Bu rehber, gerçek Conti örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Conti Nedir?

Conti, ilk olarak 2020 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

Conti Ransomware is a prolific Russian-speaking RaaS operation (2020-2022). Fast encryption, double extortion. Source code leaked 2022. Spawned many variants.

Atıf / Tehdit Aktörü: WIZARD SPIDER, multiple successor groups

Teknik Detay: Conti ransomware operated by WIZARD SPIDER, active 2020-2022. One of the most prolific and destructive RaaS operations. Double extortion: file encryption + data leak site (Conti News). Encryption: ChaCha20 for files + RSA-4096 for key exchange. Highly configurable with full C source code (supports n

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Conti örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
185562f0321a292e87bb0d96fc2d4f2c613ae2d84fa57b87691e9e32df131d03SHA256Conti
1e7c0f7091e8ed3687b06556cbbda638af99e35d372ba257cedb8ada4b2c43feSHA256Conti
565ff723884f77bf7e744527b0eb736373183ce1cc6c6df0fdee4b2929f685c2SHA256Conti
efe36b1f343e3fc0bcc0099e2451f9af943c8c5365b01fdbd14d4ed1ada4882bSHA256Conti
8cc0af07f6a734190daa831d3636db4d88a5c9e74872ebcfb3aa9b5beea77804SHA256Conti
ffef1e40446902adc8071354fd39c1c6MD5Conti
301ee665db2c4f3b0d70cebf0125939bMD5Conti
810ce3c27a736f08d3a57fff9106de6fMD5Conti
fe6ad550c65af3c668a2d704ea57e4afMD5Conti
4cd1bdd51aad677e34b28eb8fdbb8713MD5Conti

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Conti Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.