Araştırmalarımız sonucu bu yeni nesil virüs CBT-LOCKER türevi ve bu virüs, bitcoin virüsü benzeri bir yazılım, Dosyaları şifreliyor ve kişisel dosyalarınızı kitliyor, ardından para ödemenizi istiyor.
Kişisel dosyalarınız Şifrelenmiş. Dosyalarınızı kurtarabilmeniz için Sizi bir siteye yönlendirmesi lazım. Bilgisayarızda sizlerin görüntüleyebileceği bir metin belgesinde web sayfasının adresi yazıyor. ".onion" (Deepweb uzantılı web adresleri ".com" ".net" gibi bir uzantıdır.) ile biter, "TOR browser"(Deepweb adresleri açabilen kabiliyetli browser biraz yavaş fakat güvenli) da açacaksınız adresi. Dosya başına 2 BiTCoin (Sanal Para Birimi ) ödemenizi isteyecek bir sayfaya yönlendiriliyorsunuz. Dosya Uzantılarını ÖRN: Dosyaadi.jpg".VKFSLML" değiştirerek kurtulamazsınız, şifreyi çözülmesi gerektir.
Dosyalarınızı kurtarmanızın bir iki yolu mevcuttur.Aşağıdaki çözüm önerilerini deneyebilirsiniz.
1)Windows'unuzu Sistem Geri Yükleme'yi deneyebilirsiniz.
2)Shadow explorer ShadowExplorer 0.9 Yükleyici kurup dosyalarınızı görüntüleyebilirsiniz.
3)Norman Malware Cleaner virüs temizleme yazılımını kullanabilirsiniz. Norman Malware Cleaner 2014.12.16 İndir
TeknolojiOku.Com'dan alternatif çözüm yöntemleri..
Not: Dosyalarınızı ele geçiren CryptoLocker virüsünün temizliği için RogueKillerX64_old ve EmsisoftAntiMalwareSetup ile temizleme yapın. Sonrasında ise Shadowexplorer yazılımını kurup sürücülerinizi seçin. Sürücülerinizdeki gölge dosyaları görüp geri alabilirsiniz.
Kötü niyetli yazılımlar bilgisayarınıza veya telefonunuza her türlü şekilde bulaşabiliyor. Bunlardan biri de mail yoluyla gelenler. Örneğin mailinize TTNET tarafından gelen e-fatura bile bir virüsü cihazınıza bulaştırabilirsiniz. Kurnaz hackerlar faturanızı yüksek göstererek sizi mail içindeki linke tıklamaya yönlendiriyorlar. http://efatura.ttnet-fatura.com/ gibi bir adrese yönlendiren link aslında bir tuzak.
Not: Virüsü bulaştıran fidyecilere kesinlikle para göndermeyiniz. Dosyalarınızı açmıyorlar üzerine de gönderdiğiniz paranıza yazık oluyor.
Bu adresten zip uzantılı bir dosya ile faturanızı indirmenizi sağlıyorlar. Zip dosyasını açıp içindeki dosyaya tıkladığınızda ise tüm word dosyaları, resimler, pdf dosyalarınız açılmıyor. Sebebi ise dosyalarınızın encrypted uzantısına dönüşmesi.
Daha sonra masaüstüne SIFRE_COZME_TALIMATI.html adında bir dosya geliyor ve dosyayı açtığınızda; Uyarı Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir
Bilgisayarınızda ağ disklerde, ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. aksi takdirde tüm dosyalarınızı kaybedebilirsiniz.
Dikkat CryptoLocker virüsü kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz.
Şifre çözme yazılımını satın almak için tıklayınız Gibi uyarılar geliyor ve dosyalarınız açılmıyor..
Peki CryptoLocker virüsü nasıl temizlenir? Şifreli dosyaları geri getirmenin bir yolu var mı?
CryptoLocker virüsü nasıl temizlenir?
CryptoLocker virüsü temizleme işlemi iki adımdan oluşuyor. Önce virüsün enfekte olduğu sistem temizliyorsunuz ve daha sonra da şifreli dosyaların şifrelerini çözüyorsunuz. Şuan için CryptoLocker virüsü temizleme için en etkin ve tek geçerli yol budur.
CryptoLocker virüsü şuanda pek çok güncel antivirüs tarafından tespit edilebiliyor ve temizlenebiliyor.
- Öncelikle bilgisayarınızı virüs taramasından geçirin.
Norton Power Eraser ile bilgisayarınızı önce taratın. Bu işlemden sonra
Dr.Web CureIt ile bilgisayarınızı taratın.
Daha sonra bilgisayarın tamamen virüslerden arındığından emin olmak için Malwarebytes ile bilgisayarınızı taratın. Daha sonra virüsün etkilediği dosyalardaki şifrelemeyi kaldırmak için aşağıdaki işlemleri deneyin
CryptoLocker virüsünün şifrelediği dosyalar nasıl açılır?
CryptoLocker virüsü ile şifrelenen dosyalar AES-256 ile şifrelenir. Bu bir şifreleme algoritmasıdır ve AES-256 ile şifrelenen dosyalar normal koşullarda KEY yani anahtar dosya olmadan açılamazlar. Maalesef ortalıkta tek bir CryptoLocker virüsü yok. Birden fazla taklitçi CryptoLocker virüsü mevcut.
CryptoLocker virüsünün şifrelediği dosyaların şifresini kaldırmak için aşağıdaki adımları takip edin:
CryptoLocker virüsünün şifrelediği dosya için Private KEY edinme:
Private KEY CryptoLocker virüsünün şifrelediği dosyaları çözmek için gerekli anahtar metindir. Aşağıdaki adımlar ile bu KEY yani anahtarı nasıl oluşturacaksınız bulabilirsiniz.
Private KEY CryptoLocker virüsünün şifrelediği dosyaları çözmek için gerekli anahtar metindir. Aşağıdaki adımlar ile bu KEY yani anahtarı nasıl oluşturacaksınız bulabilirsiniz.
- Buraya tıklayarak FireEye ve Fox IT web sitesi olan decryptcryptolocker web sitesini açın.
- Formu doldurun. Email adresinizi yazın. Şifreyi çözmek için gerekli Key dosyası email adresinize gönderilecektir.
Choose File butonuna tıklayarak .encrypted uzantılı şifreli dosyasınız seçin.
reCAPTCHA ekranında ekranda resimde gördüğünüz karakterleri Metni Yazın yazan kutuya doğru şekilde yazın.
Decrypt it! butonuna tıklayın. - CryptoLocker File Upload Succes mesajını göreceksiniz.
- Mail adresinizi kontrol edin mail adresinize Results of DeCryptoLocker Service yazılı bir mesaj gelmiş olmalı.
- Mailin içinde size ait Private Key bilgisi olacaktır. Private Key aşağıdaki metne benzeyen karakter topluluğudur:
- -----BEGIN RSA PRIVATE KEY-----
- MIICWwIBAAKBgFEFU71H6IvEb1nFqcog3KCnPDWDGNYFkJ+gKOwQ5VOTCOkKjhwv
- W25t6fJaWaEQEDDO0dmk58XFWU5MzYLyGWulgqRalzqe4kM1kZ1MzeL8stMyqfUP
- AwxAtSbwmFEj3swZdulrqK7Mk9izzOqFta7ixOi+HGK+w/pyTF9C/yaJAgMBAAEC
- gYA2ssb/Ec4AlkSqsdTYPmlVGLKAWhppW2ZxLfqSrTF1w92PH24jvyEWI6R+1tqN
- 7z9PBEIOktNa5MpPH3Dbh8D69kuWgp7JQBhfyxnK8nRm0DMDO5Wc3RlVhLNTreRP
- KKMwPELRVQEB9ZoLAZxEASkxlOrPAyWHbR4vJoeVrBB+VQJBAJKcIyWYm6y2SwRS
- z7Z4FPPna7RAHkWepEPIgl/+hhYVO6V6rX9dSFHBLg7T+Fx2E/soTsx0+T677v8X
- wQtf0MMCQQCNeQ78LjYQgn5TXJyxxSvofJpMAcsPaa3vLwFyF2f7KQuElzgiXkHJ
- llUzBad2PEAvmq5JpM4bx7/hlf6hfjbDAkAQM/dicVJLLT5vNOPF69GM/zeVDT0L
- PrQy1ZcrGssg56nW6Q8Bs4KJnosDkoOxXE9rA5Jp4EenmkeYo7xvEGDXAkEAid2h
- Zsu50Bj69k3YPb1B7swOqWdN9XUtFVufcwmwQShcmxeqkoN8ZPDlklU+PpC0lC+P
- DSFX4eak7Td47vPKdQJASaalvGHNgwm6HsnxUgz6jT2dmiPBXwY+TfIU1EzbOpJp
- PMiN7YMTmPaAWS6Ldm4Reb4XOc/lMPeWolQflCRisQ==
-----END RSA PRIVATE KEY-----
- Bu, CryptoLocker virüsü'nün şifrelediği dosyayı çözmek için gerekli anahtar metindir.
PRIVATE KEY'i kullanarak CryptoLocker virüsünün şifrelediği dosyaların açılması
- Buradan CryptoLocker temizleme programını indirin.
- İndirmiş olduğunuz dosya Decryptolocker.exe dosyası virüsün şifrelediği dosyaları açacak uygulamadır.
- Decryptolocker.exe dosyasını şifreli dosyanın olduğu klasöre kopyalayın.
- Örneğin şifreli dosyalarımız Masaüstünde Özel klasöründe olsun. Decryptolocker.exe dosyasını özel klasörünün içine kopyalayın.
- Decryptolocker.exe komut satırı uygulamasıdır. Yani bir takım komutlar kullanarak şifre çözme gerçekleşecek.
- Komut istemini (CMD.exe) yönetici olarak çalıştırın.
- Komut isteminden şifreli dosyanın olduğu klasöre girin. Örnekteki gibi özel klasörüne ulaşmak için şu komutu kullanın. Bu komut siste değişecektir. Örneğin kullanıcı adınız blogherseydir.blogspot.com yerine sizin ne ise onu yazın.
cd c:\Users\blogherseydir.blogspot.com\Desktop\Ozel
- Daha önce bu klasöre kopyaladığınız Decryptolocker.exe dosyasını çalıştıracaksınız. Şu komutu uygulayın
Decryptolocker.exe –key “Email ile gelen Key” Şifrelidosya.doc
- Key bölümünü size gelen maildeki aşağıdaki ifadeleri içeren karakter topluluğudur. Örnekteki gibi çift tırnak içinde mailin içindeki KEY'i komuta yapıştırın. Yukarıda örneğini vermiştim.
- Kolaylık sağlaması için komutu notepad ile hazırladıktan sonra kopyala-yapıştır yapabilirsiniz.
- Komutu uyguladığınızda aşağıdaki gibi bir ekran gelecek bu ekrana YES yazın ve enter tuşuna basın.
- Daha sonra ekrana Successfully decrypted file: blogherseydir.blogspot.com.doc gibi bir mesaj gelirse dosyanız kurtuldu demektir.
CryptoLocker virüsü farklı şekillerde ortaya çıkabiliyor. Virüsün enfekte olduğu her sistem için vir Private Key gereklidir. Birden fazla sistem kullanıyorsanız bu işlemi yani Key alma işlemini tekrat etmeniz gerekecektir.
Ayrıca yukarıda anlatılan yöntem tüm CryptoLocker virüsü türevlerinde başarılı olamayabilir. Lütfen bunu bilerek bu işlemi yapın. Yukarıdaki işlemler sisteminize zarar vermez.
CryptoLocker virüsü temizlemek ücretsiz bir işlemdir. Yukarıda anlatılan servis ve programlar ücret gerektirmiyor.
Eğer bir klasörü tamamen şifrelemeden kurtarmak istiyorsanız o zaman aşağıdaki komutu kullanın.
Decryptolocker.exe –key “Key” C:\Klasör Adı\*
Eğer bir sürücüdeki tüm CryptoLocker virüsünün etkilediği şifreli dosyaları şifreden kurtarmak istiyorsanız
Decryptolocker.exe –key “Key” -r C:\
komutunu kullanın.
Şuan CryptoLocker virüsüne karşı en etkili temizleme ve şifre kaldırma yöntemi yukarıdaki yöntemdir. Bunun dışında yapılacak işlemler dosyalarınıza zarar verebilir. Bu sebepten dosyalarınızı manuel olarak düzenlemeye, değiştirmeye çalışmayın.
CryptoLocker virüsü tarafından şifrelenen dosyaları el ile kurcalamak dosyaların kalıcı olarak bozulmasına sebep olur. Daha sonra bir şekilde Key üretilse bile bozuk dosya da çalışmayacaktır.
Geçen gün bir arkadaşıma PTT kargo virüsü bulaşmıştı, inanın çok uğraştık, temizlemek için, üstüne üstelük ücret istiyorlardır, tam arkadaşım ücredi ödiyecekti bi şekilde çözdük, PTT kargo virüsünü yapan her kimse akıllıca bir kodlama yapmış zaten AES-256-bit ile şifrelenmiş, çözülmesi zor bir virüs kodlamasıdır, güncellenen sürümün çözümü sağdece formattır. PTT virüsü olarak bulaşıyormuş Lütfen herkes dikkatli olsun. PTT virüsü Temizlenmesi oldukça zor .
YanıtlaSilGeçen gün bir arkadaşıma PTT kargo virüsü bulaşmıştı, inanın çok uğraştık, temizlemek için, üstüne üstelük ücret istiyorlardır, tam arkadaşım ücredi ödiyecekti bi şekilde çözdük, PTT kargo virüsünü yapan her kimse akıllıca bir kodlama yapmış zaten AES-256-bit ile şifrelenmiş, çözülmesi zor bir virüs kodlamasıdır, güncellenen sürümün çözümü sağdece formattır. PTT virüsü olarak bulaşıyormuş Lütfen herkes dikkatli olsun. PTT virüsü Temizlenmesi oldukça zor .
YanıtlaSil