CryptoLocker, Cryptowall, Teslacrypt , TorLocker ve daha nicesi..
Bilgisayarlarınızdaki tüm dosyaları çok güçlü biçimde şifreleyen ve dosyalarınızın bazen adını, bazen de sadece uzantısını değiştiren zararlılar. Eğer bu türden bir sorunla karşılaştıysanız detaylı bilgi ve çözüm önerileri aşağıdadır. Ayrıca bu makale sürekli güncel tutulacaktır. Etkin ve güncel çözümler için lütfen “Nasıl Çözülür” kısmına dek okuyunuz.
Bilindiği üzere, cryptolocker veya şifreleme virüsü olarak adlandırılan ve genelde gelen mail ekindeki zararlıya tıklama, internette gezinirken indirilen zararlıyı çalıştırma, uzak masaüstü ( RDP ) kırılması, zararlı yazılım içeren bir program kurulumu vs. gibi yollarla bulaşan zararlıların yüzlerce farklı çeşidi ve yüzlerce farklı isimle adlandırılan türü bulunmaktadır. Bizler buna cryptolocker varyantları diyoruz. Bu yüzlerce varyantın ekseri çoğunluğuna çözüm üretilebileceği gibi, çözümü olmayan veya hiç olmayacak türlerde maalesef bulunmaktadır.
Bu yazı, eğer var ise sizi çözüme ulaştırmak ve yaşadığınız soruna dair bilgi vermek amacıyla hazırlanmıştır. Zira bu zararlılar, klasik bir virüs gibi hareket etmediğinden, kişi veya kurumların uyguladığı çözümler başarısız kaldığında, panik ve karamsarlık oluştuğunu gözlemliyorum.
Not : Yukarıda da değindiğim gibi, birçok varyant için çözüm üretiliyor, veya mutlaka zaman içinde üretilmiş olacaktır. Halihazırda üretilmiş çözümleri elimden geldiği kadar bu yazının “Nasıl Çözülür” kısmına koymaya gayret ediyorum.
Fakat unuttuğum, atladığım durumlar olabilir düşüncesi ile, şifrelenmiş/bozulmuş/uzantısı değişmiş bir dosyanızı mail ile iletmenizi tavsiye ediyorum.
Aşağıya telefon numaramı da yazıyorum ama, yoğunluğumdan ötürü önceliğimin yazılı iletişim olduğunu belirtmeliyim.
Mail gönderirken, virüsün size bıraktığı not (txt, html, hta) dosyalarını lütfen göndermeyin.
Bunlar mail sunucuları tarafından engellendiğinden, mailiniz zaman zaman ulaşmayabilir.
Eğer gerekli olursa, ya da maruz kaldığınız zararlının varyantını tespit etmekte zorlanırsak, winrar ile sıkıştırıp mail ile, ya da wetransfer üzerinden daha sonra gönderebilirsiniz.
Örnek olarak, ülkemizde sık görülen ve çözümü üretilmiş zararlılardan bazıları şöyledir;
TeslaCrypt 1-2-3-4 ( ccc, vvv, xxx, mp3, ezz, ecc, uzantı olmadan )
CrySis ( xtbl, ytbl, india )
Cerber-1 ( cerber )
Globe 2-3 ( decrypt2017, hnumkhotep, duhust vs…)
Jigsaw ( jigsaw )
Nemucod ( nemucod )
Dharma ( .dharma )
( listelenen bu varyantların çözüm araçlarını “Nasıl Çözülür” kısmında bulabilirsiniz.)
Diğer sürümler;
( Mail ile; TTNET Fatura , İşbank, Akbank gibi bankalar, çeşitli kargo firmalarından geliyor gibi davranan ve uzantıları; Encrypted, Enc, Locky, Zepto, Thor, Axx, Crypted, Crypt, Cerber3, Cerber4 veya dosya uzantılarını rastgele farklı 6 karakter ile değiştiren zararlılar. Ya da uzak masaüstü ( RDP ) açıklarını kullanarak sisteminize giren dharma , wallet , india.com , aol.com, spora, hakunamatata, locked, zyka, kraken_cc, mail.cz )
için, herhangi bir çözüm üretilip üretilmediğine dair sağlıklı bilgiyi aşağıdaki iletişim yöntemlerini kullanarak alabilirsiniz. ( herhangi bir çözüm aracı üretilmemiş olsa da, özellikle MS SQL ( MDF/LDF ), MySQL , PST (outlook data) dosyalarında kurtarma oranı ciddi oranda -%99,9- yüksektir )
Detaylı bilgi ve çözüm önerisi için, mail adresime 1 adet örnek dosya gönderebilirsiniz.
Hemen dosya göndermek için : mailini kullanabilir,
ya da mail ile uğraşmak istemiyorsanız, Wetransfer ( Tıklayınız ) ile dosyayı doğrudan yükleyebilirsiniz.
Mail ulaştığında, elimden geldiğince ivedilikle geri dönüş sağlamaya, sizi sorunla ilgili bilgilendirmeye ve çözüme yönlendirmeye çalışıyorum.
(Daha önce de değindiğim gibi,
yoğunluğumdan ötürü sadece WhatsApp,Viber, Telegram, Sms iletişimini tercih ediyorum)
Önemli not:
An itibarı ile 254 sayısına ulaşmış tüm cryptolocker sürümlerine karşı şuana kadar bilinen en etkili ve basit çözüm “Shadow Explorer” uygulamasıdır.
Lütfen herhangi bir işlem yapmadan önce, eğer gölge kopyalarınız silinmemişse, buradan dosyalarınızı Shadow Explorer ile kurtarma yolunu deneyiniz.
Eğer gölge kopyalarınız silinmemiş, ama Shadow Explorer ile kurtardığınızda dosyalar bozuk geliyorsa, bilgisayarı yetkisiz bir kullanıcı ile açıp, gölge yedeklerinizi bu şekilde almayı deneyebilirsiniz.
Shadow Explorer için : Tıklayınız
Ayrıca; Eğer dropbox, gdrive, one drive gibi bulut yedekleme platformlarını kullanıyorsanız ve bu platformlarda etkilenmiş ise, lütfen buluttaki bu dosyalar/klasörler üzerine sağ tuş ile tıklayıp önceki sürümler özelliğini kullanarak dosyalarınızın bir önceki sürümünü geri yükleyiniz.
Ek olarak; eğer yetkin değilseniz, virüsün değiştirdiği dosya uzantılarını silmeyiniz, değiştirmeyiniz. Bunun bir faydası olmayacaktır.
Yine virüsün bıraktığı txt/html dosyalarını silmeyiniz, değiştirmeyiniz.
Virüs bulaşmış sistemlerinizi, Zemana Anti Malware kullanarak temizleyebilirsiniz.
Zemana Anti Malware için : Tıklayınız
Zemana AntiLogger için : Tıklayınız
( AntiLogger : Reklam, Bankacılık Zararlıları, Ransomware, KeyLogger gibi tuzaklarından sizi büyük oranda korur )
Not: bu uygulama zararlı bulaşmış bilgisayarlardaki dosyaları kurtarmaz, sadece çalışan zararlıyı uzaklaştırır. Yine uygulamayı bu türden saldırılardan korunmak için de kullanabilirsiniz.
[ %100 koruma = Yedek ]
Not: İlgili zararlı sisteminize bulaşmış ise aşağıdaki 2 paragrafı hızlıca geçebilirsiniz. Zira bu 2 paragraf sadece korunma yöntemleri içermektedir.
(15.12.2016 tarihi itibarı ile ) “Mevcut varyantları” tespit eden ve bulaşmasını engelleyen free bir uygulama geliştirilmiş ve kullanıcıların hizmetine sunulmuştur.
Cybereason Anti-CryptoLocker indirmek için : Tıklayınız
Not: bu uygulama zararlı bulaşmış bilgisayarlardaki dosyaları kurtarmaz.
Ayrıca; korunmaya ilişkin diğer makalemi inceleyebilirsiniz :
Makale için : Tıklayınız
id-ransomware raporuna göre, bugüne dek tespit edilen varyant sayısı 250’nin üzerindedir.
Ayrıca, F-Secure raporuna göre 2016 yılında yeni çıkan türev sayısı 197, 2017 yılında ise henüz 8 tanedir.
Bu farklı varyantlardan bazılarına çözüm üretilmiş ve herkesin erişimine sunulmuştur.
Bazı varyantlar ise, sadece belli yurt dışı kaynaklı firmalar tarafından çözüm sağlanmaktadır.
Yine bazı varyantların ise henüz herhangi bir çözümü bulunmamasına rağmen, araştırmalar/testler sürmektedir.
Öncelikle belirtmeliyim ki;
Cryptolocker virüsü bilgsayarınızın isletim sistemine ve calisma prensibine zarar vermez. (yeni tip virüsün bilgisayarı çalışamaz hale getirdiği iddia edilse de, şimdilik böyle bir vaka ile karşılaşılmamıştır.) Virüs (zararlı yazılım ); aslinda sizin de farkli araclarla yapabileceginiz bir sifreleme uygular ve dosyalarınızın uzantısını değiştirerek .encrypted , ccc , vvv , xxx, ttt, micro , mp3, magic, LOL, Locky, Zepto, Cerber / Cerber2 / Cerber3, Cerber4, .XTBL , wallet, dharma, india.com, sage, spora, hakunamatata, locked, zyka ya da daha farklı uzantılara çevirebilir, ya da dosya ismini tamamen değiştirebilir. çeşitli açık kaynak şifreleme kütüphaneleriyle ve çok güçlü olan bu şifreleme, cesitli yol ve yontemlerle kirilmaya calisilsa dahi, yillar alacak kadar karisik ve uzun bir şifrelemedir. Çözüm; şifreyi kırmaya yönelik ya da bu yolla değil, zararlı yazılımlardaki geliştirici hataları , algoritma hataları, arka kapılar ve zayıflıklar gibi yöntemlere dayanır.
Bu yazılım bilgisayardan kolaylıkla temizlenebilir, asıl sorun bilgisayardan temizlemek değil, şifreli dosyaları açmaktır. Virüsü temizleseniz, hatta format atsanız dahi, dosyalar şifreli olarak kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü temizlemek değil, dosyaları kurtarmak olmalı.
Notlar:
+ Bu makale sürekli güncel kalacaktır. Makaleyi takip ederek tüm güncellemelerden haberdar olabilirsiniz.
+ Kronolojik olarak paylaştığım gelişmelerin bazıları zararlının bir sonraki sürümünde geçersiz kılınmış olabilir.
+ Tavsiye edilen yazılımların virüsün her varyantında etkin ve koruyucu olduğunun garantisi yoktur. Bu yazılımları kullandıktan sonra doğabilecek zararlardan dolayı sorumluluk size aittir.
+ Eğer bahsedilen bu simetrik şifrelemenin teoriğini/mantığını öğrenmek isterseniz aşağıdaki video’da şifreleme tekniği anlatılmıştır.
Video için : Tıklayınız ( link sadece mantığı ihtiva eder, çözüm içermez)
Nasıl Bulaşır ?
Her zararlının kendine has bulaşma yöntemleri olsa da, geneli şöyledir;
+ Mail ekine ve linkine tıkladığınızda
+ Torrent’lerden ya da farklı bir kaynaktan indirdiğiniz resmi olmayan oyun, film, müzik dosyalarıyla
+ Online film, dizi izleme platformlarında çalıştırdığınız flash/java eklentileriyle
+ Ele geçirilmiş ve resmi olduğunu düşündüğünüz kaynaklardan indirdiğiniz uygulamalar ile
( örnek : ammyy admin )
+ Web tarayıcı eklentileriyle
+ Çeşitli blog ve haber portalları ( istemsiz )
+ Çeşitli ilan siteleri ( istemsiz )
Çalışan zararlı uygulama nasıl temizlenir ?
Aşağıdaki linklerini verdiğim Zemana ( birincil tavsiye ), Malwarebytes ve Combofix yalnızca dosyaları şifreleyen zararlı uygulamayı bilgisayarınızdan uzaklaştırır. Dosyalarınızın açılmasını sağlamaz.
Dosyalarınızın açılmasını sağlayabilecek ilgili araçların bilgisini Nasıl Çözülür kısmına bakarak yoksa mail ileterek alabilirsiniz.
Zemana Antimalware ile bilgisayarınızı taratarak zararlıdan temizleyebilirsiniz.
Aynı zamanda yerli bir üretici tarafından geliştirilen bu yazılımı isterseniz satınalarak cihazlarınızı daha sonra gelebilecek malware saldırılarına karşı koruyabilirsiniz.
Zemana Antimalware indirmek için : Tıklayınız
İsterseniz Zemana Antimalware uygulamalasına alternatif olabilecek,
Malwarebytes uygulaması ile bilgisayarınızı zararlıdan temizleyebilirsiniz.
Malwarebytes için : Tıklayınız
Daha sonra bilgisayarınızda Combofix çalıştırabilirsiniz :
Combofix için (opsiyonel ) : Tıklayınız
İlgili zararlıların sizi farkli zamanlarda tekrar etkilememesi ya da etkilese dahi bundan en az zararla nasıl kurtulabilirsiniz sorusuna yönelik cevaplar ve çözüm önerileri paylaşacağım.
Nasıl Çözülür?
Çözüme dair notlar:
( Genel Tanımlamalar )
+ Bahse konu virüs çok çabuk gelişme sağladığından, kronolojik olarak paylaştığım çözüm önerileri sizin de göreceğiniz üzere virüsün bir sonraki sürümünde geçerliliğini yitirmektedir.
+ İlgili zararlılar eğer çözüm bulunmuşsa bir sonraki sürümü ile yayıldığından, hangi varyant ve hangi sürüm olduğu önemlidir.
+ Paylaştığım araçlar yalnızca bahsedilen sürüm için geçerlidir.
+ Aşağıda versiyon tespiti yapacağınız servisin linki verilmiştir. ( id-ransomare )
Çözüm kronolojisi :
Güncelleme ( 05.03.2017 )
E-mail ekinde (sipariş maili ) bir ofis (excel) dosyası ile gelen ve dosya uzantılarını
6 farklı karakterle değiştiren TorrentLocker V4 saldırısı aktiftir.
Eğer virüs sisteminize bulaştıysa, 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
Güncelleme ( 02.03.2017 )
E-mail ekinde bir ofis (word/excel) dosyası ile gelen ve dosya uzantılarını
sage olarak değiştiren sage virüsü aktiftir.
Eğer virüs sisteminize bulaştıysa, 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
Güncelleme ( 02.03.2017 )
Muhtemel yine RDP ( uzak masaüstü ) ile gelen bir çeşit zararlı dosya uzantılarını
( SN-000000000000- info@kraken.cc_worldcza@email.cz ) olarak değiştirmekte ve dosyalarınızı şifrelemektedir.
Eğer virüs sisteminize bulaştıysa, 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
Güncelleme ( 01.03.2017 )
Dharma fidye virüsü için, geliştiricileri tarafından master key yayınlanmış ve bu master key kullanılarak uzantısı .dharma olan dosyalarınız için çözüm üretilmiştir.
Görüleceği üzere, zararlıyı yazan kişiler, zaman zaman belli amaçlarına ulaştıktan sonra çözümü de yayınlayabiliyorlar. Bu sebeple her ne olursa olsun dosyalarınızı saklamanızı tavsiye ederim.
Dharma dosyalarınızın çözümü için : Tıklayınız
Güncelleme ( 04.01.2017 )
Hakunamatata veya Spora virüsü olarak adlandırılan ve dosyaların uzantısını da aynı isimle değiştiren ve RDP Brute-Force ile hak elde edip dosyaları şifreleyen yeni bir zararlı tespit edilmiştir.
Korunmak için :
Öncelikle RDP ( remote desktop ) portunu kesinlikle ( port değiştirilmiş olsa da ) dışarıya açmayın. RDP yapmanız gerekiyorsa VPN kullanarak yapın.
Ek olarak Secure RDP için : Tıklayınız
Güncelleme ( 31.01.2017 )
TorrentLocker V4 artık Akbank / Access hesap özeti olarak gelmektedir. İş bankası türevi ile aynı olan zararlı ( isb . com) alan adını kullanmaktadır.
Eğer virüs sisteminize bulaştıysa, 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
Güncelleme ( 18.01.2017 )
Yeni bir TorrentLocker saldırısı ile karşı karşıyız. İş Bankası ” Talimatsız EFT işlemi ” şeklinde gelen oltalama saldırısı, yine dosyaları ” 6 haneli rastgele ” uzantıya çevirmekte.
CybeReason uygulaması bu oltamala saldırısını engellemeyi başardı.
Eğer virüs sisteminize bulaştıysa, 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
Güncelleme ( 18.01.2017 )
Globe V2-V3, yani dosyaları .decrypt2017 veya .hnumkhotep gibi rastgele 10 karakterlerle değiştiren varyant için umuma açık çözüm üretilmiştir. Çözümü kullanabilmeniz için mutlaka herhangi bir şifreli dosyanın birebir aynı boyutta şifresiz hali olmalıdır. İki dosyayı aynı anda tool’un üzerine bırakmanız yeterlidir.
Decrypter : Tıklayınız
Güncelleme ( 18.01.2017 )
2017 ‘nin ilk TorrentLocker saldırısı Türk Telekom Faturası olarak geliyor. TTNET Faturası konu başlığı taşıyan bu oltalama maillerine tıklayıp, daha sonra ilgili bağlantıdan linkteki dosyayı indirip çalıştırmanız durumunda dosyalarınız şifrelenerek, her dosyanın sonuna rastgele 6 haneli bir dosya uzantısı ekleniyor. Yukarıda verdiğim uygulamalar; [ Zemana ve CybeReason ] bu oltamala saldırısını engellemeyi başardı.
Eğer virüs sisteminize bulaştıysa, 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
Güncelleme ( 09.01.2017 )
2017 ‘nin ilk Cryptolocker vakalarından birisi, MongoDB açığı sayesinde binlerce veritabanının şifrelenmesi olayıdır. Kendilerini Kraken olarak adlandıran bir grup MongoDB’de bulduğu bir açıkla veritabanlarını şifrelemiştir.
Güncelleme ( 22.11.2016 )
Yine RDP açıklarından faydalanarak dosyaları şifreleyen yeni bir tür ile karşı karşıyayız. Aşağıdaki algoritmayla dosyaları yeniden isimlendiren virüs ” dharma ” ” wallet ” ya da
” zzzzz ” olarak adlandırılmaktadır. Örnek dosya algoritması şöyledir :
( dosyaadi. [<mailformatı>] .dharma / .wallet / .zzzzz )
örnek mail’lerden bazıları :
[ supermagnet@india.com , webmafia@asia.com , syspoz02@india.com , stopper@india.com , bitcoin143@india.com , support_files@india.com , crypt-helper@india.com, mk.goro@aol.com, fire.show@aol.com ]
Güncelleme ( 21.12.2016 )
TorrenLocker V4 saldırısı şekil değiştirerek saldırıya devam etmektedir.
Yeni saldırıda mail ” Aras Kargo Teslim Edilemedi ” , “Kargonuz Teslim Edilmedi ” Aras Kargo Adres Güncelleme ” gibi yollarla gelmekte ve kişilerden adres bilgilerini düzenlemesi istenmeketedir. Aksi durumda 30 TL para isteyecekleri tehtidi ile de kullanıcı bu işlemi yapmaya zorlanmaktadır. Veri Düzenleme Formu indirildiğinde bir “.exe” dosyası çalışmakta ve zararlı sisteme enjekte olmaktadır.
Güncelleme ( 15.11.2016 )
Yeni bir torrentlocker v4 saldırısı başlamış ve yine phishing mail Turkish Airlines Cargo , Turkish Cargo , Turkish Kargo ya da THY Kargo olarak gelmektedir ve dosya uzantılarını rastgele 6 değişik karakterle değiştirmektedir.
Güncelleme (05.11.2016)
CrySis yani XTBL olarak şifrelenen dosyalarınız için decrypter üretilmiştir.
Aşağıdaki uygulamayı indirerek XTBL olarak şifrelenen dosyalarınızı çözebilirsiniz.
Örneğin : ( systemdown, datalord, vegclass)
Decrypter için : Tıklayınız
Güncelleme (23.11.2016)
Locky olarak bilinen ve daha önce .locky , .thor , zepto gibi uzantılarını gördüğümüz zararlı .aesir veya .zzzzz (5 adet) , osiris, thor, gelmeye başlamıştır. Konusunda “Scanned Images” olan mailler vasıtası ile bulaşan zararlıya karşı dikkatli olunmalı.
Çözümü için; 1 adet dosyanızı mail adresime yollarsanız, varsa/bulunmuşsa sizi bilgilendirmeye çalışırım.
Güncelleme ( 02.11.2016 )
Yeni bir torrentlocker v3 saldırısı başlamış ve bu kez phishing mail Turkish Airlines Cargo , Turkis Cargo ya da THY Kargo olarak gelmektedir.
Çözüm önerisi için açamadığınız bir örnek dosyayı mailime iletiniz :
Güncelleme ( 01.11.2016)
Son günlerde yoğun XTBL saldırısı olmaktadır. Bu saldırının özellikle RDP ( Remote Desktop ) açığı bulunan sistemleri etkilediği sanılmaktadır. Saldırı sonucunda dosyaların içeriğinde veya sonunda ” vegclass@aol.com , vegclass@aol.com.xtbl, datalord@india.com, JohnyCryptor@india.com , rescuers@india.com, systemdown@india.com ” gibi ve sonu XTBL ile biten dosyalara dönüştürülmektedir. Bu vesile ile RDP’nin mutlaka kapatılması gerekmektedir. Çözüm önerisi için bir örnek dosyayı mailime iletiniz
Güncelleme (30.09.2016 )
TrendMicro; bir çok varyantı decrypt edebilen bir araç yayınladı. Aşağıdaki linkini ve hangi varyantlarda etkili olduğunu açıkladığım uygulama ile işlem sağlayabilirsiniz.
Çözebildiği Türler:
Cerber1-2, CryptXXX V1, V2, V3,V4, SNSLocker, 777, XORIST, XORBAT, Stampado, Chimera, Nemucod, LeCherif, Mircop, Jigsaw, Globe/Purge.
İlgili aracı indirmek için : Tıklayınız
Aracı indirdiğinizde ve zipten çıkardığınızda “Select” butonu yardımıyla varyant seçebilirsiniz.
Diğer varyantlar için lütfen yazıyı okumaya devam ediniz.
Güncelleme ( 02.09.2016 )
Türkiye’de fazla görülmeyen DXXD zararlısı için çözüm üretildi.
Bu varyant dosya isimlerine shellexec@protonmail.com , null_ptr@tutanota.de ifadelerini ekliyordu.
İlgili çözüm aracını indirmek için: Tıklayınız
Güncelleme ( 21.09.2016 )
Ammyy Admin gibi, Anydesk gibi çok bilinen uygulamaların resmi web siteleri ele geçirilerek zararlı dosya yüklenmesi gibi, Usb disk’lerden otomatik çalıştırma gibi seçenekler aktif ise .cerber3 malware’i bulaşmaktadır. Bu tip fidye virüslerinden korunmak için mutlaka sandbox tarzı yazılımlar kullanılmalıdır. Eğer bu tip bir virüse maruz kalmışsanız, bir örnek dosyanızı
gönderebilirsiniz. Eğer dünya üzerinde bu varyanta dair bir çözüm üretilmiş ise sizinle paylaşabilirim.
Güncelleme ( 31.08.2016 )
Uzun zamandan sonra tekrar Türkcell – Turkcell e-fatura zararlısı yeniden aktif hale geldi. Dosyaların uzantısını .enc ( Enc ) olarak değiştiren bu varyant için mailime örnek dosya göndermeniz halinde çözümle ilgili sizi bilgilendirebilirim.
Güncelleme (05.08.2016)
Chimera, CoinVault, Shade için hazırlanmış çözüm uygulaması linktedir.
Decrypter için : Tıklayınız
Güncelleme ( 10.07.2016)
Mail ekiyle *.js olarak gelen Locky ( dosya uzantısı : zepto ) ile ilgili çözüm olup olmadığını öğrenmek için lütfen örnek bir dosyayı mail adresime gönderiniz.
Güncelleme (30.06.2016)
Antivirüs üreticisi AVG Türkiye’de çok fazla görülmeyen birkaç farklı varyant için decrypter tool (çözüm aracı ) üretti. Yukarıda belirttiğim gibi, bu varyantlar Türkiye’de fazla görülmedi ama hem bu sayfanın birçok yabancı kaynaktan da ziyaret edilmesi, hem de denemekte fayda olacağı düşüncesiyle ilgili kaynağı paylaşıyorum. Diğer decrypter araçları için yazıyı okumaya devam edebilirsiniz.
AVG Decrypter için : Tıklayınız
Güncelleme (13.05.2016)
Türkcell faturası görünümünde gelen TorrentLocker v3 daha agresif ve daha aktif.
” Türkcell Fatura Bildirim, Turkcell faturanız sunulmuştur “ gibi konuları içeren ve içeriğinde Turkcell Faturası olduğunu iddia eden mailleri açmadan siliniz ve çevrenizdeki insanları uyarınız. ( uzantı : encrypted )
Güncelleme (25.05.2016)
TorrentLocker V3 olarak adlandırılan zararlı artık Digiturk faturası olarak gelmekte ve dosyaların uzantısını *.encrypted olarak değiştirmektedir.
Lütfen konu alanında DIGITURK, Digiturk, Dijiturk vs… olan mailleri açmadan siliniz.
Bu varyant için çözüm üretilip üretilmediğine dair bilgiye örnek bir dosyayı mail ile göndererek alabilirsiniz.
Güncelleme (19.05.2016)
Daha önce dosyaları vvv, ccc olarak şifreleyen Tesla yazılımı, v3 ile xxx,ttt,micro,mp3 olarak şifreliyordu. V4 ile de uzantı koymadan şifrelemeye başlamıştı. Bugün yaşanan bir gelişme ile Tesla virüsünün tamamına ilişkin çözüm üretildi.
vvv,ccc,xxx, ttt, micro, mp3 veya dosyalarınız uzantısız olarak şifrelenmişse çözüm için aşağıdaki decrypter’ı indirin ve Tesladecoder’ı çalıştırın. Set key butonuna basarak ilgili dosya uzantısını seçiniz, ( sizin sürüm hangisi ise ) daha sonra decrypt all butonuna tıklayarak çözümü gerçeşleştirebilirsiniz.
Decrypter’ı indirmek için : Tıklayınız
Güncelleme (18.05.2016)
Mail ile excel,pdf, js olarak gelen ve random karakterler atayarak dosyaların uzantısını .locky olarak değiştiren Locky Ransomware için yurtdışı kaynaklı bir firma çözüm üretti. Çalışmanın karşılığında belli bir ücret istemekteler .
Güncelleme (27.04.2016)
Antivirüs üreticisi Kaspersky .crypt uzantılı dosyalar için bir çözüm aracı ( rannoh decryptor ) yayınladı. İlgili aracı indirmek ve denemek için : Tıklayınız
Güncelleme ( 19.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık “PTT Posta Hizmetleri Kargo Bildirimi” olarak gelmektedir. İlgili varyantta, kargonun teslim alınmadığı durumda 25 TL günlük tazminat uygulanacağı bilgisi verilerek, maili alan kişiyi kandırmaya yönelik bir strateji hedeflenmiş. Zararlı çalıştıktan sonra dosyaların uzantısı .encrypted olarak değişmektedir.
( Yukarıda bahsettiğim güvenlik firması; lisans satınalması karşılığında çözüm üretmekte ve ayrıca koruyucu yazılım sağlamaktadır. )
Güncelleme ( 12.04.2016)
Fidye ödenmediği durumda her yeniden başlatmada 1000 dosya silmekle tehdit eden Jigsaw Ransomware çözümü için : Tıklayınız
Güncelleme ( 11.04.2016)
Petya Ransomware‘i için çözüm üretildi:
Tıklayınız
Güncelleme ( 04.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık TTNET Faturası olarak gelmektedir.
Çözüm konusunda bilgi almak için mail ile 1 örnek dosya göndererek bilgi alabilirsiniz.
Güncelleme ( 25.03.2016) – Türkiye’de henüz bu varyant görülmemiştir –
Petya Ransomware sisteminize bulaştığında harddiskinizi tamamen erişilmez hale getiriyor. Sistem enfekte olduğunda öncelikle bilgisayarınızın onarılması için kapatılması gerektiğine dair bir uyarı alıyorsunuz, sistemi yeniden başlattığınızda ise, sistem tamamen kullanılamaz hale gelmekte. Eğer sistemi reboot etmemişseniz, aşağıda Petya için geliştirilmiş bir çözüm bulunmakta : Tıklayınız
Güncelleme ( 23.03.2016)
Crypted uzantılı Nemucod varyantı için üretilen decypter tool’unu kullanabilirsiniz : Tıklayınız
Güncelleme ( 16.03.2016)
TeslaCrypt 4 yayınlandı. Bu varyant dosya uzantılarını değiştirmiyor. Ve halihazırda bu varyant için bilinen veya üretilen bir çözüm bulunmamaktadır.
Aşağıda dizin ve kayıf defteri değişiklikleri verilmiştir:
%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_[random] C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe HKCU\Software\ HKCU\Software\\data
Güncelleme ( 12.03.2016):
Yine farklı türden bir şifreleme vakası; dosya uzantılarınızın ” xtbl ” olarak değişmesini sağlıyor.
Güncelleme ( 02.03.2016):
Torrentlocker yine türkcell maili olarak gelmeye devam ediyor. ( encrypted uzantısı ) Bir önceki varyantta olduğu gibi virüs mail hesabınızı kullanarak kendisini başka cihazlara da mail ile göndermeye çalışıyor. Dosyalarınızın tamamını yedekledikten sonra, bilgisayarınızı formatlayıp, cihazınızda bir mail hesabı varsa bu hesabın şifresini değiştirmeniz önemle duyurulur. ( yurtdışı kaynaklı bir firma lisans maliyeti talep ederek çözüm üretmektedir )
Ayrıca bu varyant için detaylı malware analizini incelemek ve örnek binary dosyasını indirmek için : Tıklayınız
Güncelleme ( 16.02.2016):
Mail ile gelen ve ekinde doc, xls uzantılı bir fatura olduğu düşünülen bu varyant dosya uzantınızı Locky olarak değiştirmektedir. Tanımadığınız kişilerden gelen ve alakasız içerik barındıran mailleri doc,xls,pdf uzantısına sahip olsa da açmayınız.
Güncelleme ( 14.02.2016)
UmbreCrypt and HydraCrypt için EmsiSoft tarafından bir decrypter yayınlandı.
Bu iki varyantın Decrypter aracı için: Tıklayınız
Güncelleme (10.02.2016)
TeslaCrypt artık dosya uzantılarını mp3 olarak değiştiriyor.
Güncelleme (19.01.2016)
Cryptolocker/TorrentLocker 19.01.2016 tarihi itibarı ile Türkcell maili olarak gelmekte ve dosya uzantısını encrypted olarak değiştirmektedir.
Güncelleme (15.01.2016)
15.01.2016 tarihi itibarıyla virüs form değiştirmiş ve artık şifrelediği dosyaların uzantısı micro
olarak değişmektedir.
Güncelleme (13.01.2016)
xxx çok global olduğu için TeslaCrypt 3.0.1’de dosya uzantısı .ttt olarak değişmektedir.
Güncelleme ( 12.01.2016 )
Maalesef TeslaCrypt virüsü güncellendi ve artık dosyaları .xxx dosya uzantısı ile şifreliyor. Teslacrypt bu sürümde şifreleme tekniğinde bir değişikliğe gitti. Daha önce paylaştığımız TeslaCrack / TeslaDecoder maalesef bu sürümde işe yaramayacaktır.
Güncelleme ( 28.12.2015)
Çözümpark Bilişim Portalı’nda yayınlanan ve benimde katkı sağladığım sadece .vvv, ccc , abc, xyz, ecc uzantılı varyantı kapsayan çözüme dair link için ( TeslaDecoder ): Tıklayınız
TeslaCrack ( Googulator ) uygulaması için : Tıklayınız
( Yukarıda çözümpark linkini verdiğim uygulamanın orjinal çözüm ve kaynağı )
Güncelleme ( 03.05.2015)
helpme@aol.com türevleri için üretilen decrypter tooluna şu adresten ulaşabilirsiniz : Tıklayınız
Güncelleme ( 27.05.2015)
Cisco tarafından üretilen Talos Decrypter’ı tesla varyantı için deneyebilirsiniz : Tıklayınız
Guncelleme (11 Şubat 2015) :
Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz. İlgili link İçin: Tıklayınız
Güncelleme ( 11.02.2015 )
Kasperky tarafından üretilen brute force yöntemini kullanan decrypter’ı deneyebilirsiniz : Tıklayınız
ID-RANSOMWARE:
+ Aşağıdaki linkini verdiğim servisi kullanarak, virüsün hangi türevine maruz kaldığınızı ve sizin tarafınızdan uygulanabilecek bir çözüm olup olmadığına göz atabilirsiniz. Bu servis şuan birçok farklı varyantı tanımlamaktadır. Fakat tanımlayamadığı versiyonlarda bulunmaktadır.
Eğer hangi tip zararlı ile muhatap olduğunuzu bilirseniz, çözüm aramanız şüphesiz daha kolay olacaktır.
Şunu ifade etmeliyim ki;
bu makale, internet ortamındaki birçok kaynaktan veya kişisel testlerim ile hazırlandığından, birçok platforma göz atmadan sorularınıza cevap olabilecek niteliktedir.
Sürüm tespit uygulamasına “Ransom Note” kısmından virüsün size bıraktığı notu ve, “Sample Encrypted Data” kısmından 1 örnek dosya gösterin ve upload butonuna basın, dosyanın yüklenmesine müteakip, varyant kimliği gösterilecektir.
ID-RANSOMWARE Uygulaması için : Tıklayınız
+ Eğer işletim sistemi kurulumunda otomatik gelen gölge kopya (shadow copy ) özelliği açıksa dosyalarınızı geri getirebilirsiniz. Fakat yeni varyant virüs bu kopyaları da silebilmektedir.
Shadow Explorer Uygulaması için : Tıklayınız
Shadow Explorer açıldığında solda diskleriniz ve disklere tıklandığında gölge kopyalarınızı görebilirsiniz.
Eğer gölge kopyalarınıza shadow explorer ile ulaşamıyorsanız;
command prompt’u admin yetkisi ile açınız;
vssadmin list shadows
komutu ile gölge yedekleri teyit ediniz.
daha sonra bu gölge yedeği diskinizde herhangi bir alana linklemek için;
“mklink /d c:\shadowCopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\”
komutunu kullanabilirsiniz
Not:
c:\shadowcopy : linkleneceği alan
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\ : list shadow komutuyla aldığınız ekrandaki “Shadow Copy Volume” alanı
Nasıl Korunulur ?
+ Çözümpark Bilişim Portalı’nda korunmayla ilgili paylaştığım iki yazıya gözatabilirsiniz.
Lakin unutulmamalı ki, bu tip saldırılardan korunmanın %100 yolu sağlıklı yedek almaktan geçer.
+ Grup ilkesi ile korunma : Tıklayınız
+ Malwarebytes Antiransomware : Tıklayınız
+ Crypto Monitor
Crypto Monitor Uygulaması free olarak dağıtılmaktadır : Tıklayınız
Bu yazılım şifreleme işlemi başladığında ilgili işlemi durdurabilmektedir. Yalnız siz de 3. bir uygulama ile dosyalarınızı şifrelemek isterseniz uygulamayı pasifleştirmelisiniz.
+ Cryptolocker Prevention Kiti;
GPO ( Group Policy ) şablonlarını bilgisayarınıza indirip kullanmanızı sağlar.
( Kurulum uzmanlık gerektirebilir, kurulum açıklaması indireceğiniz klasörün içindedir ) : CryptoLocker Prevention Kiti için : Tıklayınız
+ Cryptolocker Prevention:
CryptoLocker Prevention uygulaması sizi büyük oranda koruyacaktır. Linkteki uygumalayı indirip aşağıdaki ayarları yapınız ( uygulama artık lisanslı – 27.03.2015 10 lisans 100 usd ) :
Uygulamayı indirmek için : Tıklayınız
Hitman Pro :
HitmanPro uygulamasına 1 Kullanıcı için 24.95 usd karşılığı sahip olabilirsiniz
Hitman Pro uygulamasını indirmek için : Tıklayınız
Ransomware Detection yazılımı :
Bu yazılım basitçe şu işi yapıyor;
eğer dosyalarınızı değiştiren bir kripto yazılımı tespit edilirse size mail ile haber veriyor. Maili alır almaz ilgili cihazı kapatırsanız belki hasarı küçük sıyrıklarla atlatırsınız.
İlgili yazılım için: Tıklayınız
+ Ayrıca local policy uygulayarak bilgisayarınızın %appdata% ve %temp% klasörlerinden uygulama çalıştırmasını engellemeniz çok faydanıza olacaktır. Software Restriction Policy dediğimiz kurallar ile büyük oranda koruma sağlarsınız
Nasıl yapılır dökümanı şurada : Tıklayınız
Ve Şurada: Tıklayınız
+ Ayrıca tüm klasörleriniz için shadow copy özelliğini aktif edip, shadow copy yönetim aracı vsssadmin.exe’nin ismini değiştirmeniz de büyük fayda sağlar.
Neden vssadmin’in adını değiştirmeliyiz ve nasıl yapılır dökümanına şuradan ulaşabilirsiniz :
Why Everyone Should disable VSSAdmin.exe Now, makalesi için şuraya : Tıklayınız
+ Mail sunucularınız için, mutlaka tehdit algılayıcı sistemlerin kurulması gerekir. Gelen mailler genelde temiz ip ve domainlerden geldiği için tehdit algılayıcı önlemler ip ve domain yasaklamaktan çok daha etkili yöntemler olacaktır. Bilgi için : Tıklayınız
+ Mail veya güvenlik duvarı yöneten kişiler; linkini verdiğim adresi sürekli yasaklayabilir : Tıklayınız
+ Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır. (Kaynak : difose)
+ Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir yerde bir yedeğini daha tutun.
+ Mail hizmeti aldığınız yerleri bu virüs ve alınması gereken önlemler hakkında uyarın.
+ Bilgisayarlarınızda dosya uzantılarını gösterin ve sonu .exe , .bat gibi uzantılarla biten fatura veya döküman gibi görünen hiçbir dosyayı açmayın.
Dosya uzantılarını nasıl gösterebilirsiniz (win7) ? : Tıklayınız
Xp’de bir klasörde iken klasör seçenekleri ve “Bilinen dosya türleri için uzantıları gizle” kutucuğunun çentiğini kaldırın.
+ Lütfen bilgisayarınıza format attırmayın ve ayrıca her ihtimale karşı lütfen SIFRE_COZME_TALIMATI , HELP_RESTORE_FILES, HELP_DECRYPT dosyalarınızı da silmeyin. (Ta ki, dosyalarınızın üstüne bir bardak su içene dek)
Mail Sunucuları için :
+ Yazacağınız kural ile mail içeriğinde ve mail gönderen adresinde “ttnet” “turktelekom” gibi adresleri sizin onayınızdan geçerek kullanıcılara yönlendiriniz.
+ Aşağıdaki adresleri spam filtre yazılımlarımlarıyla bloke ediniz. (Yeni saldırı için)
Alan adları her geçen gün değiştiği için şu adresi takip ederek gereken güncellemeyi,
siz de sunucularınızda yapabilirsiniz : Tıklayınız
Virüsün Kronolojisi :
Güncelleme ( 24.03.2015 ) :
Virüs yeni varyantında kriptolama işlemine başlamadan önce shadow copy yedeklerini silmeye veya bozmaya çalışmaktadır.Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu da yasaklayabilirsiniz.
Güncelleme (23.03.2015) :
Virüsün yeni varyantı; muhtemelen, ki kuvvetli bir ihtimaldir YSK’dan (Yüksek Seçim Kurulu ) geliyormuş gibi gelecek.
Türkiye’de seçim dönemi yaklaşmakta ve herşeyi online halletmeye alışmış olan bizler, seçmen bilgilerimize ulaşmak için her linke tıklayabilir durumdayız.
Seçmen bilgi kartınızı görüntülemek, oy kullanacağınız yere bakmak, oy kullanacağınız yeri değiştirmek için lütfen muhtarlarınıza müracaat ediniz ya da, YSK’nın online işlemler sayfasından bakınız. Bu amaçla size gönderilmiş olan hiçbir iletiyi açmayınız.
Güncelleme 14.03.2015 :
Virüsün son varyantlarında işe yaramıyor olsa da, TTNET, Telekom faturalarından etkilenmiş kişiler bana ulaşabilir. Eski varyantlar için yeni bir kaç çözüm üretildi.
Guncelleme 12.03.2015
Ttnet, türk telekom, turkcell derken sira Ptt kurumundan geliyor gibi gosterilen maillerde.
Bunun bir sonrasi hangi kurum olur bilinmez, lutfen onleminizi simdiden aliniz.
Güncelleme ( cryptowall virüsü )
Cryptolocker yaninda cryptowall virusunun de yaygin olarak bulastigi gorulmustur.
Bu virusun calisma prensibi yukarida anlatilanlardan farkli degildir.
Bu sebeple, panik yapmamaniz günün sonunda dosyalariniza eksiksiz ulasabileceginizin rahatligi icinde olmanizi tavsiye ederim.
Güncelleme 09.03.2015:
Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır.
Güncelleme 25.03.2015:
Üzülerek söylemeliyim ki;
Virüsün farklı kopyaları çok farklı insanların eline geçmiş durumda. Çocuk denebilecek yaşta kişiler bunları deneme amaçlı da olsa göndermekte bir sakınca görmemekteler.
Lütfen bu ve buna benzer saldırılar hakkında çevremizdekileri de uyaralım.
Guncelleme ( 30.03.2015)
Virus artik her gun maillestiginiz ve zombi olmus bir kontaginizdan gelebilir.
Lutfen yukarida belirtildigi gibi, dosya uzantilarini gosteriniz ve exe,bat,msi,vbs gibi uzantilari bulunan mail eklerini kimden gelirse gelsin acmayiniz.
Güncelleme ( 03.04.2015 )
Virüs artık ip yapısını değiştirdi, 46.254.20.32 bloğunu yasaklayın.
Güncelleme ( 25.06.2015 )
Bu sabah itibarıyla sahte fatura virüsü tekrar aktifleştirilmiştir. Türkcell e-fatura şeklinde gelen virüse karşı gereken tedbirleri vakit geçirmeden alınız.
Son varyant Cryptolocker virüsüne karşı detaylı bir analiz :
>Saldırı phishing yapılan marka ile alakasız yeni alınan ter temiz IP
adreslerden yapılıyor. Örnek. xxx@companytutorial.com ,
xxx@mycapitalinbox.net
Phishing epostanın URL nin gövdesinde bulunan linkler saldırganlar
tarafından hacklenmiş konudan bihaber domain adreslerden oluşuyor. Örnek.
xxxx://atamaze.com
Hacklenen web sunucuda saldırganların yönlendirme sistemleri çalışıyor gelen
link talebi belirli aralıklarla değiştirilen phishingi yapılan markanın
adının geçtiği yeni açılan domain adreslere yönlendiriliyor. En son örnek.
xxxx://e-turkcell.net/ohcq59wn.php?id=bmF6QGdva2NlLmF2LnRy
25 Haz 2015 gece 02:00 civarında başlayan saldırıdan bu yana tespit edilen sahte
URL adresleri;
xxxx://turkcell1.com/f7a9qs7o.php?id=bmF6QGdva2NlLmF2LnRy
xxxx://iturkcell.net/u9j7rphw.php?id=Z29ya2VtLmdva2NlQGdva2NlLmF2LnRy
xxxx://turkcell24.net/klqxm94b.php?id=a3VicmEuY2VsaWtAaGl0aXRndW1ydWsuY29t
xxxx://turkcell-efatura.com/dbnugka.php?id=Ym9yYUBnb2tjZS5hdi50cg==
Bu adresler her yeni phising email saldırısından sonra bu şekilde değişicek
gibi görünüyor.
Şuana Kadar Fake URL adresleri barındırdığı sunucuların IP bloğu:
146.185.249.0/24
Zararlı dosya Yandex Disk de barındırılıyor zararlı dosyanın varyantıbelirli aralıklarla değiştiriliyor.( Avira )
Güncelleme ( 01.07.2015 )
Yeni domainler şöyledir :
companytutorial.com
mycapitalinbox.net
e-turkcell.net
turkcell1.com
iturkcell.net
turkcell-efatura.com
turkcell24.net
Güncelleme ( 28.08.2015 )
Yeni mail Turkish Cargo içeriği ile gelmektedir. Adres Değişikliği formu gibi bir mail alırsanız lütfen açmayınız.
Güncelleme ( 02.12.2015 ):
Virüs artık sadece mail ile değil, internetten indireceğiniz herhangi bir dökümandan, online film/dizi izleme platformlarından, torrentlerden indireceğiniz herhangi bir uygulama/oyunlardan, bir web adresinden bulaşabilmektedir. Lütfen dikkatli olunuz.
Amaç nedir ?
+ Öncelikle üreticilerin amacı para kazanmaktır.
+ İkinci olarak virüsün ilk üreticisinin amacı aynı zamanda botnet, yani her zaman kullanabileceği köle bilgisayarlar oluşturmaktı. ( Zeus BOTNET : Tıklayınız )
+ Güç , kişisel tatmin, test vb…
Fidye Ödemeli miyiz?
+ Öncelikle fidyeyi ödemek saldırganlara daha çok motivasyon kazandıracağı için etik ve ahlaki olmayacaktır.
+ Saldırganların hedefi öncelikli olarak para kazanmak olduğu için sizden alabildiği kadar çok para almayı amaçlar
+ Yabancı ve yerli forumlarda ödeyenlerin bir kısmının verilerini geri alabildiği gibi, büyük bir kısmının da alamadığı yazılmaktadır. Benim de kişisel olarak ödeyip alan ve fazla sayıda alamayan insanlara şahitlik etmişliğim bulunmaktadır.
Özel not:
Çalışma yapması için herhangi birine cihazınızı vermeden önce mutlaka şifreli halleriyle dosyalarınızın yedeğini alınız/aldırınız.
Önemli hatırlatma :
Kişisel tavsiyem, eğer böyle bir olaya maruz kalmışsanız, mutlaka bir suç duyurusunda bulunmanız yönünde olacaktır. Bu işlem belki dosyalarınızın çözülmesinde yardımcı olmayacak ama bu tür zararlı yazılımlarla yasal mücadelede umulur ki sizin de katkınız olur.
Aşağıdaki etiketler üyeler tarafından düzenlenmektedir. Üye olarak etiket ekleyebilirsiniz.
No Comment