HESABI KULLANMIYOR ODEMELERI BITCOIN ILE ALIYORUZ.

BIR DIGER KONU NE OLUR BU ISI 3 GUNDUR YAPIYORUM MUAMELESI YAPMAYIN BANA 5 YILDIR BU ISI YAPIYORUM 5 YILDIR KIMSE YAKALAYAMADI
SENMI YAKALAYACAKSIN BIR AKILLI SENMISIN ? HA YINE ISTEDIGIN KADAR UGRASABILIRSINIZ AMA LUTFEN BUNU BENI MESGUL EDEREK YAPMAYIN...

ODEMEDEN SONRA VERILECEK HIZMETLER
+SIFRELI DOSYALARI COZME
+ACIKLARINIZ HAKKINDA BILGILENDIRME (DISARDA FIZIKSEL YEDEGI OLUP ACIGI OGRENMEK ICIN YAZAN ARKADASLAR ODEME ALMDAN ANLATMIYORUZ)


DIPNOT: VAKIT VAKIT VAKIT EN ONEMLI SEY VAKIT SAAT 10 DEN ONCE DONUN.

Your personal identifier:
50555O4*0ODFFDGFDGÖ54M656AA6458BE939396152569F8A42B2CGMDFLGMLGMDFKLGMDFGK7164D0EDD97352657F3840E0
GMDFKGMFDKLGMDFLGKMDFGLMGKLDFGMGMFDKLGMFLGK MLKGML50DF504125FDGDFGDFGNGKDNFGJK2
2483B5D1038BC26145EF398226298C5249D9975A3764EB32C87998C413F7F4BBCE419B472FAD973FE909C25DCC0ABF47C0A5
5A16A66410F572265A4BFC5744BDKGMFDLMGLKMGLDKMKL6M45LK6M45K6M45LK6M346M43L6KM43LK142F301

firmabilgileri@airmail.cc
 

Scarab fidye virüsünün şifrelediği dosyaları açmanın bir yolu var mı?

Bazı durumlarda scarab ile şifrelenen dosyaları çözmek mümkün oluyor. Bunun için kayıt defteri üzerinde hiç bir işlem yapılmamış olması gerekiyor. Yine şifreli dosyalar ve şifrelemeyi yapan zararlı yazılım analiz edilerek çözüm üretilebiliyor.

Ama dediğim gibi pek çok varyant olduğu için şifrelemeyi yapan scarab varyantının analizi gerekiyor. Scarab için genel bir çözüm yok. Sadece belirli koşullarda çözüm üretilebiliyor.

Fidye ödesem dosyalarımı geri alabilir miyim?

Bunun da bir garantisi yok. Bu tür zararlı yazılımlar tek bir elden dağıtılmıyor.  Fidye ödeyerek çözüm sağlayanlarda var para ödeyip hiç bir çözüme kavuşamayanlar da.

Veri kurtarma şirketleri verilerimi kurtarabilir mi? 

Bunun da bir garantisi yok. Veri kurtarma merkezleri genelde fidye ödeyerek kurtarma anahtarını satın alıyor ve bunları size daha büyük bir bedel ile geri satıyorlar. Buna da dikkat etmeniz de fayda var.

Benim önerim varsa yedekleriniz üzerinden ilerlemeye çalışın.

Bir daha scarab fidye virüsü ile karşılaşmamak için ne yapmalıyım?

Scarab özellikle sunuculardaki güvensiz RDP sistemleri hedef alıyor. Öncelikle internete açık bir sunucunuz varsa RDP ile ilgili sistem yöneticiniz veya siz gerekli önlemleri alın. Güçlü parolalar seçin. Geçersiz RDP isteklerini kurala bağlayın ve engelleyin. 

 

toprak34 6 yıl önce

@alattin abi açıklaması da virüs gibi bir hayli garip :)

alattin 6 yıl önce

scarab ingilizce bok böceği demek, ne beklenir ki @toprak34 :)

toprak34 6 yıl önce

@alattin :) şu kısıma baya güldüm "BIR DIGER KONU NE OLUR BU ISI 3 GUNDUR YAPIYORUM MUAMELESI YAPMAYIN BANA 5 YILDIR BU ISI YAPIYORUM 5 YILDIR KIMSE YAKALAYAMADI SENMI YAKALAYACAKSIN BIR AKILLI SENMISIN ? HA YINE ISTEDIGIN KADAR UGRASABILIRSINIZ AMA LUTFEN BUNU BENI MESGUL EDEREK YAPMAYIN... ODEMEDEN SONRA VERILECEK HIZMETLER +SIFRELI DOSYALARI COZME +ACIKLARINIZ HAKKINDA BILGILENDIRME (DISARDA FIZIKSEL YEDEGI OLUP ACIGI OGRENMEK ICIN YAZAN ARKADASLAR ODEME ALMDAN ANLATMIYORUZ)"

alattin 6 yıl önce

@toprak34 bir de hizmet veriyorlar, sağ olsunlar :)

toprak34 6 yıl önce

@alattin abi bu scarab Türk yapımı virüs mü? Türkiye türevleri var demişsin fakat bu kadar samimi Türkçe yazabilmeleri bana biraz garip geldi açıkçası.

alattin 6 yıl önce

@toprak34 hayır Türk yapımı değil. Bu tür ransomware yani fidye yazılımı üretmek için kitler satılıyor. Bu kitlerle kolayca kendi fidye yazılımını yapabiliyorsun. Özellikle tor ağında bulabiliyorsun. Bu mesajı yazan kişi %100 türk o belli.