CryptoLocker virüsü nasıl temizlenir? Şifrelenmiş dosyalar nasıl açılır?

ceyda (312) 10 yıl önce sordu

Geçen gün email adresime TTNET tarafından fatura geldi. Fatura tutarı çok yüksek görünüyordu. Ben de meraktan email içindeki linke tıkladım. http://efatura.ttnet-fatura.com/ gibi bir adrese gittim ve bu sayfadan faturamı indirdim. normal zip uzantılı bir dosyaydı. Zip'i açtım içinden çıkan dosyayı tıkladım. Ne olduysa ondan sonra oldu. Şimdi  tüm word dosyaları, resimler, pdf dosyaları açılmıyor. uzantısına baktık. Hepsi .encrypted  olmuş ve açılmıyordu.

Masaüstüne bir dosya gelmiş. SIFRE_COZME_TALIMATI.html dosyasını açtığımda Uyarı Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir

Bilgisayarınızda ağ disklerde, ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımınını satın almak dosyalarınızı kurtarmak için tek yoldur. aksi takdierde tüm dosyalarınızı kaydebebilirsiniz.

Dikkat CryptoLocker virüsü kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz.

Şifre çözme yazılımını satın almak için tıklayınız

yazıyor ve şuanda hiç bir dosya açılmıyor.

CryptoLocker virüsü nasıl temizlenir? Şifreli dosyaları geri getirmenin bir yolu var mı?

Toplam 26 cevap


alattin (17125) 10 yıl önce cevapladı

Güncelleme: 21 Şubat 2017 

Cryptolocker sayfasını sürekli güncel tutuyoruz.  Bulduğumuz çözümleri paylaşıyoruz. Fakat şuanda yüzlerce cryptolocker türevi var.  Dosyalarınız sizin için önemliyse buraya tıklayarak ücretsiz uzaktan analiz talep edebilirsiniz.
 

Önemli:

Pek çok fidye virüsü olduğu için size bulaşan Cryptolocker olmayabilir. Eğer dosyalarınızın uzantısı .vvv, .ccc.xyz, .zzz, .aaa uzantılı uzantılarından biri ise o zaman şu çözümleri deneyin, kesin çözümdür:

 

 

Yukarıdaki çözümler .vvv,.ccc.xyz, .zzz, .aaa uzantılı dosyaları çözmek için kullanılabilir. Yeni çözümler keşfedikçe uzmanim.net üzerinde yayınlamaya devam edeceğiz.

 

Virüs ile ilgili güncel duyurularımızı ve sisteminizin analiz edilmesi için bizimle iletişime geçebilirsiniz:  

http://www.facebook.com/uzmanim.net

--------------------------------------------------------------------------------------

Aşağıdaki çözüm 1 ve çözüm 2 bölümünde yeralan Kaspersky ve ShadowExplorer ile TTNET Fatura virüsü, PTT Kargo virüsü dosya kurtarma çözümünü deneyebilirsiniz.

Öncelikle geçmiş olsun. Eğer form değiştirmemiş CryptoLocker virüsü ile karşı karşıyaysanız bunun için bir çözüm var.  Öncelikle virüsü temizlemek sorun değil. Sorun olan  .encrypted uzantılı dosyalar yani şifrelenmiş dosyalar.   Daha önceki CryptoLocker  virüsü örneklerinde virüs önemli dosyalarınızı AES-256-bit  ile oldukça güçlü ve çözülmesi imkansız denecek bir şifreleme algoritması ile şifreliyordu. Eğer sizdeki form değiştirmemiş bir CryptoLocker virüsü ise bütün önemli dosyalarınız AES-256-bit ile şifrelenmiş demektir.

Aşağıda iki çözüm mevcut. Size bulaşan virüs farklı bir varyanta sahip olabilir. İkisini de denemenizde yarar var.

CryptoLocker virüsü gibi virüsler fidye virüsü olarak adlandırılır.

 

Geçtiğimiz yaz aylarında FireEye ve FOX IT adlı iki güvenlik şirketi CryptoLocker virüsünün şifrelediği dosyaları ve virüsü analiz ederek, tersine mühendislik yolu ile bir online şifre çözme uygulaması devreye aldılar. Eğer şansınız varsa CryptoLocker virüsünün form değiştirmemiş bir versiyonu ile karşı karşıyasınızdır.

Aşağıda hem CryptoLocker virüsü temizleme hem de şifreli dosyaların nasıl açılacağına dair bir çözüm yolu paylaşacağım. Denemenizde yarar var.

CryptoLocker virüsü nasıl temizlenir?

CryptoLocker virüsü temizleme işlemi iki adımdan oluşacak. Önce virüsün enfekte olduğu sistem temizlenecek daha sonra da şifreli dosyaların şifrelerinin nasıl çözüleceğini anlatacağım. Şuan için CryptoLocker virüsü temizleme için en etkin ve tek geçerli yol olarak bu anlatacağım yöntem söz konusu.

CryptoLocker virüsü şuanda pek çok güncel antivirüs tarafından tespit edilebiliyor ve temizlenebiliyor.

  1. Öncelikle bilgisayarınızı virüs taramasından geçirin. 

    Norton Power Eraser nedir? Nasıl Kullanılır? ile bilgisayarınızı önce taratın. Bu işlemden sonra 

     

    Dr.Web CureIt! nedir? Dr.Web CureIt! nasıl kullanılır? ile bilgisayarınızı tarafın. Daha sonra bilgiayarın tamamen virüslerden arındığından emin olmak için Malwarebytes nedir? Malwarebytes nasıl kullanılır? ile bilgisayarınızı taratın. Burada 3 farklı antivirüs ile taratırmandaki sebep virüsün form değiştirmiş olma ihtimali. Eğer Norton Power Eraser virüsü bulursa ve temizlerse daha sonra sadece Dr Web veya Malwarebytes ile bilgisayarınızı taratmanız yeterlidir.

  2. Daha sonra virüsün etkilediği dosyalardaki şifrelemeyi kaldırmak için aşağıdaki işlemleri deneyin

CryptoLocker virüsünün şifrelediği dosyalar nasıl açılır? 

CryptoLocker virüsü ile şifrelenen dosyalar AES-256 ile şifrelenir. Bu bir şifreleme algoritmasıdır ve AES-256 ile şifrelenen dosyalar  normal koşullarda KEY yani anahtar dosya olmadan açılamazlar. Maalesef ortalıkda tek bir CryptoLocker virüsü yok. Birden fazla taklitçi CryptoLocker virüsü mevcut. Maalesef bu yöntem son zamanlardaki TTNET Fatura virüsü için geçerli değildir.

Çözüm 1: Kaspersky RANSOMWARE DECRYPTOR uygulaması ile şifreli dosyaları çözme

Bir süredir Hollanda polisi ve Kaspersky şirketi birlikte çalışarak şifreli dosyaları çözmek için bir veritabanı oluşturuyorlar.  Polis ile ortak yapılan bu çalışma sonucunda ele geçirilen şifreyi çözmek için gerekli anahtarlar bir veritabanında toplanıyor. Şuanda 14.000'in üzerinde anahtar mevcut. Belki bunlardan birisi şifreli dosyaları çözmeye yardımcı olur. Bu herkeste işe yarayacak bir çözüm değildir. Şansınız varsa sizin için gerekli anahatar ele geçirilen anahtarların arasında vardır.

  1. Şifre çözme uygulamasını buradan indirin.
  2. Şifre çözme uygulaması .zip halinde gelecektir. Zip dosyasını genişletin.(CoinVaultDecryptor.zip)
  3. CoinVaultDecryptor.zip dosyasi içindeki  CoinVaultDecryptor.exe dosyasını iki kere tıklayın ve çalıştırın.
  4. C:\ sürücüsüne Sifreli adında bir klasör açın ve şifreli dosyalarınızı bu klasöre kopyalayın.  Dosyaların uzantısı değiştiyse, örneğin  .encrypted, olduysa bu uzantıları silin. Dosyalar resim.jpg, dokuman.doc gibi olmalıdır. 
  5. Kaspersky CoinVaultDecryptor  uygulamasında ilk ekranda Change Parameters bölümüne tıklayın.
  6. Object to scan bölümünde Folder with encrpted files seçeneğini tıklayın.
  7. OK tıklayın.
  8. Start Scan'i tıklayın.
  9. Warning! ekranında Continue butonuna tıklayın.
  10. Klasöre gözat ekranında Sifreli veya hangi ad ile oluşturduysanız şifreli dosyaları barındıran klasörü seçin.
  11. Tamam'ı tıklayın.

Kaspersky uygulaması dosyalarınızı taramaya başlayacaktır. Eğer veritabanında size ait bi anahtar bulunursa dosyalarınız bu anahtar ile açılacaktır.

Çözüm 2: CryptoLocker ​ virüsü Alternatif çözüm yolu:

 

TTNET Fatura virüsü için bu yöntem denenebilir. TTnet Fatura virüsü normalde kullanıcının yetkisi varsa gölge kopyaları siliyor. Fakat kullanıcınızın yetkisi yoksa silme işlemi başarılı olamıyor ve gölge kopya üzerinden dosyaları kurtarmak mümkün oluyor.

CryptoLocker virüsünden dosyaları kurtarmanın bir diğer yolu Sistem geri yüklemesi oluşturulmuş sistemlerde eski bir tarih üzerinden dosyanın gölge kopyasını almak. Fakat sizde sistem koruması açık ve bir geri yükleme noktası oluşturulmuş olmalı.

  1. ShadowExplorer uygulamasını buradan indirin.
  2. ShadowExplorer uygulamasını kurduktan sonra çalıştırın.
  3. Virüsün bulaşma tarihinden önce bir geri yükleme noktası seçin.
  4. Kurtarmak istediğiniz dosyayı sağ tuşla tıkayın ve Export'u seçin.
  5. Nereye kaydetmek istiyorsanız oraya dosyanızı kaydedin.
     

C: karşısında kayıt göremiyorsanız gölge kopyanız yok veya virüs tarafından silinmiş demektir.  Bu durumda yapabileceğiniz şuan için hiç bir işlem kalmıyor.

CryptoLocker virüsü için şuan en güncel çözüm yöntemleri bunlar. Bunlar dışında farklı çözüm yolları denemek vakit kaybı olacaktır.

 

Çözüm 3 (bu yöntem artık geçersizdir): CryptoLocker virüsünün şifrelediği dosyaların şifresini kaldırmak için aşağıdaki adımları takip edin:

ÖNEMLİ:  Aşağıda anlatılan çözüm CryptoLocker virüsünün ilk sürümüne aittir. Şuanda ikiyüzden fazla CryptoLocker türevi mevcut bu sebepten FireEye çözümü geçerli değildir.

CryptoLocker virüsünün şifrelediği dosya için Private KEY edinme:
Private KEY CryptoLocker virüsünün şifrelediği dosyaları çözmek için gerekli anahtar metindir. Aşağıdaki adımlar ile bu KEY yani anahtarı nasıl oluşturacaksınız bulabilirsiniz.

  1. Buradaya tıklayarak FireEye ve Fox IT web sitesi olan (artık geçerli değil.) decryptcryptolocker web sitesini açın.
  2. Formu doldurun. Email adresinizi yazın. Şifreyi çözmek için gerekli Key dosyası email adresinize gönderilecektir.
    Choose File butonuna tıklayarak .encrypted uzantılı şifreli dosyasınız seçin.
    reCAPTCHA ekranında ekranda resimde gördüğünüz karakterleri Metni Yazın yazan kutuya doğru şekilde yazın.
    Decrypt it! butonuna tıklayın.
  3. CryptoLocker File Upload Succes mesajını göreceksiniz.
  4. Mail adresinizi kontrol edin mail adresinize Results of DeCryptoLocker Service yazılı bir mesaj gelmiş olmalı.
  5. Mailin içinde size ait Private Key bilgisi olacaktır. Private Key aşağıdaki metne benzeyen karakter topluluğudur:
    -----BEGIN RSA PRIVATE KEY-----
    MIICWwIBAAKBgFEFU71H6IvEb1nFqcog3KCnPDWDGNYFkJ+gKOwQ5VOTCOkKjhwv
    W25t6fJaWaEQEDDO0dmk58XFWU5MzYLyGWulgqRalzqe4kM1kZ1MzeL8stMyqfUP
    AwxAtSbwmFEj3swZdulrqK7Mk9izzOqFta7ixOi+HGK+w/pyTF9C/yaJAgMBAAEC
    gYA2ssb/Ec4AlkSqsdTYPmlVGLKAWhppW2ZxLfqSrTF1w92PH24jvyEWI6R+1tqN
    7z9PBEIOktNa5MpPH3Dbh8D69kuWgp7JQBhfyxnK8nRm0DMDO5Wc3RlVhLNTreRP
    KKMwPELRVQEB9ZoLAZxEASkxlOrPAyWHbR4vJoeVrBB+VQJBAJKcIyWYm6y2SwRS
    z7Z4FPPna7RAHkWepEPIgl/+hhYVO6V6rX9dSFHBLg7T+Fx2E/soTsx0+T677v8X
    wQtf0MMCQQCNeQ78LjYQgn5TXJyxxSvofJpMAcsPaa3vLwFyF2f7KQuElzgiXkHJ
    llUzBad2PEAvmq5JpM4bx7/hlf6hfjbDAkAQM/dicVJLLT5vNOPF69GM/zeVDT0L
    PrQy1ZcrGssg56nW6Q8Bs4KJnosDkoOxXE9rA5Jp4EenmkeYo7xvEGDXAkEAid2h
    Zsu50Bj69k3YPb1B7swOqWdN9XUtFVufcwmwQShcmxeqkoN8ZPDlklU+PpC0lC+P
    DSFX4eak7Td47vPKdQJASaalvGHNgwm6HsnxUgz6jT2dmiPBXwY+TfIU1EzbOpJp
    PMiN7YMTmPaAWS6Ldm4Reb4XOc/lMPeWolQflCRisQ==
    -----END RSA PRIVATE KEY-----
  6. Bu, CryptoLocker virüsü'nün şifrelediği dosyayı çözmek için gerekli anahtar metindir.

PRIVATE KEY'i kullanarak CryptoLocker virüsünün şifrelediği dosyaların açılması

 

  1. Buradan CryptoLocker temizleme programını indirin.
  2. İndrmiş olduğunuz dosya Decryptolocker.exe dosyası virüsün şifrelediği dosyaları açacak uygulamadır.
  3. Decryptolocker.exe dosyasını şifreli dosyanın olduğu klasöre kopyalayın.
  4. Örneğin şifreli dosyalarımız Masaüstünde Özel klasöründa olsun. Decryptolocker.exe dosyasını özel klasörünün içine kopyalayın.
  5. Decryptolocker.exe komut satırı uygulamasıdır. Yani bir takım komutlar kullanarak şifre çözme gerçekleşecek.
  6. Komut istemini (CMD.exe) yönetici olarak çalıştırın. Bilmiyorsanız buradan nasıl yapıldığını öğrenebilirsiniz
    Windows 7'de CMD yönetici olarak nasıl çalıştırılır?
    Windows 8'de CMD yönetici olarak nasıl çalıştırılır?
  7. Komut isteminden şifreli dosyanın olduğu klasöre girin. Örnekteki gibi özel klasörüne ulaşmak için şu komutu kullanın. Bu komut siste değişecektir. Örneğin kullanıcı adınız uzmanim.net yerine siz ne ise onu yazın.
    cd   c:\Users\uzmanim.Net\Desktop\Ozel
  8. Daha önce bu klasöre kopyaladığınız Decryptolocker.exe dosyasını çalıştıracaksınız. Şu komutu uygulayın
    Decryptolocker.exe –key “Email ile gelen Key”  Şifrelidosya.doc
  9. Key bölümünü size gelen maildeki aşağıdaki ifadeleride içeren karakter topluluğudur. Örnekteki gibi çift tırnak içinde mailin içindeki KEY'i komuta yapıştırın. Yukarıda örneğini vermiştim.
  10. Kolaylık sağlaması için komutu notepad ile hazırladıktan sonra kopyala-yapıştır yapabilirsiniz.
  11. Komutu uyguladığınızda aşağıdaki gibi bir ekran gelecek bu ekrana YES yazın ve enter tuşuna basın.
  12. Daha sonra ekrana Successfully decrypted file: uzmanim.net.doc gibi bir mesaj gelirse dosyanız kurtuldu demektir.

Baştan da belirttiğim gibi CryptoLocker virüsü farklı şekillerde ortaya çıkabiliyor.  Virüsün enfekte olduğu  her sistem için vir Private Key gereklidir. Birden fazla sistem kullanıyorsanız bu işlemi yani Key alma işlemini tekrat etmeniz gerekecektir.

Ayrıca yukarıda anlatılan yöntem tüm CryptoLocker virüsü türevlerinde başarılı olamayabilir. Lütfen bunu bilerek bu işlemi yapın. Yukarıdaki işlemler sisteminize zarar vermez.  

CryptoLocker virüsü temizlemek ücretsiz bir işlemdir. Yukarıda anlatılan servis ve programlar ücret gerektirmiyor.

Eğer bir klasörü tamamen şifrelemeden kurtarmak istiyorsanız o zaman aşağıdaki komutu kullanın.

Decryptolocker.exe –key “Key” C:\Klasör Adı\*

Eğer bir sürücüdeki tüm CryptoLocker virüsünün etkilediği şifreli dosyaları şifreden kurtarmak istiyorsanız

Decryptolocker.exe –key  “Key” -r C:\

komutunu kullanın.

 Şuan CryptoLocker virüsüne karşı en etkili temizleme ve şifre kaldırma yöntemi yukarıda bahsettiğimm yöntemdir. Bunun dışında yapılacak işlemler dosyalarınıza zarar verebilir. Bu sebepten dosyalarınızı manuel düzenlemeye, değiştirmeye çalışmayın.

CryptoLocker virüsü tarafından şifrelenen dosyaları el ile kurcalamak dosyaların kalısı olarak bozulmasına sebep olur.  Daha sonra bir şekilde Key üretilse bile bozuk dosya da çalışmayacaktır.

CryptoLocker virüsü temizleme ve şifreli dosyaları kurtarma yöntemini olabildiğinde detaylı anlatmaya çalıştım. Aklınıza takılan bir nokta olursa buraya yazabilirsiniz.

[Referans:fireeye.com]

 

Ayrıca konuyu detaylı olarak araştırıyoruz yeni bir çözüm yöntemi bulduğumuzda Facebook sayfamızdan ve buradan duyuracağız.

Önemli Not:  TTnet Fatura virüsüne karşı çözüm geliştirdiğini ortalıkta yazan pek çok sahtekar var. Lütfen bunlara karşı dikkatli olun. Şuan için virüsün bir çaresi yok. 

 

Bana sıkça sorulan bazı soruları soru - cevap şeklinde yanıtmaya çalışayım:

 

Cryptolocker şifre çözme yazılımı satın alsak kesin olarak dosyalarımız çözülür mü?

Bunun bir garantisi yok. Cryptolocker virüs saldırıları tek bir elden çıkmıyor. Parasını yani fidyeyi ödediği halde şifresi çözülmeyen kullanıcı mevcut. Fidye ödeyip dosyalarını kurtaranlarda elbette var.

Cryptolocker şifre çözme yazılımı satın alınarak şifre çözülüyorsa, neden biri satın aldığı programı internetten dağıtmıyor?

Korsanlar, cryptolocker şifre çözme yazılımını her bilgisayar için ayrı, özel olarak üretiyorlar. Yani sizin satın aldığınız bir program başka bilgisayarda çalışmayacaktır. Aynı şekilde başkasının aldığı yazılım  sizin bilgisayarınızda çalışmayacaktır.

Internette para karşılığını Cryptolocker ile şifrelenen dosyaları çözdüğünü idda edenler var. Güvenilirler mi?

Hayır. Bu tür kişilere güvenmeyin. AES-256 şifreleme teknikniği henüz kırılabilmiş bir yöntem değil. Dünya genelinden bahsediyorum. Eğer böyle bir yetenek olsaysı tüm dünya adını zaten duyardı. O kişide sizin mağduriyetinizden yararlanmaya çalışmazdı.

 

toprak34 6 yıl önce

@alattin emsisoft engelliyor mu? Veya sistem geri yükleme ile geçer mi crytolocker?

toprak34 6 yıl önce

Abi bir de sadece e-posta yolu ile mi bulaşıyor, yoksa dosyalardan falan da çıkıyor mu?

alattin 6 yıl önce

@toprak34 emsisoft engelliyor.Benim testlerimde başarılıydı. Sadece email değil toprak web siteleri üzerinden de bulaşabiliyor. Virüs geri yükleme noktalarını siliyor.

darkcrak 5 yıl önce

Tekrar güncellenir'mi

alattin 5 yıl önce

@darkcrak Cryptolockar eski bir fidye virüsü. 200 küsür fidye virüsü var. Tek bir fidye virüsü yok. Bu çözümün güncellenmesi gerekmiyor bu sebepten.

ennginn (1) 10 yıl önce cevapladı

Merhaba, dediğiniz işlemeleri sırası ile uyguladım fakat, vermiş olduğunuz internet sayfasında enfekte olmuş dosyayı gönderiyorum dönen cevap;

"Bu dosya enfekte değildir. Lütfen encrytolocker ile enfekte olmuş bir dosya gönderin." diyor. Ne yapmam gerekli?

ennginn 10 yıl önce

Bu program disklerde sistem geri yükleme açık olan partlarındaki saklı olan virüse maruz kalmamış dosyaları gösteriyor. Sizde üzerine sağ tıklayıp istediğiniz bir yere çıkartıyorsunuz. Dediğim gibi sadece sistem geri yükleme açık olan partlarda bu işlemi yapabiliyor. Kolay gelsin.

alattin 10 yıl önce

Evet e sistem koruması açık ve bir geri yükleme noktası oluşturulmuşsa geri almak mümkün oluyor. Bunu ikinci çözüm olarak ilave ettim.

eroleren (1) 10 yıl önce cevapladı

Merhabalar aynı sorun bende de var sanırım bu virüs CryptoLocker taklidi birşey o nedenle göremiyor olabilir.

alattin 10 yıl önce

Merhaba, dediğiniz gibi pek çok CryptoLocker kopyası ve türevi var. Çözümde de dediğim gibi hepsi için işe yaramayacaktır.

duman333 (1) 10 yıl önce cevapladı

Merhabalar sunmuş Olduğunuz Tüm Çözüm önerilerini uyguladım ama aşagıdaki gibi bir hata alıyorum bilgisayarımda çok çalışma var ve her biri ayrı ayrı klasörlerde ama hiç birisine şifreli dosya bulunamadım hatası vermekte bu konuyla ilgili yardımcı olabilirmisin ciddi sıkıntılı durumdayım şimdiden teşekkür ederim.

 


Dosya CryptoLocker tarafından enfekte görünmüyor. Bir CryptoLocker virüslü dosyayı gönderin.

alattin 10 yıl önce

Geçmiş olsun. Eğer gölge kopya yöntemi sizde çalışmıyorsa üzülerek belirtmeliyim ki şuan için biz çözüm yok. Fakat bir kaç dijital güvenlik şirketi bu konuda çalışıyor. Bir sonuç aldıklarında veya bir araç geliştirildiğinde ancak dosyalarınıza kavuşabileceksiniz.

4d4m1m (1) 10 yıl önce cevapladı

Invalid file.

The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.
hatası alıyorum her seferinde neden böyle bi hata verir :S

hakan 9 yıl önce

Dosyanız sistem tarafından çözülebilen bir CryptoLocker dosyası değil.

asterion (1) 9 yıl önce cevapladı

Merhaba. 

 

https://www.decryptcryptolocker.com/ sitesinden ben de aşağıdaki uyarıyı alıyorum: 

The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.

Son bir günde bir çözüm bulunmuş olma ihtimali var mı acaba?

 

hakan 9 yıl önce

Merhaba, maalesef hâlâ bir çözüm bulunamadı.

adinamapa (16) 9 yıl önce cevapladı

Merhaba,

Uyarıyı almanız çok normal, çünkü son gelen fatura ile bulaşan virüse ait private key yok. Doğal olarak sistem size bu uyarıyı veriyor. Shadow Explorer ile şansınızı deneyin. Onun dışında şu anda son gelen virüsle şifrelenmiş dosyaları açmanın imkanı yok arkadaşlar.  Şu şekilde mümkün olur. Şifrelemeyi yapan hacker, vicdan yapar tamam yeter der ve private keyi internet ortamına bırakırsa evet dosyalarınızı decrypt yapabilirisiniz. Private Key olmadan AES 256'yı kırmak için en iyi ihtimal ile süper bir bilgisayar ve bin yıl gibi bir süre gerekir. Tavsiyem dosyalarınıza hiçbir şekilde müdahale etmeden beklemeniz. Yedek alıp beklemekten başka bir çare yok. 

iomerg (1) 9 yıl önce cevapladı

Yeni yayılan virüs malesef daha çok gelişmiş olan RSA-2048 şifreleme yöntemini kullanıyor ve sayfada verilen decryptcryptolocker.com bu şifreli dosyayı çözemiyor.Henüz bu virüs için hiçbir çözüm yolu yok.O dosya tamamen şifreli bir dosya Anti-Virüs programları temizleyemezler antivirüslerle boşuna cebelleşmeyin.ya 900 TL ödeyip şifreyi çözen yazılımı bize göndermesini bekleyeceğiz.Yada geçmişe bir çizgi çekip dosyaları yeniden oluşturmaya başlayacağız.

kullanici487885 (1) 9 yıl önce cevapladı

Arkadaşlar peki onlerın istediği parayı verip çözme programını satın alan yokmu hiç paylaşsa da herkes faydalansa yoksa her pc deki şifre farklı mı oluyor ? Sadece bir çözüm önerisi benimde iş bilgisayarı o kadar çok önemli evrak varki şuan anlatamam.

cemkara 9 yıl önce

Her bilgisayar için kullanılan key yani çözmek için gerekli anahtar farklı. Biri parayı ödese ve ona key gönderilse bile bu key sizin işinize yaramayacaktır.

magnum007 (1) 9 yıl önce cevapladı

Bende Bu Virüsün Mağdurlarındanım . Hayırda Şerde Allah tan Sabredip Tevekkül ettim .

İnanın Bana Verdiği Maddi Zarar Yaklaşık 15 - 25 Bin Arasında Manevi Zararın Haddi Hesabı Yok. 

Zaman Olarak ta 2 Ay Ziyan ettirdi . 

İstedikleri Parada Komik Bir Rakamdı Mesele o değil ancak Kötülüğe 1 KRŞ prim vermemek lazım . 

HİÇ PİŞMAN DEĞİLİM TEKRAR OLSA TEKRAR TEK KURUŞ VERMEM . ZİRA 

Peygamberimiz (asm) bir hadislerinde şöyle buyurur: “Bir kötülük gördüğünüz zaman elle düzeltin. Buna gücü yetmezse dilinizle düzeltmeye çalışsın. Buna da gücü yetmezse kalben buğzedin. Bu ise imanın en zayıf derecesidir.”

ALLAH BUNU YAPANLARIN CEZASINI VERECEKTİR . 

Allah nasip ederse çözüm bulursam . Paylaşacağım inşallah. 

Ancak Çözüm Şifreyi Çözmek değil Buna Zemin hazırlayan ne varsa Bunun önünü kesmek olacaktır.

ferhat2304 (1) 9 yıl önce cevapladı

Öneriniz doğrultusunda ShadowExplorer programını kullandım ve şu an belgelerimi kurtarmaktayım çok teşekkür ederim. İnşallah diğer arkadaşların sorunu da en kısa zamanda çözülür. Herkese kolaylıklar diliyorum.

alattin 9 yıl önce

Geçmiş olsun, ucuz atlatmışsınız. Çok teşekkürler.

ayseme (1) 9 yıl önce cevapladı

yardımlarınız için öncelikle minnettarım halen dosyaarımı açamadım ancak güvenilir bir site bulmuş olmak en azından içimde bir umut doğurdu..soracağım şu ki explorershadow programını kurdum ancak hiçbir veri bulunmuyor bunun manası gölge dosyalarımın silinmiş olması mı? yoksa programı kurmada hata etmiş olmamam mı?

alattin 9 yıl önce

program normal bir şekilde açılıyorsa, ShadowExplorer ekranı geliyor fakat siz bir yedek göremiyorsanız, yedekleriniz uok ya da virüs tarafından silinmiş demektir. Virüs, eğer kullanıcı bilgisayarı admin yani yönetici yetkileri ile kullanıyorsa maalesef yedekleri de siliyor.

un1967al (1) 9 yıl önce cevapladı

Merhaba ,

Virus PTT uzantılı olarak adresinize gelindi kargonuz teslimedilemedi şeklinde geldi, Ofis olması nedeniyle olabilir duşuncesi ile maili açmış olduk.

Yukarıda belirtmiş olduğunuz aşamaları takip etmeye çalışıyorum fakat Fireeye virus uzantılı dosya gönderemiyorum ekranda 
The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file. şeklinde kayıt çıkıyor. Yardımcı olursanız sevinirim

alattin 9 yıl önce

Geçmiş olsun. Az önce bununla ilgili bazı şikayetler aldık ve virüsü analiz attik. Bununla ilgili detaylı yazımı : http://uzmanim.net/soru/ptt-kargo-takibi-fidye-virusu-nedir-nasil-temizlenir/40050 linkinde bulabilirsiniz.

seryussev (1) 9 yıl önce cevapladı

~~PTT Kargo diye virüs bulaştı...Tüm temizleme işlemlerini arkadaşımızın anlattığı gibi yaptıktan sonra aynı hata ile bende virüs bulaşmış dosya olarak görmediğinden gönderemedim.Ve altlardaki 2. yöntem ShadowExplorer ile tüm dosyalarımı kurtardım.

Sizlerden ve sizin bu sayfayı öneren Rıdvan kardeşimden Allah razı olsun.Bu sahtekarlar yüzünden emeklerimiz saatlerimiz paralarımız gidiyordu. Allah a havale ediyorum gerçi inançları yoktur ama HAKKIMI HELAL ETMİYORUM. Öldükten sonra bunun ne anlama geldiğini anlayacaklar...

Serdar Sevinç

alattin 9 yıl önce

Çok geçmiş olsun, dosyalarınızı kurtarabildiğinize sevindim.

condemned (1) 9 yıl önce cevapladı

Bu adamlar kargo ile işiniz olduğunu bir şekilde öğrenip ona göre mail atiyorlar bugun benimde başıma geldi daha önce ptt kargo ile işim yoktu ve bu ve buna benzer bir mail gelmedi ama bügün itibari ile ir evrak bekliyordum ptt kargodan mailimi açtım ve bu vürüsü malesef bulaştırdım benden bilgilerimi güncellememi aksi halde korgoyu alamayacağim gibi şeyler yazmışlar.

PTT kargo ile benim işimin olduğunu nereden biliyorlar?

condemned 9 yıl önce

Shadow olan yöntemde dosyalarımız c harici bir diskteyse işe yaramıyor benim dosyalarım c haricindeki bir sürücüde ben bu dosyaları shadowa'a gösteremedim.

osmanbiner (1) 9 yıl önce cevapladı

Merhaba, bugün bu kötü olay benimde başıma geldi. Fakat evraklarımı harici diskimede yedeklemiştim. Virüs Harici diskimdeki evraklarımıda şifrelemiş. Eğer ki bilgisayarımdaki evraklarımı geri getiremezsem Harici diskteki şifrelenmiş dosyalarımı geri getirme ihtimalim nedir? Şimdiden teşekkürler.

alattin 9 yıl önce

Virüs bilgisayara takılı harici disklerdeki verileri de şifreliyor. Şuan için bu virüsün şifrelediği dosyaları açmanın bir yolu yok. Daha önce CryptoLocker virüsünün şifrelediği dosyaları açmak , virüsün içerdiği bazı açıklardan faydalanarak, mümkündü. Bu yeni CryptoLocker virüsünde şuan için böyle bir açık bulunamadı.

ebrukilic (1) 9 yıl önce cevapladı

Aynı olay benim başıma salı günü geldi. PTT kargo teslimatınız var postasıyla, üstelik tam da bahsedildiği gibi bir adres değişikliği olduğu, beklediğim kargo olduğu için boş bulunarak açtım ve tabii şifrelendim. Çevirmenim, kasım ayından beri çevirdiğim 610 sayfalık bir kitabın son 80 sayfasına gelmiştim. Ama hiçbir şekilde fidyeyi ödemeyeceğim. Bol vaktim olduğu için değil, bilakis hiç vaktim yok, ama alın terimin bir tek damlasını bile fidyecilere yedirmeyeceğim. O yüzden de burada ve başka sitelerde bulduğum bilgilerle ve bu işlerden anlayan kişilerin yardımları sayesinde meseleyi çözmeye çalışacağım.

Link 1

Link 2

Link 3

Buralarda anlatılanlara göre Temmuz 2014 sonrasında düzenlenen saldırılar orijinal Crypto Locker saldırıları değil, çünkü orijinal programı dağıtan Gameover sitesi Operation Tovar'la çökertilmiş ve şifre anahtarları FireEye ve diğer sitede kullanıma açılmış. Bu tarihten sonraki saldırılar Torrent Locker saldırıları, o konuda da çalışmalar yapılıyormuş, çünkü daha zayıf bir programmış, ama sonra birileri programın açıklarını blogunda yayınlayınca program güçlendirilmiş. (Üçüncü linkte anlatılıyor bunlar) Shadow copy alma, sistem kurtarma fasilitesinin bulunduğu windows versiyonlarında Windows XP service pack 2, vista, windows 7 ve 8 (eksik yazmış olabilirim,lütfen üçüncü linki kontrol edin) shadow explorer'ın ya da sistem geri yükleme seçeneklerinin işe yaraması mümkün. bilgi güvenliği  linkine göre, shadow dosyalarının da silinmesi mümkün olabiliyormuş, ama bu Torrent Locker için de geçerli bir durum mudur bilemiyorum. Yukarıdaki üçüncü linkte anlatılana göre, Torrent Locker'ın shadow copy'leri silemediği durumlar olabiliyor. Yani denemeye değer bir seçenek.

Ama şifreli dosyaların FireEye ve FoxIt'in verdiği şifrelerle açılması mümkün değil anladığım kadarıyla, çünkü bunlar orijinal CryptoLocker şifreleri. Torrent Locker şifreleri henüz benzer bir operasyonla ele geçirilmiş değil. 

Torrent Locker orijinal dosyayı kopyalayıp silerek çalışıyormuş, o nedenle Recuva'nın yanı sıra R-Studio, Photorec gibi programlar da tavsiye ediliyor. 

 

alattin 9 yıl önce

Çok geçmiş olsun. Maalesef bu virüsün pek çok türevi var. Yani Son dönemde yayılan virüs, bir önceki virüsün açıklarının giderilmiş sürümü. Daha önceki saldırıda virüsün barındırdığı bir hatadan yararlanarak dosyaların şifresini çözmek mümkündü. Fakat dönemde rastlanılan virüste bu durum henüz söz konusu değil. Ayrıca Türkiye'de bulunan sürümü yabancı sitelerde yer alan virüsten farklı. Tekrardan geçmiş olsun.

edebikelam (1) 9 yıl önce cevapladı

Merhabalar, geçtiğimiz hafta aynı olay iş yerindeki bilgisayarımızda oldu. Sayın site yöneticileri ve işin uzmanı arkadaşlar, henüz bir çözüm bulunmadı mı. Çok önemli dosyalarımız vardı ve hiçbirini kullanamıyoruz. Yeni bir bilgisi olan varsa paylaşırsa çok memnun olurum. Çok teşekkür ederim..Kolaylıklar...

alattin 9 yıl önce

Geçmiş olsun. Maalesef henüz bir çözüm yok. Güncel olarak konuyu takip ediyoruz. Bir gelişme olursa duyuracağız.

kullanici446748 (1) 9 yıl önce cevapladı

Merhaba bugun aynı vırusten bende muzdarıp oldum .sızın soyledıgınız antı vıruslerle temızlık yaptım ekrana cıkan pencere ortadan kayboldu ama en son adım olan FireEye-fox IT scannerı beceremedım.  .encrypted  uzantılı bır suru dosya var hangısını sececegım. pcden çok fazla anlamıyorum yardım edermısınız

alattin 9 yıl önce

Merhaba, FireEye-fox çözümü CrytoLocker V1 için geçerli bir çözüm. Şuan size bulaşan Cryptolocker virüsü için maalesef bir çözüm yok. Sadece ShawdowExplorer çözümünü deneyebilirsiniz.

kullanici446748 9 yıl önce

bır kurtarma tarıhım yok ama. resımlerımın yedeklerı vardı boyle bıraksam sotun olur mu daha sonraekledıgım resımlerde sorun olur mmu?

alattin 9 yıl önce

Kurtarma tarihi yoksa yapabileceğiniz bir şey yok. Virüsü önce temizleyin. Dr Web ile bilgisayarınızı taratın. Yedekleriniz varmış, bu yedeklerden geri alabilirsiniz.

seyyahkar (1) 9 yıl önce cevapladı

merhabalar ben buğün cryptolocker belasına maruz kaldım. Virüsü yazılı talimatlara göre bilgisayarımdan temizledim ama dosyalarımı hala açamıyorum. Fire Eye konusunu anlayamadım. başka bir diskte olduğu için Shadow işe yaramadı. Bilgisayarımı formatlamadan bi süre bekleyebilirim. Umut var mı

alattin 9 yıl önce

Geçmiş olsun, FireEye çözümü artık geçerli değil maalesef. Şuan için geçerli bir çözüm yok.

mavzer (1) 9 yıl önce cevapladı

Çözüm 2 ile sorunu çözdüm. Tüm dosyalarımı kurtardım açıklama için sonsuz teşekkürler.

alattin 9 yıl önce

Sorunu çözebilmiş olmanıza sevindim. Şanslı azınlıktan birisiniz. Harici bir diske düzenli yedek almayı ihmal etmeyin.

yusuf6554 (2) 9 yıl önce cevapladı

peki satın alırken bitcoine kredi kartı ile para ödedikten sonra dosyalar çözülüp virüsü silip kredi kartından iptal edip masraftan kurtulursak ne olur?

hakan 7 yıl önce

Harika olur, deneyebilirsiniz

aysegulll (1) 8 yıl önce cevapladı

Merhaba. Hala bir çözüm bulunamadı mı bu virüse ? yalnız ben herhangi bir fatura mailine tıklamadım. dosya uzantılarım da değişmedi hala jpg,txt diye. ama her dosyamın içinde help_decrypt var. 

hakan 8 yıl önce

Aysegul Hanım, durum biraz karışık. Şuan yüzlerce fidye virüsü türü var. bunlara tek bir çözüm üretmek imkansız. Bu sebepten ancak yerel polis teşkilatı ile yapılan işbirliği ile çözüm üretilebiliyor. Örneğin Hollanda da bu şekilde bir çözüm üretildi. Ama maalesef bizde polisin bildiğim kadarı ile bu yönde bir çalışması yok. Virüsün şifrelediği dosyalar ancak anahtar dosyalar ele geçirilerek çözülebilir.

taxator (1) 8 yıl önce cevapladı

Merhaba, iki gün önce turkcell fatura dökümü konulu bir maili açan patronum aracılığı ile biz de crypto locker virüsü ile tanıştık. Konu içerisinde anlattığınız alternatif çözüm yolu ile Shadow explorer kullanarak tüm dosyaları geri getirmeyi başardık. Avast, MalwareBytes ve Junkware Removal Tool ile yapılan taramadan sonra son durumumuz şu. Virüsü silip, shadow ile geri getirdikten sonra tüm programlarımız normal çalışıyordu. Ancak bugün office programları bellek yetersiz, pdf programı dosya tanınamadı hatası veriyor. Internet explorer yada mozilla firefox sorunsuz açılıyor, ancak onlarda da farklı site yönlendirmeleri var, chrome hiç açılmıyor. Sanırım avast virüs taramada biraz yetersiz kalıyor. Sanal bellek ayarlarını yükseltmeme rağmen bizim için 1. dereceden önemli olan office dosyalarına ulaşamıyorum. Acaba sizce sorun iyi bir antivirüs yazılımı kullanmamış olmamız mı, yoksa eksik yaptığımız başka şeyler mi var?

hakan 8 yıl önce

Aldığınız bu hataların ya da sistem sorunlarının fidye virüsü ile alakası olduğunu düşünmüyorum. Yüklemiş olduğunuz Avast ve Malwarebytes anti-malware uygulamalarını kaldırın. Malwarebytes anti-malware pro sürümünü aktif hale getirdiyseniz Avast ile çakışıyor olabilir.

taxator 8 yıl önce

Avast ile tarama yaptıktan sonra malwarebytes'ı açmadan avast'ı bir saatliğine devre dışı bırakıyorum. Herhangi bir çakışma olması bu nedenle mümkün görünmüyor. Aklınıza gelen başka bir şeyler olabilir mi acaba?

hakan 8 yıl önce

Görev yöneticisinden aşırı bellek kullanan uygulamaları kontrol edebilirsiniz. Sistem geri yükleme açıksa, sorun olmayan bir tarihe dönebilirsiniz.

taxator 8 yıl önce

Aşırı sanal bellek kullanan bir programım yok, sistem geri yükleme çok mantıklı, zaman ayırdığınız için çok teşekkür ederim.

bydadas (1) 8 yıl önce cevapladı

Teşekkürler

hknmbn (1) 7 yıl önce cevapladı

Merhaba;

Çözüm 1 ve 2 sanıyorum sistem disklerindeki dosyalara derman olarak yazılmış.

Bendeki problem sistemin yüklü olmadığı 2. harddiskimdeki bölümüş alanlardan sadece 1 tanesinde. Aynı diskteki başka bir alanda şimdilik problem yok. Herkesin olduğu gibi manevi değeri çok yüksek fotoğraflar var. Önizlemesi olmayan ve görüntülenemeyen fotoğraflarla ilgili norton, malwarebytes vb taramalar dışında başka bir çözüm var mıdır? paint,photoshop,acdsee ne varsa denedim. .rar dosyaları, videolar da açılmıyor.

alattin 7 yıl önce

öncelikle geçmiş olsun. maalesef 2. disk yani sistem diski dışında gölge kopyaların açık olmadığı sürücülerde dosyaları geri almak mümkün değil. Ben bu konuları güncel tutuyorum ve varsa çözüm paylaşıyorum. Şuan için cryptolocker için bir çözüm yolu maalesef yok.