Dosyaların uzantısı adobe oldu. Ne yapabilirim?

acemiadam (220) 6 yıl önce sordu

Bir arkadaşımın tüm dosyalarının uzantısı .abobe oldu. dosyaların adları da değişti. dosya adı mesela ödevse odev.doc.id.05AB16C2.[stopencrypt@qq.com].adobe oldu. Hiç bir dosya açılmıyor. Sanırım virüs bulaştı. Bu virüsü nasıl temizleriz?

Toplam 1 cevap


alattin (17125) 6 yıl önce cevapladı

.adobe uzantısı, bir fidye yazılımı olan Dharma'ya ait ve güncel bir varyant. Olan şey şu: bilgisayara bulaşan fidye yazılımı tüm veri dosyalarınızı şifrelemiş. Bu sebepten sen o dosyaları açamıyorsun. Şuan için Dharma fidye yazılımının bu sürümü için bir çözüm yolu yok.

Dosyalarını ve şifre notunu saklamanı öneririm. Belki ilerleyen zamanlarda çözüm bulunur.

Daha sonra bu yazıyı okuyan kişiler lütfen cevabın paylaşıldığı tarihi kontrol etsinler. Sonradan çözüm bulunabiliyor. Bunları da uzmanim.net'te paylaşıyoruz.

Aşağıdaki detaylar daha teknik ve fidye virüslerine meraklı kişiler içindir.

Dharma'nın bir diğer adı da CrySiS'tir. 2016 yılından beri pek çok farklı varyantı ortaya çıkmıştır.

Dharma oldukça yaygın görülen bir fidye yazılımı (fidye virüsü diyelim). Dosyalarının arasında bir de fidye notu vardır. Uzantısı HTML veya TXT'dir. Bu dosyayı tıklatığında sana fidye ödemesinin nasıl yapılması gerektiği izah edilmiştir. 

Şuan için uzantısı .adobe olan dosyaların şifresini çözmek mümkün değil. Çok yeni bir varyant henüz bir açığı var mı bilinmiyor.

Dharma, genelde RDP denen uzak masaüstü bağlantı protokolü üzerinden yayılıyor. 

.adobe varyantı geçen hafta tespit edildi. yine geçen hafta başka bir Dharma varyantı dosyaların uzantısını .tron olarak değiştiriyordu..AUDIT ve .cccmn uzantıları da yeni varyant Dharma'ya ait uzantılar.

Dharma bulaştığı sistemde All your files have been encrypted! yani tüm dosyalarınız şifrelendi şeklinde bir mesaj bırakır. Bitcoin ile yapılacak ödeme karşılığında fidyenin çözüleceğini söyler.

Bu tür fidye virüslerinde sorun virüsü temizlemek değil şifrelenen dosyaların şifresinin çözülebilmesidir ki  her zaman mümkün değildir. Çoğu zaman ücretsiz yani fidye ödemeden şifreyi çözmek mümkün değildir.

Dharma farklı zamanlarda farklı uzantılarla karşımıza çıktı:

.id-A04EBFC2.[bitcoin143@india.com].dharma
.id-480EB957.[legionfromheaven@india.com].wallet
.id-EB214036.[amagnus@india.com].zzzzz
.id-5FF23AFB.[Asmodeum_daemonium@aol.com].onion
.id-01234567.[gladius_rectus@aol.com].cezar
.id-01234567.[btc2017@india.com].cesar
.id-BCBEF350.[chivas@aolonline.top].arena
.id-BCBEF350.[cranbery@colorendgrace.com].cobra
.id-406B4F5A.[black.mirror@qq.com].java
.id-30B3DDC1.[mazma@india.com].write
.id-B8F053EC.[marat20@cock.li].arrow
.id-BCBEF350.[Beamsell@qq.com].bip
.id-FCOA3387.[combo@tutanota.de].combo
.id-BCBEF350.[paymentbtc@firemail.cc].cmb
.id-A0B3FFC4.[paydecryption@qq.com].brrr
.id-BCBEF350.[bebenrowan@aol.com].gamma
.id-BCBEF350.[icrypt@cock.li].monro
.id-BCBEF350.[bkp@cock.li].bkp
.id-BCBEF350.[btc@fros.cc].btc
.id-BCBEF350.[decrypt@fros.cc].bgtx
.id-BCBEF350.[decrypt@fros.cc].boost
.id-BCBEF350.[Darknes@420blaze.it].waifu
.id-8ADB6DDA.[WindyHill@cock.li].funny
.id-BCBEF350.[backtonormal@foxmail.com].betta
.id-BCBEF350.[Blacklist@cock.li].vanss
.id-BCBEF350.[GetDataBack@fros.cc].like
.id-BCBEF350.[help@decrypt-files.info].gdb
.id-BCBEF350.[syndicateXXX@aol.com].xxxxx
.id-30CE2F6F.[unlock@fros.cc].lock]
.id-BCBEF350.[decrypt@fros.cc].adobe

Genelde isimlendirme formatı şu şekilde: id-kurbanınID'si.[saldırganin-email adresi].yeni-uzantı

Son dönemde çıkan farklı Dharma varyantlarının şifrelediği dosyaların şifresini çözmek için şuan için bir çözümü yok.

Daha önceki, eski varyantlar için Kaspersky RakhniDecryptor adında bir şifre çözme yazılımı sunulmuştu ve şifreleri çözmek mümkün olmuştu. 

 

hakan 6 yıl önce

Bu aralar yine coştular galiba

alattin 6 yıl önce

@hakan evet dharma patlaması yaşanıyor