COVM virüsünün çözümü var mı?

Anonim (156) 4 yıl önce sordu

Merhabalar Hocam. Bir kaç gün önce fidye virüsüne maruz kaldım Uzantının adı COVM . Readme de ki İD nin sonu t1 ile bitiyo ve C systemden ID de t1 ile bitiyo ancak sizin çözümünü gösterdiğiniz uzantılarda bendeki uzantı yok ve emsisoftun şifreli şifresiz dosya deneme programındada Invalid file pair; file encrypted by newer version of STOP Djvu bu yazıyo Anladığım kadarıyla çözülmemiş veya çözülememiş bi şifreli virüs.. Tabi t1 ile bittiği için biraz rahatladım ama sonra Daha önce maruz kalan bi fotoğrafcı arkadaş varmış youtube da haberede çıkmış ona ulaştım oda beni birine yönlendirdi adama sıkıştırılmış şekilde mailden şifreli bi dosya attım Dedim t1 ile bitiyo ID ler .. Oda senin virüs offline mış sonradan online a dönmüş dedi. Biz bunu çözeriz ama fiyatı 5000 lira garanti çözüm veriyoruz dedi. Bende böyle bişeyi istemedim tabiki. Adam online a dönmüş deyince üzüldüm açıkcası çözümsüz bi durum olmuş oluyo ama 5000 lirayı almak içinde herşeyi söyleyebilir diye düşündüm onada güvenemedim. Yine araştırma yaparken sizi buldum bu konuda iyi veya kötü düşüncenizi almak istedim yardımcı olabilirseniz çok sevinirim.

Toplam 2 cevap


alattin (17125) 4 yıl önce cevapladı

Güncelleme: 29 Mayıs 2020

Offline Key ile şifrelenen dosyaları artık çözmek mümkün. Burada anlattım: 

https://www.youtube.com/watch?v=W8lwgkVIaTE

-----------------------------------------------------------------------------

Covm uzantısı Stop DJVU virüsüne ait bir uzantı ve şuanda çözümü yok. Tek çözümü fidye ödemek. Sizin ulaştığınız kişilerde belli ki fidye ödeyerek satın aldıkları çözümü size satacaklar.  Fidyeyi siz öderseniz ödeyeceğiniz rakam 3300TL civarında tutacak.  Bahsi geçen şahıslar biz çözüyoruz diyerek ve 5000TL talep ederek ne türlü çalıştıklarını açıkca göstermişler. 

Aslında ortada bir çözme yok. Sizden 5000 TL talep ediyorlar. Daha sonra TOR ağı üzerinden fidyeyi ödeyerek sizin için gerekli şifre çözme yazılımını satın alıyorlar ve size satıyorlar.

Biraz bilginiz varsa ve dosyalarınıza gerçekten ihtiyacınız varsa fidyeyi siz ödersiniz daha ucuza gelir.  Fidye ödemek zorudaysanız bize yazın biz bir ücret almadan fidye ödeme işlemini sizin adınıza gerçekleştirelim ve yazılımı sizin adınıza satın alalım. Böylece zorda kalmış insanlardan kar elde etmeye çalışan sektörün yüz karaları ile muhatap olmak zorunda kalmazsınız.

COVM virüsü ile ilgili standart bilgiler aşağıda.

covm Virüsü Nedir? Tüm dosyaların uzantısını neden .covm oldu?

Tüm dosyalarınızın uzantısı birden covm (.covm v0227) olduysa bilgisayarınıza fidye yazılımı / fidye virüsü bulaştı ve tüm dosyalarınızı şifrelendi demektir. Sadece dosya uzantısı değişmiyor. Fidye virüsü ile ilgili detaylı bilgileri şu linklerden alabilirsiniz:

covm fidye virüsünün çözümü var mı?

(26 Mayıs 2020) Bir STOP / Djvu virüsü varyantı olan ve dosya uzantılarını .covm  olarak değiştiren virüsün şifrelediği dosyaların şifresini çözmek için denenebilecek bir kaç yol var.  Teknik olarak bu bir virüs değil. Fakat kullanıcılar arasında virüs olarak adlandırıldığı için virüs olarak bahsedeceğim.

Aşağıda bu fidye virüsü ile ilgili detaylı yazımı bulabilirsiniz. Çözüm için kısa bir cevap yazamıyorum bunun sebebi bazı durumlarda çözüm bulunabilirken bazı durumlarda çözüm bulmak mümkün olmuyor ve sizin durumunuz hangisi bunu öğrenmek gerekiyor.
Fidye virüsleri dosyaları Offline ve Online Key denen iki özel veri ile şifreliyor. Fakat dosyalarınız Offline Key ile şifrelendiyse şifreli dosyaların çözülmesi (şuan yoksa bile ilerleyen zamanda çözüm bulunma) ihtimali var.

Yeni Stop Djvu virüsü dosyaların sonuna 4 karakterli bir uzantı ekliyor. Örneğin resim.jpg dosyanız  Resimlerim1.jpg.covm  haline geliyor. Dosyanın sonundaki 4 harfli uzantıyı silmeniz çözüm sağlamıyor.

 

Dosyalarınız Offline Key ile şifrelendiyse;

Adım 1: Öncelikle Offline Key nedir buna bir bakın: 
Offline Key Online key nedir? Dosyalarım Offline Key ile mi şifrelenmiş nasıl anlarım?  Eğer Offline Key ile şifrelendiyse o zaman Offline Key elde edilebilmiş mi bunu kontrol etmek için adım 2'ye gidin.
Adım 2: Offline Key ile çözülebilen yeni Stop / Djvu fidye virüsü uzantıları hangileri? adresini ara ara kontrol edin. Offline Key elde edilirse Emsisoft firması bunu kendi sunucularına ekliyor ve o zaman dosyalarınızın şifresi çözülebiliyor. Listede sizin dosya uzantınız var mı bunu kontrol edin. Bu listeyi sürekli güncelliyorum.
Emsisoft'un Offline Key ile şifreli dosyalar için gerekli anahtarı elde etmesi vakit alabilir ve elde edeceğine dair bir garanti yok.

Ayrıca Emsisof firması elde edilen Offline anahtarları duyurmuyor. Bunu kullanıcı gizliliği diye ifade ediyor. Ama açıkcası ben de neden duyurusunu yapmıyor anlamış değilim.   Zaman zaman uzmanim.net web sitesini ziyaret ederek ya da STOP / DJVU fidye virüsünün şifrelediği dosyalar nasıl çözülür linkinde anlattığım uygulamayı çalıştırarak dosyalarınız çözülüyor mu kontrol edebilirsiniz.

Sadece Offline Key ile şifrelenen dosyaların çözülme ihtimali var.

Dosyalarınız Ofline Key ile şifrelendiyse;

Offline Key ile dosyalarınız şifrelendiyse siz her ihtimale karşı (olur da listeyi güncellemeyi unuturum) siz şu çözümü deneyin: STOP / DJVU fidye virüsünün şifrelediği dosyalar nasıl çözülür

Dosyalarınız Online Key ile şifrelendiyse;

Dosyaların şifresini çözmenin şuan için bir yolu yok. Bunun sebebi her bilgisayar özel bir anahtar ile şifreleniyor ve bu anahtar saldırganların sunucularında tutuluyor.  Dosyalar şifrelenirken kullanılan şifreleme algoritması dünya genelinde kırılabilmiş değil.  Dosyaları belki gölge kopyalardan kurtarabilirsiniz. Bu bir ihtimal ve denemekte fayda var. Şuana kadar Emsisoft firması ve diğer firmalar Online Key ile şifrelenmiş yeni nesil Stop DJVU virüsünün şifrelediği dosyaları çözmek için bir çözüm bulamadılar.
İlk yapılması gerekenler:

  1. Sizde gölge kopyalar duruyor mu Shadow Explorer programı ile kontrol edin: ShadowExplorer nedir, nasıl kullanılır?
    Kurbanların %99'da gölge kopyalar silinmiş oluyor fakat ihtimal %1 de olsa denemekte fayda var.
  2. Shadow Explorer işe yaramadıysa  PhotoRec ile bir ihtimal bazı dosyaları kurtarabilirsiniz. Belki size lazım olan dosyaların birer kopyasını daha önceden silmiş olabilirsiniz. Silinen dosyalardan bu dosyaların orijinal halini geri getirebilirsiniz Formatlanmış diskten veri nasıl kurtarılır? linkinde anlatılanları yapın. Bu şekilde bir ihtimal bazı dosyalarınızı kurtarabilirsiniz.
  3. Bir USB bellek içine _readme.txt dosyasını ve şifreli bir kaç dosyanın (150KB boyutundan büyük) kopyasını alın. Eğer bu dosyaların şifresiz hali de mevcutsa bunu da USB belleğe atın. İlerde çözüm bulunursa faydası olacaktır. Mümkünse her farklı uzantı için birer şifresiz dosya elde etmeye çalışın. (örneğin jpg, docx, pdf gibi türler için ayrı ayrı)
  4. Bu yeni tür bir STOP (Djvu) fidye virüsü. Bilgisayara aynı zamanda parola / bilgi çalmak için trojan da yüklüyor. Bu sebepten önce (mümkünse telefonunuzdan şifreleri değiştirin) virüs taraması yapın ve sonra tüm parolalarınızı değiştirin.
    Virüsleri temizlemek için şu programlardan faydalanın.

    Emsisoft Anti-Malware nedir, nasıl kullanılır?
    Malwarebytes 4 nedir? Malwarebytes 4 nasıl kullanılır?

Önemli Not: Bu yeni fidye virüsü sadece dosyaları şifrelemiyor aynı zamanda bilgisayarınızdaki parolaları, kredi kartı gibi kritik bilgileri çalmak için de bir yazılım yüklüyor. virüsü temizledikten sonra mutlaka parolaları değiştirin. 

covm fidye virüsü nasıl temizlenir?

covm fidye virüsünün çözümü bulunur mu? Çözüm ne zaman bulunur?

covm fidye virüsünün çözümü bulunur mu bunun garantisi yok. Geçmişte hatta yakın bir zamanda daha eski STOP / DJVU virüsü uzantıları için çözüm bulundu. Emsisoft gibi antivirüs yazılımları zaman zaman çözüm bulup paylaşıyorlar ama dediğim gibi bulunacağının ve bulunursa ne zaman bulunurun bir cevabı yok. Bu soruların bir cevabı olmayacak.

covm fidye virüsü nedir?

Dosya uzantılarını .covm yapan yeni fidye virüsü STOP (Djvu) denen fidye virüsünün en yeni uzantılarından biri.   Ağustos 2019 tarihinden itibaren STOP / DJVU virüsü yenilenmiş olarak karşımıza çıktı. Daha önce yazılımda bulunan hatalar giderildi ve kırılması daha zor hale geldi. .covm uzantısı da bu yenilenmiş STOP / DJVU uzantılarından biri. Yeni Stop Djvu virüsü bilgisayarda _openme.txt_open_.txt veya _readme.txt adında bir fidye notu dosyası oluşturuyor.

 STOP (Djvu) V1 ve V2 olarak adlandırırsak V1 içinde olan uzantılar için çözüm geçtiğimiz günlerde bulundu(STOP Fidye (V1 ) virüsünün şifrelediği dosyalar nasıl çözülür). Fakat .covm uzantısı V2 yani versiyon 2 içinde bulunuyor ve henüz bunun için bir çözüm yolu yok.

covm (v0227) genellikle torrent ya da crackli uygulamalar üzerinden yayılıyor. Windows aktivasyon cracki, Ofis etkileştirme gibi aramalarda genelde STOP fidye virüsü içeren sahte crack dosyaları karşınıza çıkıyor. Yine korsan yazılımların içinde gizlenmiş şekilde bilgisayara bulaşabiliyor.

 

Ayrıca güncel olmayan Windows, Internet tarayıcı (Chrome, Edge, Firefox) kullanıyorsanız girdiğiniz bir siteden fidye virüsü bulaşabilir.

covm fidye virüsü bilgisayara bulaştığında bilgisayardaki tüm veri dosyalarını şifreliyor. Tüm resimler, videolar, Word, Excel belgeleri şifreleniyor. Daha sonra bilgisayara bir fidye notu dosyası bırakıyor. Bu dosya genelde _readme.txt adına sahip oluyor. _readme.txt dosyasında şu yazıyor:

(Fidye virüsü dosyası şu adlara da sahip olabiliyor: _openme.txt_open_.txt veya _readme.txt)

ATTENTION!

Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-28bBaI3ZOZ
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
helpmanager@mail.ch

Reserve e-mail address to contact us:
restoremanager@firemail.cc

Your personal ID:
0228yiuduy6S5d7F3fO4IxGFeuiy12lKq0P6llvXFpEdoMjICKist1

Bu dosyada kısaca, tüm veri dosyalarının şifrelendiği, dosyaların şifresinin çözülmesi karşılığında sizden 980$ talep ediliyor. Eğer 72 saat içinde fidye öderseniz 490$ ödeyeceğiniz yazıyor. Ödemenin nasıl yapılması gerektiğime dair bir bilgi videosu da fidye notu dosyası içinde bulunuyor.

Fidye ödersem dosyalarımın şifresi çözülür mü?

Bunun bir garantisi yok. Sonuçta siber suçlulardan bahsediyoruz. Fidye ödeseniz de dosyaları geri alamayabilir, hatta para ödedikten sonra siber suçlularla hiç bir iletişim kuramayabilirsiniz (başıma geldi oradan biliyorum)

 

Fidye ödeyen birinden şifre çözme yazılımını alsam ya da biri fidye ödese sonra aldığı şifre çözme yazılımını paylaşsa çözüm olur mu?

Maalesef böyle bir şey çözüm olmaz. Anlamanız gereken ilk şey şu: Her şifrelenen bilgisayar o bilgisayara özel bir anahtar ile şifreleniyor. Bu özel şifreleme anahtarı herkes için farklı. Dolayısıyla birisi fidye ödeyip şifre çözme yazılımını satın alsa bile bu yazılım sadece o bilgisayardaki şifreleri çözer. Başkasına fayda sağlamaz.

Fidye yazılımını kimler üretiyor, devletler ve polis bunlar ile neden mücadele etmiyor?

Fidye yazılımlarının 2019 yılında 11.5 milyar dolar civarında bir zarar oluşturduğu düşünülüyor. Böyle düşünülünce bunun siber korsanlar için ne büyük bir kazanç kapısı olduğu aşikar.  Fidye yazılımları Rusya, Çin, Kuzey Kore, İran gibi gibi ülkeler üzerinden yayıldığı görülüyor. Elbette liste sadece bu ülkelerle sınırlı değil.

Ayrıca yine farklı ülkelerden bir araya gelen organize suç örgütleri fidye yazılımlarının arkasında olabiliyor. Devletler ve polisin bu kişiler, gruplarla  mücadele etmesi gerçekten de zor. Çünkü genelde Ramsomware yani fidye yazılmları ele geçirilen hayalt bilgisayarlar üzerinden dağıtılıyor. Fidye ödemeleri Tor ağı denen özel bir ağ üzerinden gerçekleşiyor. Ödemeler de bitcoin olarak alınıyor. Bu sebepten bu para hareketini takip etmek de oldukça zor.

Geçmişte InterPol (Uluslararası Kriminal Polis Teşkilatı) yaptığı operasyonlara bazı şebekeleri çökertti ve Özel anahtarları yayınladı. Polis ve hükümetler siber korsanlarla mücadele ediyor ama bu yeterli oranda değil.

Dosyalarım şifrelendi. Peki şimdi ne yapabilirim?

Dosyalarınız sizin için önemli mi?

Hayır: Cevabınız hayırsa bilgisayarınızı formatlatabilirsiniz. Eğer format taraftarı değilseniz virüs taramasından geçirip şifrelenmiş dosyaları silebilirseniz. Parolalarınızı değiştirmeyi unutmayın. Virüs temizlemek için şu programlardan faydalanabilirsiniz:
Malwarebytes 4 nedir? Malwarebytes 4 nasıl kullanılır?

Evet: Dosyalarınız sizin için önemliyse yukarıdaki önerilerimi denediyseniz (ShadowExplorer) ve sonuç elde edemediyseniz yapabileceğiniz tek şey çözüm bulunsun diye beklemek (garantisi yok). Fidye ödemeyi düşünüyorsanız bunu bu konudan anlayan birinden destek alarak yapmanızda fayda var. Fidye ödemenizi çok zorda kalmadıkça önermiyorum. Çözüm bulunur mu belli değil, net değil. Bunun sebebi sürekli farklı fidye virüsleri çıkıyor olması ve firmalar bunların hızına yetişemiyor. Bu sebepten fidye virüslerinin şifrelediği dosyaları çözmekle uğraşmayıp fidye virüslerine karşı nasıl önlem alırız gayesiyle hareket ediyorlar.

 

Para karşılığı şifre çözenler var deniliyor. Doğru mu?

Bunu söyleyen kişi ya dolandırıcıdır paranızı alır kaçar ya da 490$ olan fidye ücretini sizden 1000$ olarak alır ve fidyeyi ödeyerek şifreyi çözer. Burada yazdığım tüm bilgiler global çapta geçerlidir. Fidye virüsünün tek mağduru siz değilsiniz. Tüm dünya bundan etkileniyor, çözüm arıyor. Konu üzerinde çok bilgili yazılımcılar çalışıyor.  Ama fidye virüsleri genelde dünya genelinde kırılamaz kabul edilen şifreleme algoritmaları ile şifreleniyor. Her dosya size özel bir anahtar ile şifreleniyor. Bu sebepten filmlerde izlediğiniz gibi bir parola kırma gerçekleştirmek mümkün olmuyor.

"Size sormak istediklerim var"

uzmanim.net üzerinden https://uzmanim.net/sor linkinden sorabilirsiniz veya https://uzmanim.net/iletisim bize ulaşabilirsiniz. Sorularınıza @alattin şeklinde benden bahsederek bana daha hızlı ulaşabilirsiniz.

 

Hangi antivirüs programları covm virüsünü temizleyebiliyor?

Şuan için MalwarebytesEmsisoft, AVG, AVAST, AVIRA, Sophos, McAfee,ESET-NOD32 ve bir kaç antivirüs yazılımı bu virüsü temizleyebiliyor. Fakat bahsettiğim şey virüsün temizlenmesi. Şifreli dosyaların şifrelerini bu programlar çözmüyor.

ÖNEMLİ NOT:

Lütfen para karşılığı ben bunu çözerim diyen kişilere güvenip para göndermeyin. Zor durumda olan kişilerden faydalanan bir grup mevcut. Bu kişilerin teknik bilgisi olmadığı gibi tek amaçları sizi dolandırmak.

huzeyfe16 (1) 4 yıl önce cevapladı

@alattin ocak 2020 den beri bekliyordum. REHA dosyalarımın bir kısmının şifresi kırıldı. Vİrüs girdiğinde iki şekilde şifrelemiş. şu an .btos uzantılı dosyalarım hala şifreli.  İnşallah en kısa sürede bu da çözülür. Yalnız bazı reha dosyalarının çözülmemiş olarak gördüm.

alattin 4 yıl önce

Eğer çift şifreleme söz konusuysa o zaman maalesef dosyaların şifresi çözülmüyor. Bazen farklı fidye yazılımları arka arkaya bulaşıyor o zaman dosya birden fazla şifrelenmiş oluyor.