Geçen gün email adresime TTNET tarafından fatura geldi. Fatura tutarı çok yüksek görünüyordu. Ben de meraktan email içindeki linke tıkladım. http://efatura.ttnet-fatura.com/ gibi bir adrese gittim ve bu sayfadan faturamı indirdim. normal zip uzantılı bir dosyaydı. Zip'i açtım içinden çıkan dosyayı tıkladım. Ne olduysa ondan sonra oldu. Şimdi tüm word dosyaları, resimler, pdf dosyaları açılmıyor. uzantısına baktık. Hepsi .encrypted olmuş ve açılmıyordu.
Masaüstüne bir dosya gelmiş. SIFRE_COZME_TALIMATI.html dosyasını açtığımda Uyarı Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir
Bilgisayarınızda ağ disklerde, ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımınını satın almak dosyalarınızı kurtarmak için tek yoldur. aksi takdierde tüm dosyalarınızı kaydebebilirsiniz.
Dikkat CryptoLocker virüsü kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz.
Şifre çözme yazılımını satın almak için tıklayınız
yazıyor ve şuanda hiç bir dosya açılmıyor.
CryptoLocker virüsü nasıl temizlenir? Şifreli dosyaları geri getirmenin bir yolu var mı?
Toplam 26 cevap
Güncelleme: 21 Şubat 2017
Cryptolocker sayfasını sürekli güncel tutuyoruz. Bulduğumuz çözümleri paylaşıyoruz. Fakat şuanda yüzlerce cryptolocker türevi var. Dosyalarınız sizin için önemliyse buraya tıklayarak ücretsiz uzaktan analiz talep edebilirsiniz.
Önemli:
Pek çok fidye virüsü olduğu için size bulaşan Cryptolocker olmayabilir. Eğer dosyalarınızın uzantısı .vvv, .ccc, .xyz, .zzz, .aaa uzantılı uzantılarından biri ise o zaman şu çözümleri deneyin, kesin çözümdür:
Yukarıdaki çözümler .vvv,.ccc, .xyz, .zzz, .aaa uzantılı dosyaları çözmek için kullanılabilir. Yeni çözümler keşfedikçe uzmanim.net üzerinde yayınlamaya devam edeceğiz.
Virüs ile ilgili güncel duyurularımızı ve sisteminizin analiz edilmesi için bizimle iletişime geçebilirsiniz:
http://www.facebook.com/uzmanim.net
--------------------------------------------------------------------------------------
Aşağıdaki çözüm 1 ve çözüm 2 bölümünde yeralan Kaspersky ve ShadowExplorer ile TTNET Fatura virüsü, PTT Kargo virüsü dosya kurtarma çözümünü deneyebilirsiniz.
Öncelikle geçmiş olsun. Eğer form değiştirmemiş CryptoLocker virüsü ile karşı karşıyaysanız bunun için bir çözüm var. Öncelikle virüsü temizlemek sorun değil. Sorun olan .encrypted uzantılı dosyalar yani şifrelenmiş dosyalar. Daha önceki CryptoLocker virüsü örneklerinde virüs önemli dosyalarınızı AES-256-bit ile oldukça güçlü ve çözülmesi imkansız denecek bir şifreleme algoritması ile şifreliyordu. Eğer sizdeki form değiştirmemiş bir CryptoLocker virüsü ise bütün önemli dosyalarınız AES-256-bit ile şifrelenmiş demektir.
Aşağıda iki çözüm mevcut. Size bulaşan virüs farklı bir varyanta sahip olabilir. İkisini de denemenizde yarar var.
CryptoLocker virüsü gibi virüsler fidye virüsü olarak adlandırılır.
Geçtiğimiz yaz aylarında FireEye ve FOX IT adlı iki güvenlik şirketi CryptoLocker virüsünün şifrelediği dosyaları ve virüsü analiz ederek, tersine mühendislik yolu ile bir online şifre çözme uygulaması devreye aldılar. Eğer şansınız varsa CryptoLocker virüsünün form değiştirmemiş bir versiyonu ile karşı karşıyasınızdır.
Aşağıda hem CryptoLocker virüsü temizleme hem de şifreli dosyaların nasıl açılacağına dair bir çözüm yolu paylaşacağım. Denemenizde yarar var.
CryptoLocker virüsü nasıl temizlenir?
CryptoLocker virüsü temizleme işlemi iki adımdan oluşacak. Önce virüsün enfekte olduğu sistem temizlenecek daha sonra da şifreli dosyaların şifrelerinin nasıl çözüleceğini anlatacağım. Şuan için CryptoLocker virüsü temizleme için en etkin ve tek geçerli yol olarak bu anlatacağım yöntem söz konusu.
CryptoLocker virüsü şuanda pek çok güncel antivirüs tarafından tespit edilebiliyor ve temizlenebiliyor.
Norton Power Eraser nedir? Nasıl Kullanılır? ile bilgisayarınızı önce taratın. Bu işlemden sonra
Dr.Web CureIt! nedir? Dr.Web CureIt! nasıl kullanılır? ile bilgisayarınızı tarafın. Daha sonra bilgiayarın tamamen virüslerden arındığından emin olmak için Malwarebytes nedir? Malwarebytes nasıl kullanılır? ile bilgisayarınızı taratın. Burada 3 farklı antivirüs ile taratırmandaki sebep virüsün form değiştirmiş olma ihtimali. Eğer Norton Power Eraser virüsü bulursa ve temizlerse daha sonra sadece Dr Web veya Malwarebytes ile bilgisayarınızı taratmanız yeterlidir.
CryptoLocker virüsünün şifrelediği dosyalar nasıl açılır?
CryptoLocker virüsü ile şifrelenen dosyalar AES-256 ile şifrelenir. Bu bir şifreleme algoritmasıdır ve AES-256 ile şifrelenen dosyalar normal koşullarda KEY yani anahtar dosya olmadan açılamazlar. Maalesef ortalıkda tek bir CryptoLocker virüsü yok. Birden fazla taklitçi CryptoLocker virüsü mevcut. Maalesef bu yöntem son zamanlardaki TTNET Fatura virüsü için geçerli değildir.
Çözüm 1: Kaspersky RANSOMWARE DECRYPTOR uygulaması ile şifreli dosyaları çözme
Bir süredir Hollanda polisi ve Kaspersky şirketi birlikte çalışarak şifreli dosyaları çözmek için bir veritabanı oluşturuyorlar. Polis ile ortak yapılan bu çalışma sonucunda ele geçirilen şifreyi çözmek için gerekli anahtarlar bir veritabanında toplanıyor. Şuanda 14.000'in üzerinde anahtar mevcut. Belki bunlardan birisi şifreli dosyaları çözmeye yardımcı olur. Bu herkeste işe yarayacak bir çözüm değildir. Şansınız varsa sizin için gerekli anahatar ele geçirilen anahtarların arasında vardır.
Kaspersky uygulaması dosyalarınızı taramaya başlayacaktır. Eğer veritabanında size ait bi anahtar bulunursa dosyalarınız bu anahtar ile açılacaktır.
Çözüm 2: CryptoLocker virüsü Alternatif çözüm yolu:
TTNET Fatura virüsü için bu yöntem denenebilir. TTnet Fatura virüsü normalde kullanıcının yetkisi varsa gölge kopyaları siliyor. Fakat kullanıcınızın yetkisi yoksa silme işlemi başarılı olamıyor ve gölge kopya üzerinden dosyaları kurtarmak mümkün oluyor.
CryptoLocker virüsünden dosyaları kurtarmanın bir diğer yolu Sistem geri yüklemesi oluşturulmuş sistemlerde eski bir tarih üzerinden dosyanın gölge kopyasını almak. Fakat sizde sistem koruması açık ve bir geri yükleme noktası oluşturulmuş olmalı.
C: karşısında kayıt göremiyorsanız gölge kopyanız yok veya virüs tarafından silinmiş demektir. Bu durumda yapabileceğiniz şuan için hiç bir işlem kalmıyor.
CryptoLocker virüsü için şuan en güncel çözüm yöntemleri bunlar. Bunlar dışında farklı çözüm yolları denemek vakit kaybı olacaktır.
Çözüm 3 (bu yöntem artık geçersizdir): CryptoLocker virüsünün şifrelediği dosyaların şifresini kaldırmak için aşağıdaki adımları takip edin:
ÖNEMLİ: Aşağıda anlatılan çözüm CryptoLocker virüsünün ilk sürümüne aittir. Şuanda ikiyüzden fazla CryptoLocker türevi mevcut bu sebepten FireEye çözümü geçerli değildir.
CryptoLocker virüsünün şifrelediği dosya için Private KEY edinme:
Private KEY CryptoLocker virüsünün şifrelediği dosyaları çözmek için gerekli anahtar metindir. Aşağıdaki adımlar ile bu KEY yani anahtarı nasıl oluşturacaksınız bulabilirsiniz.
-----BEGIN RSA PRIVATE KEY----- MIICWwIBAAKBgFEFU71H6IvEb1nFqcog3KCnPDWDGNYFkJ+gKOwQ5VOTCOkKjhwv W25t6fJaWaEQEDDO0dmk58XFWU5MzYLyGWulgqRalzqe4kM1kZ1MzeL8stMyqfUP AwxAtSbwmFEj3swZdulrqK7Mk9izzOqFta7ixOi+HGK+w/pyTF9C/yaJAgMBAAEC gYA2ssb/Ec4AlkSqsdTYPmlVGLKAWhppW2ZxLfqSrTF1w92PH24jvyEWI6R+1tqN 7z9PBEIOktNa5MpPH3Dbh8D69kuWgp7JQBhfyxnK8nRm0DMDO5Wc3RlVhLNTreRP KKMwPELRVQEB9ZoLAZxEASkxlOrPAyWHbR4vJoeVrBB+VQJBAJKcIyWYm6y2SwRS z7Z4FPPna7RAHkWepEPIgl/+hhYVO6V6rX9dSFHBLg7T+Fx2E/soTsx0+T677v8X wQtf0MMCQQCNeQ78LjYQgn5TXJyxxSvofJpMAcsPaa3vLwFyF2f7KQuElzgiXkHJ llUzBad2PEAvmq5JpM4bx7/hlf6hfjbDAkAQM/dicVJLLT5vNOPF69GM/zeVDT0L PrQy1ZcrGssg56nW6Q8Bs4KJnosDkoOxXE9rA5Jp4EenmkeYo7xvEGDXAkEAid2h Zsu50Bj69k3YPb1B7swOqWdN9XUtFVufcwmwQShcmxeqkoN8ZPDlklU+PpC0lC+P DSFX4eak7Td47vPKdQJASaalvGHNgwm6HsnxUgz6jT2dmiPBXwY+TfIU1EzbOpJp PMiN7YMTmPaAWS6Ldm4Reb4XOc/lMPeWolQflCRisQ== -----END RSA PRIVATE KEY-----
PRIVATE KEY'i kullanarak CryptoLocker virüsünün şifrelediği dosyaların açılması
cd c:\Users\uzmanim.Net\Desktop\Ozel
Decryptolocker.exe –key “Email ile gelen Key” Şifrelidosya.doc
Baştan da belirttiğim gibi CryptoLocker virüsü farklı şekillerde ortaya çıkabiliyor. Virüsün enfekte olduğu her sistem için vir Private Key gereklidir. Birden fazla sistem kullanıyorsanız bu işlemi yani Key alma işlemini tekrat etmeniz gerekecektir.
Ayrıca yukarıda anlatılan yöntem tüm CryptoLocker virüsü türevlerinde başarılı olamayabilir. Lütfen bunu bilerek bu işlemi yapın. Yukarıdaki işlemler sisteminize zarar vermez.
CryptoLocker virüsü temizlemek ücretsiz bir işlemdir. Yukarıda anlatılan servis ve programlar ücret gerektirmiyor.
Eğer bir klasörü tamamen şifrelemeden kurtarmak istiyorsanız o zaman aşağıdaki komutu kullanın.
Decryptolocker.exe –key “Key” C:\Klasör Adı\*
Eğer bir sürücüdeki tüm CryptoLocker virüsünün etkilediği şifreli dosyaları şifreden kurtarmak istiyorsanız
Decryptolocker.exe –key “Key” -r C:\
komutunu kullanın.
Şuan CryptoLocker virüsüne karşı en etkili temizleme ve şifre kaldırma yöntemi yukarıda bahsettiğimm yöntemdir. Bunun dışında yapılacak işlemler dosyalarınıza zarar verebilir. Bu sebepten dosyalarınızı manuel düzenlemeye, değiştirmeye çalışmayın.
CryptoLocker virüsü tarafından şifrelenen dosyaları el ile kurcalamak dosyaların kalısı olarak bozulmasına sebep olur. Daha sonra bir şekilde Key üretilse bile bozuk dosya da çalışmayacaktır.
CryptoLocker virüsü temizleme ve şifreli dosyaları kurtarma yöntemini olabildiğinde detaylı anlatmaya çalıştım. Aklınıza takılan bir nokta olursa buraya yazabilirsiniz.
[Referans:fireeye.com]
Ayrıca konuyu detaylı olarak araştırıyoruz yeni bir çözüm yöntemi bulduğumuzda Facebook sayfamızdan ve buradan duyuracağız.
Önemli Not: TTnet Fatura virüsüne karşı çözüm geliştirdiğini ortalıkta yazan pek çok sahtekar var. Lütfen bunlara karşı dikkatli olun. Şuan için virüsün bir çaresi yok.
Bana sıkça sorulan bazı soruları soru - cevap şeklinde yanıtmaya çalışayım:
Cryptolocker şifre çözme yazılımı satın alsak kesin olarak dosyalarımız çözülür mü?
Bunun bir garantisi yok. Cryptolocker virüs saldırıları tek bir elden çıkmıyor. Parasını yani fidyeyi ödediği halde şifresi çözülmeyen kullanıcı mevcut. Fidye ödeyip dosyalarını kurtaranlarda elbette var.
Cryptolocker şifre çözme yazılımı satın alınarak şifre çözülüyorsa, neden biri satın aldığı programı internetten dağıtmıyor?
Korsanlar, cryptolocker şifre çözme yazılımını her bilgisayar için ayrı, özel olarak üretiyorlar. Yani sizin satın aldığınız bir program başka bilgisayarda çalışmayacaktır. Aynı şekilde başkasının aldığı yazılım sizin bilgisayarınızda çalışmayacaktır.
Internette para karşılığını Cryptolocker ile şifrelenen dosyaları çözdüğünü idda edenler var. Güvenilirler mi?
Hayır. Bu tür kişilere güvenmeyin. AES-256 şifreleme teknikniği henüz kırılabilmiş bir yöntem değil. Dünya genelinden bahsediyorum. Eğer böyle bir yetenek olsaysı tüm dünya adını zaten duyardı. O kişide sizin mağduriyetinizden yararlanmaya çalışmazdı.
Merhaba, dediğiniz işlemeleri sırası ile uyguladım fakat, vermiş olduğunuz internet sayfasında enfekte olmuş dosyayı gönderiyorum dönen cevap;
"Bu dosya enfekte değildir. Lütfen encrytolocker ile enfekte olmuş bir dosya gönderin." diyor. Ne yapmam gerekli?
ennginn 10 yıl önce
Bu program disklerde sistem geri yükleme açık olan partlarındaki saklı olan virüse maruz kalmamış dosyaları gösteriyor. Sizde üzerine sağ tıklayıp istediğiniz bir yere çıkartıyorsunuz. Dediğim gibi sadece sistem geri yükleme açık olan partlarda bu işlemi yapabiliyor. Kolay gelsin.
alattin 10 yıl önce
Evet e sistem koruması açık ve bir geri yükleme noktası oluşturulmuşsa geri almak mümkün oluyor. Bunu ikinci çözüm olarak ilave ettim.
Merhabalar sunmuş Olduğunuz Tüm Çözüm önerilerini uyguladım ama aşagıdaki gibi bir hata alıyorum bilgisayarımda çok çalışma var ve her biri ayrı ayrı klasörlerde ama hiç birisine şifreli dosya bulunamadım hatası vermekte bu konuyla ilgili yardımcı olabilirmisin ciddi sıkıntılı durumdayım şimdiden teşekkür ederim.
Dosya CryptoLocker tarafından enfekte görünmüyor. Bir CryptoLocker virüslü dosyayı gönderin.
alattin 10 yıl önce
Geçmiş olsun. Eğer gölge kopya yöntemi sizde çalışmıyorsa üzülerek belirtmeliyim ki şuan için biz çözüm yok. Fakat bir kaç dijital güvenlik şirketi bu konuda çalışıyor. Bir sonuç aldıklarında veya bir araç geliştirildiğinde ancak dosyalarınıza kavuşabileceksiniz.
Merhaba.
https://www.decryptcryptolocker.com/ sitesinden ben de aşağıdaki uyarıyı alıyorum:
The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.
Son bir günde bir çözüm bulunmuş olma ihtimali var mı acaba?
hakan 9 yıl önce
Merhaba, maalesef hâlâ bir çözüm bulunamadı.
Merhaba,
Uyarıyı almanız çok normal, çünkü son gelen fatura ile bulaşan virüse ait private key yok. Doğal olarak sistem size bu uyarıyı veriyor. Shadow Explorer ile şansınızı deneyin. Onun dışında şu anda son gelen virüsle şifrelenmiş dosyaları açmanın imkanı yok arkadaşlar. Şu şekilde mümkün olur. Şifrelemeyi yapan hacker, vicdan yapar tamam yeter der ve private keyi internet ortamına bırakırsa evet dosyalarınızı decrypt yapabilirisiniz. Private Key olmadan AES 256'yı kırmak için en iyi ihtimal ile süper bir bilgisayar ve bin yıl gibi bir süre gerekir. Tavsiyem dosyalarınıza hiçbir şekilde müdahale etmeden beklemeniz. Yedek alıp beklemekten başka bir çare yok.
Yeni yayılan virüs malesef daha çok gelişmiş olan RSA-2048 şifreleme yöntemini kullanıyor ve sayfada verilen decryptcryptolocker.com bu şifreli dosyayı çözemiyor.Henüz bu virüs için hiçbir çözüm yolu yok.O dosya tamamen şifreli bir dosya Anti-Virüs programları temizleyemezler antivirüslerle boşuna cebelleşmeyin.ya 900 TL ödeyip şifreyi çözen yazılımı bize göndermesini bekleyeceğiz.Yada geçmişe bir çizgi çekip dosyaları yeniden oluşturmaya başlayacağız.
Arkadaşlar peki onlerın istediği parayı verip çözme programını satın alan yokmu hiç paylaşsa da herkes faydalansa yoksa her pc deki şifre farklı mı oluyor ? Sadece bir çözüm önerisi benimde iş bilgisayarı o kadar çok önemli evrak varki şuan anlatamam.
cemkara 9 yıl önce
Her bilgisayar için kullanılan key yani çözmek için gerekli anahtar farklı. Biri parayı ödese ve ona key gönderilse bile bu key sizin işinize yaramayacaktır.
Bende Bu Virüsün Mağdurlarındanım . Hayırda Şerde Allah tan Sabredip Tevekkül ettim .
İnanın Bana Verdiği Maddi Zarar Yaklaşık 15 - 25 Bin Arasında Manevi Zararın Haddi Hesabı Yok.
Zaman Olarak ta 2 Ay Ziyan ettirdi .
İstedikleri Parada Komik Bir Rakamdı Mesele o değil ancak Kötülüğe 1 KRŞ prim vermemek lazım .
HİÇ PİŞMAN DEĞİLİM TEKRAR OLSA TEKRAR TEK KURUŞ VERMEM . ZİRA
Peygamberimiz (asm) bir hadislerinde şöyle buyurur: “Bir kötülük gördüğünüz zaman elle düzeltin. Buna gücü yetmezse dilinizle düzeltmeye çalışsın. Buna da gücü yetmezse kalben buğzedin. Bu ise imanın en zayıf derecesidir.”
ALLAH BUNU YAPANLARIN CEZASINI VERECEKTİR .
Allah nasip ederse çözüm bulursam . Paylaşacağım inşallah.
Ancak Çözüm Şifreyi Çözmek değil Buna Zemin hazırlayan ne varsa Bunun önünü kesmek olacaktır.
Öneriniz doğrultusunda ShadowExplorer programını kullandım ve şu an belgelerimi kurtarmaktayım çok teşekkür ederim. İnşallah diğer arkadaşların sorunu da en kısa zamanda çözülür. Herkese kolaylıklar diliyorum.
alattin 9 yıl önce
Geçmiş olsun, ucuz atlatmışsınız. Çok teşekkürler.
yardımlarınız için öncelikle minnettarım halen dosyaarımı açamadım ancak güvenilir bir site bulmuş olmak en azından içimde bir umut doğurdu..soracağım şu ki explorershadow programını kurdum ancak hiçbir veri bulunmuyor bunun manası gölge dosyalarımın silinmiş olması mı? yoksa programı kurmada hata etmiş olmamam mı?
alattin 9 yıl önce
program normal bir şekilde açılıyorsa, ShadowExplorer ekranı geliyor fakat siz bir yedek göremiyorsanız, yedekleriniz uok ya da virüs tarafından silinmiş demektir. Virüs, eğer kullanıcı bilgisayarı admin yani yönetici yetkileri ile kullanıyorsa maalesef yedekleri de siliyor.
Merhaba ,
Virus PTT uzantılı olarak adresinize gelindi kargonuz teslimedilemedi şeklinde geldi, Ofis olması nedeniyle olabilir duşuncesi ile maili açmış olduk.
Yukarıda belirtmiş olduğunuz aşamaları takip etmeye çalışıyorum fakat Fireeye virus uzantılı dosya gönderemiyorum ekranda
The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file. şeklinde kayıt çıkıyor. Yardımcı olursanız sevinirim
alattin 9 yıl önce
Geçmiş olsun. Az önce bununla ilgili bazı şikayetler aldık ve virüsü analiz attik. Bununla ilgili detaylı yazımı : http://uzmanim.net/soru/ptt-kargo-takibi-fidye-virusu-nedir-nasil-temizlenir/40050 linkinde bulabilirsiniz.
~~PTT Kargo diye virüs bulaştı...Tüm temizleme işlemlerini arkadaşımızın anlattığı gibi yaptıktan sonra aynı hata ile bende virüs bulaşmış dosya olarak görmediğinden gönderemedim.Ve altlardaki 2. yöntem ShadowExplorer ile tüm dosyalarımı kurtardım.
Sizlerden ve sizin bu sayfayı öneren Rıdvan kardeşimden Allah razı olsun.Bu sahtekarlar yüzünden emeklerimiz saatlerimiz paralarımız gidiyordu. Allah a havale ediyorum gerçi inançları yoktur ama HAKKIMI HELAL ETMİYORUM. Öldükten sonra bunun ne anlama geldiğini anlayacaklar...
Serdar Sevinç
alattin 9 yıl önce
Çok geçmiş olsun, dosyalarınızı kurtarabildiğinize sevindim.
Bu adamlar kargo ile işiniz olduğunu bir şekilde öğrenip ona göre mail atiyorlar bugun benimde başıma geldi daha önce ptt kargo ile işim yoktu ve bu ve buna benzer bir mail gelmedi ama bügün itibari ile ir evrak bekliyordum ptt kargodan mailimi açtım ve bu vürüsü malesef bulaştırdım benden bilgilerimi güncellememi aksi halde korgoyu alamayacağim gibi şeyler yazmışlar.
PTT kargo ile benim işimin olduğunu nereden biliyorlar?
condemned 9 yıl önce
Shadow olan yöntemde dosyalarımız c harici bir diskteyse işe yaramıyor benim dosyalarım c haricindeki bir sürücüde ben bu dosyaları shadowa'a gösteremedim.
Merhaba, bugün bu kötü olay benimde başıma geldi. Fakat evraklarımı harici diskimede yedeklemiştim. Virüs Harici diskimdeki evraklarımıda şifrelemiş. Eğer ki bilgisayarımdaki evraklarımı geri getiremezsem Harici diskteki şifrelenmiş dosyalarımı geri getirme ihtimalim nedir? Şimdiden teşekkürler.
alattin 9 yıl önce
Virüs bilgisayara takılı harici disklerdeki verileri de şifreliyor. Şuan için bu virüsün şifrelediği dosyaları açmanın bir yolu yok. Daha önce CryptoLocker virüsünün şifrelediği dosyaları açmak , virüsün içerdiği bazı açıklardan faydalanarak, mümkündü. Bu yeni CryptoLocker virüsünde şuan için böyle bir açık bulunamadı.
Aynı olay benim başıma salı günü geldi. PTT kargo teslimatınız var postasıyla, üstelik tam da bahsedildiği gibi bir adres değişikliği olduğu, beklediğim kargo olduğu için boş bulunarak açtım ve tabii şifrelendim. Çevirmenim, kasım ayından beri çevirdiğim 610 sayfalık bir kitabın son 80 sayfasına gelmiştim. Ama hiçbir şekilde fidyeyi ödemeyeceğim. Bol vaktim olduğu için değil, bilakis hiç vaktim yok, ama alın terimin bir tek damlasını bile fidyecilere yedirmeyeceğim. O yüzden de burada ve başka sitelerde bulduğum bilgilerle ve bu işlerden anlayan kişilerin yardımları sayesinde meseleyi çözmeye çalışacağım.
Buralarda anlatılanlara göre Temmuz 2014 sonrasında düzenlenen saldırılar orijinal Crypto Locker saldırıları değil, çünkü orijinal programı dağıtan Gameover sitesi Operation Tovar'la çökertilmiş ve şifre anahtarları FireEye ve diğer sitede kullanıma açılmış. Bu tarihten sonraki saldırılar Torrent Locker saldırıları, o konuda da çalışmalar yapılıyormuş, çünkü daha zayıf bir programmış, ama sonra birileri programın açıklarını blogunda yayınlayınca program güçlendirilmiş. (Üçüncü linkte anlatılıyor bunlar) Shadow copy alma, sistem kurtarma fasilitesinin bulunduğu windows versiyonlarında Windows XP service pack 2, vista, windows 7 ve 8 (eksik yazmış olabilirim,lütfen üçüncü linki kontrol edin) shadow explorer'ın ya da sistem geri yükleme seçeneklerinin işe yaraması mümkün. bilgi güvenliği linkine göre, shadow dosyalarının da silinmesi mümkün olabiliyormuş, ama bu Torrent Locker için de geçerli bir durum mudur bilemiyorum. Yukarıdaki üçüncü linkte anlatılana göre, Torrent Locker'ın shadow copy'leri silemediği durumlar olabiliyor. Yani denemeye değer bir seçenek.
Ama şifreli dosyaların FireEye ve FoxIt'in verdiği şifrelerle açılması mümkün değil anladığım kadarıyla, çünkü bunlar orijinal CryptoLocker şifreleri. Torrent Locker şifreleri henüz benzer bir operasyonla ele geçirilmiş değil.
Torrent Locker orijinal dosyayı kopyalayıp silerek çalışıyormuş, o nedenle Recuva'nın yanı sıra R-Studio, Photorec gibi programlar da tavsiye ediliyor.
alattin 9 yıl önce
Çok geçmiş olsun. Maalesef bu virüsün pek çok türevi var. Yani Son dönemde yayılan virüs, bir önceki virüsün açıklarının giderilmiş sürümü. Daha önceki saldırıda virüsün barındırdığı bir hatadan yararlanarak dosyaların şifresini çözmek mümkündü. Fakat dönemde rastlanılan virüste bu durum henüz söz konusu değil. Ayrıca Türkiye'de bulunan sürümü yabancı sitelerde yer alan virüsten farklı. Tekrardan geçmiş olsun.
Merhabalar, geçtiğimiz hafta aynı olay iş yerindeki bilgisayarımızda oldu. Sayın site yöneticileri ve işin uzmanı arkadaşlar, henüz bir çözüm bulunmadı mı. Çok önemli dosyalarımız vardı ve hiçbirini kullanamıyoruz. Yeni bir bilgisi olan varsa paylaşırsa çok memnun olurum. Çok teşekkür ederim..Kolaylıklar...
alattin 9 yıl önce
Geçmiş olsun. Maalesef henüz bir çözüm yok. Güncel olarak konuyu takip ediyoruz. Bir gelişme olursa duyuracağız.
Merhaba bugun aynı vırusten bende muzdarıp oldum .sızın soyledıgınız antı vıruslerle temızlık yaptım ekrana cıkan pencere ortadan kayboldu ama en son adım olan FireEye-fox IT scannerı beceremedım. .encrypted uzantılı bır suru dosya var hangısını sececegım. pcden çok fazla anlamıyorum yardım edermısınız
alattin 9 yıl önce
Merhaba, FireEye-fox çözümü CrytoLocker V1 için geçerli bir çözüm. Şuan size bulaşan Cryptolocker virüsü için maalesef bir çözüm yok. Sadece ShawdowExplorer çözümünü deneyebilirsiniz.
kullanici446748 9 yıl önce
bır kurtarma tarıhım yok ama. resımlerımın yedeklerı vardı boyle bıraksam sotun olur mu daha sonraekledıgım resımlerde sorun olur mmu?
alattin 9 yıl önce
Kurtarma tarihi yoksa yapabileceğiniz bir şey yok. Virüsü önce temizleyin. Dr Web ile bilgisayarınızı taratın. Yedekleriniz varmış, bu yedeklerden geri alabilirsiniz.
merhabalar ben buğün cryptolocker belasına maruz kaldım. Virüsü yazılı talimatlara göre bilgisayarımdan temizledim ama dosyalarımı hala açamıyorum. Fire Eye konusunu anlayamadım. başka bir diskte olduğu için Shadow işe yaramadı. Bilgisayarımı formatlamadan bi süre bekleyebilirim. Umut var mı
alattin 9 yıl önce
Geçmiş olsun, FireEye çözümü artık geçerli değil maalesef. Şuan için geçerli bir çözüm yok.
Merhaba. Hala bir çözüm bulunamadı mı bu virüse ? yalnız ben herhangi bir fatura mailine tıklamadım. dosya uzantılarım da değişmedi hala jpg,txt diye. ama her dosyamın içinde help_decrypt var.
hakan 8 yıl önce
Aysegul Hanım, durum biraz karışık. Şuan yüzlerce fidye virüsü türü var. bunlara tek bir çözüm üretmek imkansız. Bu sebepten ancak yerel polis teşkilatı ile yapılan işbirliği ile çözüm üretilebiliyor. Örneğin Hollanda da bu şekilde bir çözüm üretildi. Ama maalesef bizde polisin bildiğim kadarı ile bu yönde bir çalışması yok. Virüsün şifrelediği dosyalar ancak anahtar dosyalar ele geçirilerek çözülebilir.
Merhaba, iki gün önce turkcell fatura dökümü konulu bir maili açan patronum aracılığı ile biz de crypto locker virüsü ile tanıştık. Konu içerisinde anlattığınız alternatif çözüm yolu ile Shadow explorer kullanarak tüm dosyaları geri getirmeyi başardık. Avast, MalwareBytes ve Junkware Removal Tool ile yapılan taramadan sonra son durumumuz şu. Virüsü silip, shadow ile geri getirdikten sonra tüm programlarımız normal çalışıyordu. Ancak bugün office programları bellek yetersiz, pdf programı dosya tanınamadı hatası veriyor. Internet explorer yada mozilla firefox sorunsuz açılıyor, ancak onlarda da farklı site yönlendirmeleri var, chrome hiç açılmıyor. Sanırım avast virüs taramada biraz yetersiz kalıyor. Sanal bellek ayarlarını yükseltmeme rağmen bizim için 1. dereceden önemli olan office dosyalarına ulaşamıyorum. Acaba sizce sorun iyi bir antivirüs yazılımı kullanmamış olmamız mı, yoksa eksik yaptığımız başka şeyler mi var?
hakan 8 yıl önce
Aldığınız bu hataların ya da sistem sorunlarının fidye virüsü ile alakası olduğunu düşünmüyorum. Yüklemiş olduğunuz Avast ve Malwarebytes anti-malware uygulamalarını kaldırın. Malwarebytes anti-malware pro sürümünü aktif hale getirdiyseniz Avast ile çakışıyor olabilir.
taxator 8 yıl önce
Avast ile tarama yaptıktan sonra malwarebytes'ı açmadan avast'ı bir saatliğine devre dışı bırakıyorum. Herhangi bir çakışma olması bu nedenle mümkün görünmüyor. Aklınıza gelen başka bir şeyler olabilir mi acaba?
hakan 8 yıl önce
Görev yöneticisinden aşırı bellek kullanan uygulamaları kontrol edebilirsiniz. Sistem geri yükleme açıksa, sorun olmayan bir tarihe dönebilirsiniz.
taxator 8 yıl önce
Aşırı sanal bellek kullanan bir programım yok, sistem geri yükleme çok mantıklı, zaman ayırdığınız için çok teşekkür ederim.
Merhaba;
Çözüm 1 ve 2 sanıyorum sistem disklerindeki dosyalara derman olarak yazılmış.
Bendeki problem sistemin yüklü olmadığı 2. harddiskimdeki bölümüş alanlardan sadece 1 tanesinde. Aynı diskteki başka bir alanda şimdilik problem yok. Herkesin olduğu gibi manevi değeri çok yüksek fotoğraflar var. Önizlemesi olmayan ve görüntülenemeyen fotoğraflarla ilgili norton, malwarebytes vb taramalar dışında başka bir çözüm var mıdır? paint,photoshop,acdsee ne varsa denedim. .rar dosyaları, videolar da açılmıyor.
alattin 7 yıl önce
öncelikle geçmiş olsun. maalesef 2. disk yani sistem diski dışında gölge kopyaların açık olmadığı sürücülerde dosyaları geri almak mümkün değil. Ben bu konuları güncel tutuyorum ve varsa çözüm paylaşıyorum. Şuan için cryptolocker için bir çözüm yolu maalesef yok.