spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
KriptoKilit için KriptoAnahtar Yazdır E-posta
Osman PAMUK, TÜBİTAK BİLGEM   
12.03.2014

Daha önceki yazımızda fidyeci KriptoKilit[1] zararlı yazılımdan ayrıntılı olarak bahsetmiştik. İlk incelemelerimizde şifrelenen verileri zararlı yazılım çalışması sırasında AES şifresini elde ederek kurtarmak için bir yöntem önersek bile, bütün dosyaların şifreleme işlemi bitirdikten sonra şifrelenmiş dosyaları kurtarma için bir yol gösterememiştik. Daha sonra gerçekleştirilen incelemelerde ise şifrelenen dosyaların işlem bittikten sonra da açılabilmesinin mümkün olabileceğini gösterildi. Bu konuda özellikle Zemana[2] firması herkesin kullanımına açık bir araç da geliştirdi. Bu sebeple, biz de zararlı yazılımın kullandığı şifreleme yöntemini bir daha gözden geçirdik ve AES block cipher kullanımında çok basit bir hata ile karşılaştık. Bu hatadan faydalanarak, elimizde bir dosyanın hem açık hali hem de şifreli hali mevcutsa, aynı bilgisayarda şifreli halde bulunan diğer dosyaları da açmak mümkün olabilmekte. Daha fazla detaylandırmak gerekirse, elimizde kriptokilit tarafından şifrelenmiş 2 mb dan küçük bir dosyanın şifrelenmemiş hali mevcut ise bu dosyanın boyutundan küçük diğer bütün  şifreli dosyaları açmak mümkün olmakta. Eğer elimizdeki dosyanın boyutu 2 mb dan büyük ise boyut kısıdı olmaksızın bütün şifreli dosyaları açmak mümkün olmakta.

Bu şifre açma işlemini otomatik hale getirmek için KriptoAnahtar aracını geliştirdik. Yukarıda da bahsedildiği üzere bu aracın (teorik olarak) bütün şifreli dosyaları açabilmesi için en az 2 mb boyutunda, şifrelenmiş bir dosyanın açık halinin elinizde olması gerekmekte. Bu tür bir dosyayı “exe” nin bulunduğu klasörün altında, “AcikDosyalar” isminde bir klasöre koymanız yeterli olacaktır.

KriptoAnahtar çalıştırıldığında, ilk önce “AcikDosyalar” klasörü altındaki dosyaların ve daha sonra bütün şifreli dosyaların listesini oluşturmaktadır. Bu işlemden sonra, “AcikDosyalar” klasöründe, şifreli dosyalardan birinin şifrelenmemiş halinin olup olmadığını, dosya ismi ve dosya boyutu ile kontrol etmektedir. Bu tür bir dosya mevcutsa, diğer dosyaları açmak için kullanılacak şifreyi hesaplamakta ve şifreli dosyaları açmaya başlamaktadır. Açma işlemini iki türde gerçekleştirebilmektedir. Eğer KriptoAnahtar çalıştırılırken “orj” parametresi ile çalıştırılmışsa, şifreli dosyalar, orijinal yerlerinde orijinal isimleri ile açılmaktadır. Eğer herhangi bir parametre ile çalıştırılmamışsa, şifreli dosyalar “AcilmisDosyalar” klasörü altına, orijinal dosya isminin yanına MD5 özetinin ilk 9 karakteri eklenerek oluşturulan bir isimle açılmaktadır.

Şifrelenmiş dosyaların açık hallerinin bulunmasını kolaylaştırmak adına, varsayılan kurulum ayarları ile gelen, Windows XP işletim sistemleri için “PINBALL.DAT” ve Windows 7 işletim sistemler için “win7_scenic-demoshort_raw.wtv” dosyaları kullanılabilir. “PINBALL.DAT” dosya boyutu 928.700 byte yani 2mb dan düşüktür, bu sebeple şifrelenmiş dosyaların şifrelenmemiş hali olarak elimizde sadece “PINBALL.DAT” dosyası mevcut ise, 928.700 byte (906 KB) boyutundan büyük olan dosyaları açmak mümkün olmayacaktır. Bu durumda bilgisayarınızda şifrelenmiş dosyaların listesini kontrol edip, elinizde daha büyük boyuttaki bir dosyanın şifrelenmemiş hali olup olmadığını kontrol etmeniz gerekecektir.  “win7_scenic-demoshort_raw.wtv” dosyasının boyutu 2mb dan büyük olduğu için bu tür bir kısıdı bulunmamaktadır. Windows 7 sisteminizde herhangi bir sebepten dolayı bu dosya bulunmuyor veya bulunuyor ve şifrelenmemiş ise, başka bir dosya bulmanız gerekecektir.

KriptoAnahtar ve örnek AcikDosyalar linki.

Referanslar

[1] https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html

[2] http://blog.zemana.com/2014/03/FatmalDecrypter.html


Favori olarak ekle (4) | Görüntüleme sayısı: 13903

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB