ccc uzantılı virüs nasıl temizlenir?

alivecan (341) 9 yıl önce sordu

Bu sabah bir arkadaşımın bilgisayarına dosyaların uzantısını ccc yapan bir virüs bulaştı.  Tüm resim dosyalarının uzantısı ccc olmuş. Ben bu dosyaları .jpg yaptım ama yine de açılmadı. Aynı şekilde word dosyaları da dosyaadı.ccc olmuş.

Bu ccc uzantısı nedir? ccc vürüsü nasıl temizlenir? ccc uzantılı dosyalar nasıl açılır?

Toplam 2 cevap


alattin (17125) 9 yıl önce cevapladı

Önemli: .ccc virüsü ile ilgili kesin çözüm bulunmuştur: ccc uzantılı dosyaların şifresi nasıl çözülür?

--------------------------------------------------------------------------------------------

.ccc virüsü nedir?

Aslında virüsün adı .ccc virüsü değil. Fakat forum ortamlarında bu tabir kullanıldığı için virüs .ccc virüsü olarak biliyor.

Dosyaların uzantısını .ccc'ye çeviren virüs bir tür fidye virüsü.  Daha önce ortaya çıkan TeslaCrypt fidye virüsünün yeni bir türevi.

.ccc virüsü resim dosyalarını, word belgelerini, videoları ve daha pek çok dosyayı şifreliyor.

.ccc virüsü nasıl temizlenir?

ccc virüsünü temizlemek zor değil.  Güncel antivirüsler ile temizleme yapılabilir. Fakat aynı şeyi dosyaları açmak için söylemek mümkün değil.

.ccc uzantılı virüsün şifrelediği dosyalar nasıl çözülür?

Eğer bilgisayarınıza bulaşan en son tür Teslacrypt virüsü ise bunun şuan için çözümü yok. 

Fakat aşağıda daha önce ortaya çıkan TeslaCrypt virüsünün şifrelediği dosyaları çözen iki tane ücretsiz program var. Öncelikle bunları deneyebilirsiniz.

 

Meraklısına: TeslaCrypt Nedir? Alpha Crypt Nedir? Bu virüslerin şifrelediği dosyalar nasıl çözülür?

TeslaCrypt ve Alpha Crypt fidye virüsleri tarafından kullanılan ve tüm Windows sürümlerini, Windows XP , Windows Vista, Windows 7, Windows 8, Windows 10, hedef alan bir şifreleme programıdır.

İlk olarak TeslaCrypt 2015 Şubat sonunda, Alpa Crypt 2015 Nisan sonunda ortaya çıktı.

İlk çıkan TeslaCrypt ve Alpha Crypt sürümlerinde bu uygulamalar tüm bilgisayarı veri doayaları için tarıyor ve daha önceki fidye virüsleri gibi veri dosyalarını AES ile dosyalar çözülemeyecek şekilde şifreliyordu.

Virüs tüm sürücülerdeki veri dosyalarınızı şifreledikten sonra bir uygulama ile dosyaların nasıl geri alınabileceğine dair uyarı çıkarıyordu.

TeslaCrypt ve Alpha Crypt bilgisayara bulaştığında ilk olarak rast gele bir adla %AppData% klasörüne çalıştırılabilir bir dosya oluşturuyor.  Bu çalıştırılabilir dosya daha sonra tüm bilgisayara bağlı sürücüleri inceliyor ve dosyaları şifreliyor.

 

TeslaCrypt ile şifrelenen dosyalar .ECC ve EXX uzantısına, Alpha Crypt ile şifrelenen dosyalar .EZZ uzantına sahip oluyor.

TeslaCrypt ile Alpha Crypt arasındaki en belirgin gözle anlaşılır fark dosya uzantılarında ortaya çıkıyor.

TeslaCrypt şu uzantılı dosyaları hedef alıyor:

.7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Alpha Crypt ise şu dosyaları hedef alıyor:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

 

Bilinmesi gereken önemli bir nokta :TeslaCrypt ve AlphaCrypt bilgisayara bağlı tüm sürücüleri hedef alıyor. Yani eğer bilgisayara bir USB harici disk varsa bu diskte bulunan dosyalarda şifrelenecektir.

Virüs şifreleme işlemini bitirdikten sonra  bilgisayardaki bu dosyalara ait gölge kopyaların tamamını siliyor. Bu sebepten sistem geri yükleme ile şifreli dosyaları kurtarmak mümkün değil. 

Virüs sistemdeki dosyaları şifreledikten sonra masaüstü resmini değiştiriyor ve şifrelenen dosyaların olduğu klasörlere, virüs TeslaCrypt ise  HELP_TO_DECRYPT_YOUR_FILES.txt veya HELP_RESTORE_FILES.txt, HELP_TO_DECRYPT_YOUR_FILES.bmp veya  HELP_RESTORE_FILES.bmp dosyalarını, eğer virüs  ise HELP_TO_SAVE_FILES.txt ve  HELP_TO_SAVE_FILES.bmp.

Dosyalarını oluşturuyor.

 

TeslaCryp ayrıca bugüne kadar diğer fidye virüslerinin hedef almadığı oyunlara ait dosyaları da hedef alıyor.

RPG Maker, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, Diablo, Fallout 3, Half Life 2, Skyrim, Day Z, League of Legends, World of Tanks gibi oyunların veri dosyaları da virüs tarafından şifreleniyor.

Eğer bilgisayarınızı bir ağ ortamında kullanıyorsanız ve bilgisayarınıza ağ konumu olarak eklenmiş sürücüler varsa buradaki veri dosyaları da şifreleniyor.

 

Fidyecilere ödeme yapmak çözüm mü?

Fidyecilere ödeme yapmanız daha yeni fidye virüslerinin ortaya çıkmasına destek olmak anlamına geliyor.

Fakat dosyalar sizin için önemliyse ve başka bir çözüm yolu kalmadıysa, pazarlık yaparak, fidyeciler ile anlaşmayı deneyebilirsiniz.

 

.Ecc, .Ezz ve EXX uzantılı dosyaları açmanın bir yolu yok mu?

Bu noktada iyi bir haberimiz var. Ecc, Ezz, Exx uzantılı dosyaları kurtarmak mümkün.

TeslaDecoder veya Cisco’s TeslaDecrypt yazılımları ile şifreden kurtulmanız mümkün.

Bu yazılımlar ayrıca ücretsiz.

Önerimiz ilk olarak TeslaDecoder uygulamasınını denemeniz. 

TeslaDecoder uygulamasını buradan indirebilirsiniz:

Bu uygulama Chrome tarafından zararlı olarak hatalı bir şekilde

Güvenlik amaçlı link kaldırılmıştır:  http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

 

.zip dosyasını açtıktan sonra TeslaDecoder.exe uygulamasını çalıştırın.

Uygulama bilgisayarınızı tarayarak storage.bin  veya  key.dat dosyalarını arayacaktır. 

Öncelikle yeni bir klasör açmanız, birkaç şifreli dosyayı bu klasöre kopyalamanız daha sonra TeslaDecoder uygulamasında DecryptFolder butonu ile bu klasördeki dosyaları çözmeyi denemeniz önerilir.

Eğer çözme işlemi başarılı olursa o zaman Decrypt All ile tüm dosyaları çözmeye başlayabilirsiniz. 

İkini uygulama Cisco's TeslaDecrypt  uygulaması.

Bu uygulamayı buradan indirebilirsiniz:

Güvenlik amaçlı link kaldırılmıştır:  http://labs.snort.org/files/TeslaDecrypt_exe.zip

 

Peki .ccc uzantısı nedir?  .ccc uzantılı dosyalar nasıl açılır?

Fidye virüslerinin sürekli değişiyor. .ccc uzantısı yine TeslaCrypt’ın yeni sürümü.

Yeni sürüm TeslaCrypt fidye virüsü dosyaları .ccc uzantısı ile şifreliyor.

Daha önceki TeslaCrypt fidye virüsünde olduğu gibi yine şifreleri çözmek için $500  fidye isteniyor.

Maalesef şuan için bu yeni sürüm TeslaCrypt virüsünü yani .ccc uzantılı dosyaları açmak mümkün değil.

TeslaCrypt CCC virüsü henüz çok yeni olduğundan çözümü şuan için yok.

Güncelleme: 10.01.2016 Çözüm bulunmuştur: ccc uzantılı dosyaların şifresi nasıl çözülür?

TeslaCrypt CCC varyantının gizli anahtarı henüz elde edilemiyor. Fakat ilerleyen zamanlarda bunun içinde bir ücretsiz çözüm sunulabilir.

Daha önceki sürümlerinde yukarıdaki uygulamalar ile dosyadan gizli anahtarı elde etmek mümkün oluyordu. Fakat bu yeni varyant CCC virüsünde henüz böyle bir şey söz konusu değil. 

 Kaynak: BleepingComputer

 

 

emre6 (1) 8 yıl önce cevapladı

teşekkürler işime yaradı