Crypt0L0cker virüsü nasıl temizlenir?

alattin (17125) 9 yıl önce sordu

Son günlerde yine bir fidye virüsü kullanıcıları zor durumda bırakıyor.

Kullanıcılar Turkcell Fatura servisi üzerinden gelmiş görünen bir e-posta ile saldırıya maruz kalıyorlar.

Dosyalar şifrelendikten sonra açılamaz konuma geliyor ve kullanıcı aşağıdaki gibi bir SIFRE_COZMA_TALIMATI.HTML dosyası ile karşılaşıyorlar:

!!! TÜM DOSYALARINIZ Crypt0L0cker VIRÜS TARAFINDAN ŞIFRELENMIŞTIR !!!
===============================================================================


Bilgisayarinizda, ağ disklerde ve USB bellek lerde olan önemli dosyalariniz:
fotoğraflar, videolar ve kişisel bilgiler Crypt0L0cker virüsü ile şifrelenmiş.
Bizim şifreleme çözme yazılımı satın almak dosyalarınızı kurtarmak için tek
yoludur. Aksi takdirde, tüm dosyaları kaybedersiniz.

Dosyaları kurtarmak için bu ödeme linki kullanın:
http://vacdgwaw5djp5hmu.torgate.org/cruptp.php?user_code=000&user_pass=000


-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

[=] Dosyalarıma ne oldu?

Önemli dosyalarınız: fotoğraflar, videolar, kişisel belgeler bizim
Crypt0L0cker virüsü ile şifrelenmiş. Bu virüs çok güçlü RSA-2048 şifreleme
algoritması kullanır. RSA-2048 şifreleme algoritmasının kırılma bizim şifre
çözme yazılım olmadan imkansız.


[=] Dosyalarımı nasıl geri alabilirim?

Sizin dosyaları artık kullanılamaz ve okunamaz hale gelmişler, açmaya çalışıp
bunu doğrulayabilirsiniz. Dosyaları çalisacak hale getirmek için tek yolu:
bizim şifre çözme yazılımı kullanmaktır.
İnternet sitemizde (http://vacdgwaw5djp5hmu.torgate.org/cruptp.php?user_code=00&user_pass=00)
bu şifre çözme yazılımı satın alabilirsiniz. [=] Bundan sonra ne yapmalıyım? İnternet sitemizi (http://vacdgwaw5djp5hmu.torgate.org/cruptp.php?user_code=00&user_pass=00)
ziyaret edin ve bilgisayariniza özel şifre çözme yazılımı satın alın. Her
şifre çözme yazılım tek bir bilgisayar için eşsiz şifre çözme anahtarı
içerir, sadece bu bilgisayardaki ve ağ disklerdeki dosyaları kurtarabilir.


[=] İnternet sitenize giremiyorum, ne yapmalıyım?

Sitemiz bu linklerin birinden erişilebilir olmalıdır:
http://vacdgwaw5djp5hmu.torgate.org/cruptp.php?
http://vacdgwaw5djp5hmu.tor2earth.org/cruptp.php?
http://vacdgwaw5djp5hmu.tor2web.blutmagie.de/cruptp.php?

http://zbqxpjfvltb6d62m.onion/cruptp.php (TOR tarayıcısını kullanarak)

Herhangi bir nedenden dolayı bu adresler mevcut değilse, aşağıdaki adımları
izleyin:
1. TOR-tarayıcı yükleyin:
http://www.torproject.org/projects/torbrowser.html.en
2. Başarılı bir kurulumdan sonra, tarayıcıyı çalıştırın ve başlatma için
bekleyin.
3. Adres çubuğuna yazın:
http://zbqxpjfvltb6d62m.onion/cruptp.php
4. Sitemize girin.

Ayrıca e-posta yoluyla bize ulaşabilirsiniz: decrypthelp@mail15.com
 

Crypt0L0cker virüsü nasıl temizlenir? Crypt0L0cker ile şifrelenen dosyaları kurtarmak mümkün mü? Şifreli mümkünse dosyalar nasıl açılır? Çözümde bunlar anlatılacaktır.

Toplam 2 cevap


alattin (17125) 9 yıl önce cevapladı

Güncelleme: 31 Ocak 2017 

Crypt0L0cker ile ilgili bu çözüm tarafımdan süreki güncellenmektedir ve en son güncellemeleri içermektedir.

Virüs ile ilgili güncel duyurularımızı ve sisteminizin analiz edilmesi için bizimle iletişime geçebilirsiniz:  

http://www.facebook.com/uzmanim.net

----------------------------------------------------

Crypt0L0cker virüsü nedir?

 

Crypt0L0cker virüsü,  TorrentLocker olarak daha önce karşımıza çıkan virüsün yeni versiyonu.  Maalesef fidye virüsleri sürekli form değiştirerek,  bir önceki sürümdeki hatalar giderilerek karşımıza çıkmaya devam ediyor. Crypt0L0cker virüsü, TorrentLocker virüsünün yeni ve ad değiştirmiş hali.

TorrentLocker virüsü AES şifreleme yöntemini kullanıyor. AES şifreleme yöntemi günümüzde kırılamayan şifreleme algoritmalarında biri.

Bu virüs Nisan ayı başlarında özellikle Avrupa ve Asya'da görülmeye başladı.

 Crypt0L0cker virüsü bilgisayarınıza bulaştığında ilk olarak, size özel bir ID oluşturarak bunu virüsün komuta merkezine gönderiyor.

Komut & Komuta merkezi daha sonra içinde bilgisayarınıza özel üretilmiş kullanıcı kodu ve parolanın olduğu bir HTML dosyasını bilgisayarınıza indiriyor. Bu HTML dosyasında yukarıda soruda verilen bilgiler bulunuyor.

Crypt0L0cker virüsü tüm bilgisayarınızı tarıyor.  Şu uzantılara sahip dosyalar haricinde tüm dosyaları şifreliyor:

avi,wav,mp3,gif,ico,png,bmp,txt,html,inf,manifest,chm,ini,tmp,log,url,lnk,cmd,bat,scr,msi,sys,dll,exe

Bilgisayarınızdaki doc, docx, xls, xlsx, pdf, jpg gibi belge, resim ve diğer dosyalar ENCRYPTED Dosyası olarak görüntülenmeye başlıyor.

Ayrıca bu işlemler sırasında kullanıcı bilgisayarı Administrator yani yönetici olarak kullanıyorsa bilgisayardaki Belge geçmişi, Gölge kopyaları siliyor.  Böylelikle dosyaların kurtarılması imkansız hale geliyor.

Crypt0L0cker virüsü şifreleme sırasında ekrana rastgele yazılar çıkarıyor. Bu rastgele mesajlar kullanıcının şifre çözme yazılımını satın alması için linkler içeriyor.

Crypt0L0cker 2017 sürümünde bir değişiklik var mı?

2017 yılının ilk Crypt0L0cker vakasını inceleme fırsatım oldu. Kurban mail ile gelen bir Türk Telekom faturasını açtıkdan sonra tüm bilgisayarı Crypt0L0cker tarafından şifrelenmişti.

Daha sonra pek çok yere klasik vakalarda olduğu gibi SIFRE_COZME_TALIMATI adı altında pek çok dosya oluşturulmuştu. Dosya içeriği şu şekilde oluşuyor.

LÜTFEN BUNU OKUYUN

Tüm dosyalarınız Crypt0L0cker virüs tarafından şifrelenmiştir 
Bilgisayarınızda, Ağ sürücü ve USB bellek üzerinde olan Sizin için önemli dosyalarınız: fotoğraflar, videolar ve kişisel bilgiler Crypt0L0cker virüsü ile sonsuza şifrelenmiştir. Eğer dosyalarınız geri almak istiyorsanız - Bizim şifreleme çözme yazılımı satın almanız tek olan yoludur. İnternet´te çözüm bulmak için boşuna zaman harcamayın - şifreleme çözme yazılımı satın alın ve mutlu bir hayat yaşamaya devam edin.

Önemlidir: Virüs bilgisayarınızdan kaldırabilirsiniz ama maalesef bu şifrelenmiş dosyalarınıza erişim sağlamaz Yazılım Nasıl Satın Alınır
Yazılım sitemizden satın alabilirsiniz: http://27c73bq66y4xqoh7.fixnix.pl/vlm37i.php?user_code=xxx&user_pass=xxx

Web sitemiz çalışmıyorsa Antivirus tarafından kapatılmış olabilir. Aşağıdaki adımları yaparak sitemize girebilirsiniz.

1. TOR tarayıcı bilgisayarınıza yükleyin https://www.torproject.org/download/download-easy.html.en
2. TOR tarayıcı çalıştırın ve başlatma için bekleyin
3. Adres çubuğuna bu site adresi yazın: http://ztuw6bvuuapzdfya.onion/vlm37i.php?user_code=xxx&user_pass=xxx
4. Web sitemize girin

2017 yılında da  Crypt0L0cker ile şifrelenen dosyalar yine kırılamaz bir algoritma kullanıyor.  Bu sebepten dosyaların şifresi fidye ödemek dışında kırılamaz. Ancak aşağıda yazdığı gibi bilgisayarda gölge kopyalar duruyorsa bunlar üzerinden kurtarma yapılabilir.

Crypt0L0cker virüsü nasıl temizlenir? 

Crypt0L0cker virüsünü temizlemek için anti-virüs ve anti-malware programları kullanılabilir. Virüsü temizlemek şifreli dosyaların şifrelerinin çözülmesi anlamına gelmiyor.

Aşağıdaki programlar Crypt0L0cker virüsü temizleme işleminde size yardımcı olacaktır.

Dr.Web CureIt! nedir? Dr.Web CureIt! nasıl kullanılır? 

Emsisoft Anti-Malware nedir, nasıl kullanılır?

Malwarebytes nedir? Malwarebytes nasıl kullanılır?

Crypt0L0cker virüsü ile şifrelenen dosyalar nasıl açılır?

Crypt0L0cker virüsü ile şifrelenen dosyaları açmak kendi imkanlarınız ile mümkün değil. Yani siz bunu bir program ile yapamazsınız. Crypt0L0cker virüsünün şifrelediği dosyaları açmak için anahtar dosyaya ihtiyaç var. Bu anahtar dosya saldırganların sunucularında muhafaza edilmektedir. AES şifrelemesi kırılamayan algoritmalardan biridir.

Crypt0L0cker virüsü için fidye ödesem dosyalarımı geri alabilir miyim?

Crypt0L0cker virüsü tek bir elden çıkmıyor. Bu sebepten parayı, yani fidyeyi ödeseniz bile kimse dosyalarınızın size geri döneceğini garanti edemez.

Yabancı forumlarda pek çok kullanıcı fidyeyi ödedikleri halde dosyalarının çözülmediğine dair bildirimlerde bulunmuş. Benim önerim dosyalarınız çok kritik değilse fidye ödemeyi son ihtimal olarak düşünmeniz. Ödeme işleminden önce örnek bir dosyanın şifresinin çözülmesini isteyebilirsiniz. Fidye ödendikten sonra gönderilen anahtarın işe yaramadığına dair pek çok yazı mevcut. Dediğim gibi verileriniz çok kritik ve son aşamada yazacağım Gölge kopya kurtarma adımı işe yaramazsa fidye ödeme yapılacak en son  işlemdir.

Crypt0L0cker virüsünü çözdüğünü söyleyen yerli firmalar ve kişiler var?

Bana en çok sorulan sorulardan biri de bu. AES kırılamaz bir şifreleme algoritması. Eğer birisi AES'i kırdıysa inanın bunu bütün dünya haber alır. Şifreyi kıran kişi sizden belirli bir ücret karşılığında dosyalarınızı çözmeyi talep etmez. Zaten şifrenin kırılması milyon dolarlık bir değere sahip.

Crypt0L0cker gibi virüslerin şifrelediği dosyaları açtıklarını iddia edenlere lütfen güvenmeyin. 

Crypt0L0cker virüsünün şifrelediği dosyaları kurtarmanın bir yolu yok mu?

Eğer virüsün bulaştığı sırada, bilgisayara giriş yaptığınız kullanıcı yönetici değilse, virüs gölge kopyaları silemiyor. Bu durumda gölge kopyalardan dosyalarınız geri almak mümkün.

Crypt0L0cker virüsünden dosyaları kurtarmanın bir diğer yolu Sistem geri yüklemesi oluşturulmuş sistemlerde eski bir tarih üzerinden dosyanın gölge kopyasını almak. Fakat sizde sistem koruması açık ve bir geri yükleme noktası oluşturulmuş olmalı.

  1. ShadowExplorer uygulamasını buradan indirin.
  2. ShadowExplorer uygulamasını kurduktan sonra çalıştırın.
  3. Virüsün bulaşma tarihinden önce bir geri yükleme noktası seçin.
  4. Kurtarmak istediğiniz dosyayı sağ tuşla tıkayın ve Export'u seçin.
  5. Nereye kaydetmek istiyorsanız oraya dosyanızı kaydedin.
     

C: karşısında kayıt göremiyorsanız gölge kopyanız yok veya virüs tarafından silinmiş demektir.  Bu durumda yapabileceğiniz şuan için hiç bir işlem kalmıyor.

Son olarak bir daha fidye virüsleri ile karşılaşmamak için: 

Fidye virüslerinden nasıl korunurum?

linkini incelemenizde fayda var.

mertmermer (1) 9 yıl önce cevapladı

Abi Peki Sality Virüsünde Kurtaramıyoruz Bu Virüsü Formatla Bilgisayarımızı Kurtarabiliyormuyuz?