Keyholder virüsünün şifrelediği dosyalar nasıl açılır?

zeds (3) 8 yıl önce sordu

Öncelikle durumu izah edeyim 2 hafta önce 6 senedir gitmediğimiz derman aramadığımız hergün onunla beraber biraz daha eksildiğimiz annemi tüm çabalarımıza rağmen kaybettik annem vefat etti bunun üzerine elimde tek kalan hatıralarımızı bi gözden geçirmek istedim eski güzel günlerimize bakıp mutlu olacaktım güya daha çok kahroldum 1.5 senedir hiç klasörünü bile açmadığımı farkettim bütün anılarımız KEYHOLDER denen lanet virüs ile kaplanmış 3 gündür araştırmadığım site kalmadı hiç biri sonuca götüremedi beni. annemden bana tek kalan o güzel anılarımız 500 $ karşılığında şifrelenmiş uzantıları değişmemiş 2014ün 12. ayında bulaşmış bu virüs kahroluyorum günlerdir bunun bir yolu var mıdır yıllar önce yedeklemek için dvd yapmıştım onları da bulamıyorum annemin sesini unutmak istemiyorum benim o videolara fotoğraflara ihtiyacım var lütfen yardımcı olur musunuz 

hakan 8 yıl önce

@alattin hocam

alattin 8 yıl önce

sağol @hakan

Toplam 5 cevap


candan (4301) 8 yıl önce cevapladı

öncelikle geçmiş olsuk kesinlikle  para ödeme paranıda alırlar birde üstelik dosyalarınızı açmazlar dosyalarınızın uzantısı nedir o önemli buraya yazın çaresi bulunur uzmanım net hiç menfaat gözetmeksizin

burda üye arkadaşların sorunlarını çözüyor

zeds 8 yıl önce

Dosyaların uzantısı değişmemiş jpeg formatında hepsi

candan 8 yıl önce

@alattin hocann tarifini uygulamaktan başka çare gözükmüyor şu an için

candan 8 yıl önce

sizin orşinal dosyalar silinmiş o dosyaları recuva programı ile geri kurtarabilirsiniz

candan 8 yıl önce

EasyRecovery Professional deneyebilirsin format atılan bilgisyardan veri kurtarabiliyor

alattin (17127) 8 yıl önce cevapladı

Öncelikle annenizin mekanı cennet olsun, sizlere de sabır diliyorum.

KeyHolder Ransomware eski bir fidye virüsü olmakla beraber bugüne kadar KeyHolder Ramsomware'in şifrelediği dosyaları çözen bir uygulama ortaya çıkmadı.

Fakat KeyHolder günümüz fidye virüslerinden farklı bir şekilde çalışıyordu.  KeyHolder  şu şekilde işliyor

  • Orjinal dosyayı kopyala
  • Kopyalanan dosyayı şifrele
  • Orjinal dosyayı sil.

Bu aslında dosyalarınızı kurtarmak için size bir şans sunuyor. Eğer dosyaların üzerine yazılmamışsa silinen dosyaları geri alabilirsiniz.

Öncelikle Recuva ile derin tarama (deep scan) yapmanızı tavsiye ederim: Silinen dosyaları geri getirme linkinde Recuva daha önce anlatılmıştı.

Yine eğer Gölge kopyalar duruyorsa ShadowExplorer ile verileri kurtarmayı deneyebilirsiniz: ShadowExplorer nedir, nasıl kullanılır?

Bu tür programlara aşina değilseniz mutlaka yanınızda tecrübeli biri olsun ve programları o kullansın. Mümkünse program kurulumlarını USB harici diske yapmanız iyi olacaktır, bu şekilde veri kayıplarının önüne geçebilirsiniz.

Yine eğer programlar diskte kurtarılacak veri bulursa, bu verileri de mutlaka başka bir diske kurtarın. Kurtarma yapılan diskin üzerinde işlem yapmayın.

zeds 8 yıl önce

Sağolun Allah razı olsun. ShadowExplorer ile denedim fakat şöyle bi sorunumuz var D diskinde hiç gölge kalmamış çünkü bundan 3-4 ay önce bilgisayarım arızalanınca tamirciye götürdüm o da anakart değiştirip format atmış C'de gölge dosyaları görürken D'de gösterilecek hiçbir şey bulamıyor

temmuz 8 yıl önce

Sağol @alattin Anlaşılıyorki Sistem Geri Yükleme Shadow Explorer fonksiyon ve benzerlikleri, daha açık şekliyle Sistem Geri Yükleme ile alınan sistem imajıyla Shadow Explorer gölge kopyalar ilişkisi/benzerliği tamda benim düşündüğüm (yada tahmin ettiğim) gibi oluyor. Sistem Geri Yükleme uygulamasının virüs tarafından işlemez hale getirilmesi vaziyetlerinde Shadow Explorer programından faydalanılır. İkiside aynı sonucu elde eder, sonuç farketmez. Yani kutarılmak istenen şifrelenmiş dosyalar her iki uygulama ile kurtarabilir ama Shadow Explorer bu kutarmada daha elverişli ve daha garantilidir (Sistem Geri Yükleme virüslerden daha çok etkilenir, işlemez hale gelme ihtimali daha fazladır. Herhalde sende bunları ifade ediyordun yaptığın ekte, öylemi?.). Ayrıca bence Shadow Ekplorer ile sadece ihtiyaç olan dosya ve klasörler kurtarılabilirken Sistem Geri Yükleme tüm sistemi geri alıyor, belki çok gerekli olmayan bu haliyle hem zaman kaybı hemde belki kaybedimek istenmeyen son değişikliklerde kaybedilmiş olabiliyor. Birde Shadow Explorer gölge kopyalaması Sistem Geri Yükleme geri alma noktalarına göre daha uzun vadeli, daha eski tarihli olabiliyor herhalde. Buda önemli başka bir avantaj oluyor haliyle.

temmuz 8 yıl önce

Birde @alattin Acronis True İmage ile alınan sistem imajlarını (*.*tib dosyalarını) sormuş ve bununla ilgili bazı düşündüklerimi ifade etmiştim. Eğer Sistem Geri Yükleme Shadow Explorer fonsiyonları arasında bir alaka ve benzerlikler oluyorsa herhalde Acronis True Image mevzuuda aynı olmalı, öylemi? Birde bu hususta bilgi ve düşündüklerini aktarırsan.. :)

temmuz 8 yıl önce

Üçüncüsüde diyelim ve devam edelim @alattin :) Herhalde Shadow Explorer'da Sistem Geri yüklemenin yapmadığı/yapamadığı gibi sabit disk windows yüklü bölümü (C:) harici yedek alamıyor (yada gölge kopyalama yapamıyor) öylemi? Eğer öyleyse bu kötü. Zira mesela ben, windows çökmelerinde kaybetmemek için, böyle bir riske karşı önemli kişisel dosyalarımı ve arşivimi daima sabit disk D: bölümünde bulundururum. Herhalde birçok kullanıcıda haliyle bu şekilde yaparlar. Eğer Shadow Explorer D: bölümü gölgesini alamıyorsa bu halde konrunması gereken kişisel dosyarın o bölümde (D:) bulundurulmasıda riskli oluyor.

temmuz 8 yıl önce

Acronis mevzuuna bir görüşüm olarak ilave ediyorum eğer alakalı hususta işe yarıyorsa bu programın windows sürümü değilde bootable sürümünün kullanılması düşünülmeli veya tercih edilmelidir. Zira windows sürümü virüsten etkilenebilir ve çalışmaz hale gelebilir. Bootable sürümde ise bu asla olmaz.

alattin 8 yıl önce

@Temmuz 1) ShadowExplorer ile sistem geri yükleme aynen dediğin gibi benzer. yine belirttiğin gibi ShadowExplorer ile istenilen dosya gölge kopyadan çıkarılabiliyor. Bu önemli bir fark. 2)Acronis ile alınan imajları silen bir ramsomware henüz görmedim. Acronis programı sistem geri yüklemeden bağımsız çalışıyor. Ramsomware yazılımların doğrudan hedef olarak sistem geri yükleme mekanizmasını hedef alıyorlar. Her ihtimale karşı alınan yedekler bilgisayara sürekli bağlı olmayan bir diskte tutulursa iyi olur. Fidye virüslerini yayan kişiler her sürümde yeni dosya uzantıları ve özellikleri ekliyorlar 3) Sistem geri yükleme aslında adından da anlaşılacağı gibi sistemi yani işletim sisteminin yüklü olduğu sürücüyü koruma amaçlı düşünülmüş bir özellik. Önemli olan dosyalar bilgisayara sürekli bağlı olmayan harici bir diske belirli aralıklar ile yedeklenmeli. En kesin çözümlerden biri bu.

temmuz 8 yıl önce

Tamam @alattin, sayende alakalı hususlarda bölük pörçük ve daha çok tahminlerden oluşan görüş ve düşüncelerim netleşti; bütünlüklü hale geldi. Teşekkür ediyorum. Seninde dediğin şekilde en iyi tedbir önemli dosyaların bir harici diskte arşivlenmesi ve yedeklenmesi. Bende aynen böyle yapıyorum zaten. Ayrıca herhalde unutmamak lazımki sistemde fidye virüsü ile şifrelenmiş dosyaların Shadow Explorer vasıtasıyla gölge dosyalardan geri alınmasından önce sistemdeki alakalı virüs temizlenmeli; etkisiz hale getirilmeli. Yoksa gölgeden alınan dosyalarr-da aynı akibete uğrayabilir. Şu durumda alakalı olarak tam bilemediğim tek husus kaldı ki o da C: haricinde disk bölümlerinde gölge dosyaların oluşup oluşmadığıdır. Ama ben bunu sorarken esasen bunun olamayacağını, C: haricinde gölge dosyaların oluşmayacağını düşünüyorum. Nasılki Sistem Geri Yüklemesi sadece windows yüklü disk bölümler (C:) haricinde olamıyorsa aynı şekilde.. Tekrar teşekkür ediyorum hocam :)

alattin 8 yıl önce

@temmuz Ramsomware yani fidye virüsleri ile ilgili şöyle bir durum var. Sadece ilk bulaştıklarında tüm dosyaları şifreliyorlar. Yani sistemde başka dosyalara bulaşıp daha sonra aktif olma gibi bir özellikleri yok. Elbette şuan için böyle. İlerde gerçek anlamda virüs gibi işleyen ve sistemde kalıcı olan bir tür çıkabilir. Yedek çok önemli. Rica ederim her zaman :)

temmuz 8 yıl önce

Fidye virüslerinin bir defalık etkide bulunduğu ve daha sonra sistemde varlığını sürdürse bile bu halde etkisiz/fonksiyonsuz kaldığını doğrusu bilmiyordum. Belki açtığın alakalı konularda bunuda belirtmiştin ama herhalde bu teferruat benim gözümden kaçmış olmalı. Hayret, böylesi önemli birteferruata nasılda dikkat etmemişim. Alakalı olarak öğrenmem gerekenleri genel anlamda öğrenebildiğimi düşünüyorum. Bir tek sabit diskin windows yüklü bölümleri haricinde (varsa diğer bölümlerde) dosyaların gölge kopyalarının alınıp alınamadığı hususu kaldı ama herhalde o bölümlerde gölge kopyalama olamıyor. Sistem Geri Yüklemenin sadece C: üzerinde çalışıyor ve fonksiyon gösteriyor olması gibi.. Ayrıca zaten benim ShadowExplorer denemelerimde hiç C: harici bölümlerde gölge dosyalar hiç görülemedi. Seni yorduğumun farkındayım @alattin. Mevzuyu genel hatlarıyla anlayabildiğimi düşünüyorum, daha fazlasınıda zaman içerisinde nasıl olsa öğreniriz. Kendine iyi bak :)

alattin 8 yıl önce

@temmuz fidye virüsleri bulaştıklarında otomatik olarak dökümanları şifreliyor, şifreleme işleminden sonra şifreyi çözmek için gerekli anahtarı kendi sunucularına gönderiyor. Bu işlemden sonra otomatik olarak gölge kopyaları siliyorlar. Bu aşamada başka dosyalara kendini bulaştırmak gibi bir eylemleri yok. Çünkü bu durumda sistem stabilitesini bozarak çalışamaz hale getirebilirler. Bu da asıl amacı yani kullanıcıdan fidye talep etme durumuna zarar verebilir. Varsayılan olaran sadece sistem sürücüsü için sistem koruması açık olduğu için diğer sürücülerde sistem koruması çalışmıyor. Ama sistem sürücüsünde sistem koruma açıksa diğer sürücüler için de sistem koruma açılabiliyor. Sistem sürücüsü hariç diğer sürücüler için bu işlemi el ile yapmak gerekiyor. Umarım su şimdi açıklayıcı olmuştur :)

temmuz 8 yıl önce

Evet, @alattin , bu defa herhalde tam olarak (daha doğrusu yeterli ölçüde) anladım. Şöyleki; Sistem Geri Yükleme uygulamasında sistem sürücüsü harici sabit disk bölümleri (D: vs) koruma açık hale getirilirse (..ki genellikle buna gerek görülmez) o sürücülerdede gölge kopyalama olabiliyor. Yoksa olamıyor. Herhalde doğru anlamıştırım, öylemi? :) Sevgilerimle.. Kolay gelsin. :)

alattin 8 yıl önce

@temmuz aynen doğru anlatabilmişim bu sefer :)

zeds (3) 8 yıl önce cevapladı

dosyaların uzantısı değişmemiş jpeg formatında hepsi. açtığımda sadece bu fotoğrafın görüntülenemediğini falan söylüyor

atavistic 8 yıl önce

başka bir programla açmayı deneyebilirsin...

atavistic (7) 8 yıl önce cevapladı

başka bir program ile açmayı deneyebilirmisin? belki olur.(annenin mekanı cennet olsun..)

temmuz (12505) 8 yıl önce cevapladı

Annen için başın sağolsun. Sabırlar dilerim.

Kayıp ve şifreli dosyalar meseleside gerçekten çok üzücü. Ama bunların fidye ödenmeden kurtarılması maalesef imkansız gibi. Zira aradan çok zaman geçmiş olabilir ve belki bu sebeple  fidye ödenmesini kabul etmek bile çözüm sağlamayabilir (Yada üç kağıt yapabilirler, oyun oynayabilirler, aldatma yoluna gidebilirler).

Hep olumsuz düşünceler belirttim ama bana göre vaziyet gerçekten ve maalesef böyle.

Ayrıca yinede çözüm araştırırsın/araştıralım ama verdiğin bilgiler tam açık değil. Bazı şeyler pek anlaşılamayabiliyor. Veya ben şu şekilde anlıyor ve soruyorum:

Kayıp/şifrelenmiş dosyaların orjinal yeri sabit disk üzerinde C: bölümünde değil D:'de idi öylemi?

Birkaç ay önce sabit disk bölümlerinin tamamına format atılmıştı ve yeni işletim sistemide yüklenerek bu PC aylardan beri bu şekilde kullanılmaktaydı, öylemi?

ShadowExplorer ile baktığında sadece C: bölümündeki dosyaların gölgesini/yedeğini görebilmektesin ve D bölümü boş olarak görülmekte, öylemi?

Hiç belirtmemişsin ama C: bölümü gölgesi yedeklenme tarihide öyle aylar öncesi ve bir, birbuçuk sene öncesi tarihler değil, yakın bir geçmiş olmalı, öylemi?

Bunları açık olarak belirtirsen çözüm yolunda belki daha sağlıklı adımlar atabiliriz veya çözüm olabilirmi olamazmı tam olarak anlarız.

Bu arada şunlarıda belirtmeliyimki birkaç ay önce formatlanmış ve format sonrası yeni işletim sistemi kurularak aylarca kullanılmış sistemden format öncesi dosyalara erişmek vede onları geri  getirmek imkansız gibidir veya belki sadece pek azı ancak kurtarılabilir (Sadece tesadüf olarak sabit disk üzerinde üzerine yeni dosyalar yazılmayanlar olabilir).

Birde şunu bilmeliyizki, ShadowExplorer'ın senin sistemde gösterdikleri sadece windowsun bilinen Sistem Geri Yükleme uygulaması vasıtası ile yedek oluşturmasıyla eşit ve ortak zamanlı alınan yedeklerin dosyalar/klasörler şekliyle olan halidir. Bunları zaten Sistem Geri Yükleme ile kayıtlı geri alma noktasından geri almabilmen mümkün olur. Yani ShadowExplorer'ın gösterdiği gögelenmiş yedekler Sistem Geri Yükleme ile alınmış yedeklerden farklı olmayıp tersine aynı dosyaların yedeğini ihtiva etmektedir. ShadowExpoler'ın bu yedeklerin geri alınmasında kullanıcı bakımından Sistem Geri Yüklemeye göre bir avantajı vardırki o da Sistem Geri Yükleme kayıp/bozuk bölümü bir bütün halinde geri getirirken ShadowExplorer'da bu, istenen dosya ve klasörlerin seçilerek onların geri getirilebilmesini mümkün hale getirmesidir.

Ve herhalde ShadowExplorer uygulaması sadece sabit disk C: bölümünde gölge kopyalar alabiliyorken bu fonksiyon D: ve/veya C: haricinde diğer disk bölümlerinde işlemiyor; bu bölümlerde gölge kopyalamalar yapamıyor.

Üstteki sorularımdan sonra belirttiklerimin bir kısmı kesin bilgiler olmayıp @alattin arkadaşımızın açmış olduğu ShadowExplorer konusu altında sorarak öğrenmeyi, alakalı bildiklerimi geliştirmeyi arzuladığım şeylerdi ama @alattin hoca bunları belki açıklama ihtiyacı hissetmedi, belki sorularım gözünden kaçtı. Sonuç olarak bende konunun tam hakimi değilim bildiklerimin ve düşündüklerimin teyide ihtiyacı bulunuyor.

Belki vesile olur bu defa @alattin alakalı hususlarda  bizi tatminkar bilgilendirir. Onada burdan selamlarımızı iletmiş olalım :)

Ama tüm bunlardan sonra ve eğer yeni gayretlerde sonuç vermezse artık küçük bir şans olsada fidyeyi ödemeni tavsiye ediyorum. Belki verdiğin parada boşa gidecek, dolandırılacaksın ama eğer gerçekten fidyeci korsanlar sözlerini yerine getirerirlerse vazgeçilmez olduğunu belirttiğin şifreli dosyalarının orjinaline/şifresiz haline yeniden kavuşabileceksin. Bunun için bir miktar para kaptırma riski göze alınabilir diye düşünüyorum ve eğer benzer bir vaziyette olsaydım ben bunu yapabilirdim (Aman fidyeci korsanlara mesaj olmasın).