Conti Nedir?
Conti, ilk olarak 2020 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.
Conti Ransomware is a prolific Russian-speaking RaaS operation (2020-2022). Fast encryption, double extortion. Source code leaked 2022. Spawned many variants.
Atıf / Tehdit Aktörü: WIZARD SPIDER, multiple successor groups
Teknik Detay: Conti ransomware operated by WIZARD SPIDER, active 2020-2022. One of the most prolific and destructive RaaS operations. Double extortion: file encryption + data leak site (Conti News). Encryption: ChaCha20 for files + RSA-4096 for key exchange. Highly configurable with full C source code (supports n
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
- Dosyalarınızın şifreli hale gelmesi ve fidye notu oluşması
Dosya Hash Değerleri (Antivirüs Tespiti İçin)
Gerçek Conti örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash Değeri | Tür | Not |
|---|---|---|
| 185562f0321a292e87bb0d96fc2d4f2c613ae2d84fa57b87691e9e32df131d03 | SHA256 | Conti |
| 1e7c0f7091e8ed3687b06556cbbda638af99e35d372ba257cedb8ada4b2c43fe | SHA256 | Conti |
| 565ff723884f77bf7e744527b0eb736373183ce1cc6c6df0fdee4b2929f685c2 | SHA256 | Conti |
| efe36b1f343e3fc0bcc0099e2451f9af943c8c5365b01fdbd14d4ed1ada4882b | SHA256 | Conti |
| 8cc0af07f6a734190daa831d3636db4d88a5c9e74872ebcfb3aa9b5beea77804 | SHA256 | Conti |
| ffef1e40446902adc8071354fd39c1c6 | MD5 | Conti |
| 301ee665db2c4f3b0d70cebf0125939b | MD5 | Conti |
| 810ce3c27a736f08d3a57fff9106de6f | MD5 | Conti |
| fe6ad550c65af3c668a2d704ea57e4af | MD5 | Conti |
| 4cd1bdd51aad677e34b28eb8fdbb8713 | MD5 | Conti |
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — Güvenli Modda Başlatın
Windows'u Ağ Destekli Güvenli Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — Conti Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Adım 4 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes Anti-Malware
- Emsisoft Emergency Kit
- Windows Defender Çevrimdışı Tarama
Adım 5 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
Şifrelenmiş Dosyaların Kurtarılması
Fidye Ödemeyin
Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.
- No More Ransom Projesi — ücretsiz şifre çözücüler veritabanı
- VSS Kontrolü:
vssadmin list shadows→ önceki sürümleri geri yükleyin - Yedekten Geri Yükleme: Etkilenmemiş yedekten sistemi kurtarın
- Kurtarma şu an mümkün değilse verileri saklayın — ilerleyen dönemde şifre çözücü yayınlanabilir
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.
Conti — Malware Profile
Conti ransomware. run-as-admin.exe UAC bypass. supp onion victim support. __MUTEX_NAME__ template. DisallowRun security block. TrickBot/BazarLoader delivery.
Technical Details
Conti ransomware operated by WIZARD SPIDER, active 2020-2022. One of the most prolific and destructive RaaS operations. Double extortion: file encryption + data leak site (Conti News). Encryption: ChaCha20 for files + RSA-4096 for key exchange. Highly configurable with full C source code (supports network drives, SMB shares). Conti Playbook leaked September 2021 revealing TTPs. Source code and internal chats leaked by Ukrainian researcher March 2022 after Conti publicly sided with Russia in Ukraine conflict. Attack on Costa Rica government (2022) caused national emergency declaration. Dissolved into multiple successor groups: Black Basta, BlackByte, Royal, Akira.
Attribution / Threat Actor
WIZARD SPIDER, multiple successor groups
Capabilities & Behavior
C2 Servers (8 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| mojobiden.com | domain | 80 | HTTP | active | — |
| mojobiden.com | domain | 80 | HTTP | active | — |
| 213.234.12.78 | ip | 8080 | HTTP | inactive | UA |
| paymenthacks.com | domain | 443 | HTTPS | inactive | — |
| myosbja7hixkkjqihsjh6yvmqplz62gr3r4isctjjtu2vm5jg6hsv2ad.onion | domain | 80 | HTTPS | inactive | — |
| mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion | domain | 80 | HTTPS | inactive | — |
| paymenthacks.com | domain | 80 | HTTP | inactive | — |
| 85.62.61.3 | ip | 443 | HTTPS | sinkholed | RU |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.