Offline Key Online key nedir? Dosyalarım Offline Key ile mi şifrelenmiş nasıl anlarım?

alattin (17125) 5 yıl önce sordu

Fidye virüslerinde sıkça bahsedilen Offine Key nedir? Online Key nedir? Dosyalarım Offline Key ile şifrelendiyse ücretsiz şifre çözmek her zaman mümkün mü?

Toplam 5 cevap


alattin (17125) 5 yıl önce cevapladı

Offline Key Nedir? Online Key nedir?

Offline key nedir, online key nedir anlayabilmek için öncelikle fidye yazılımlarının nasıl çalıştığını anlamanızda fayda var.

Bir bilgisayara fidye virüsü bulaştığında öncelikle Komuta & Kontrol Merkezi denilen siber suçluların bilgisayarlarına bağlanmaya çalışır. Bu bağlantıyı internet üzerinden gerçekleştirir. Eğer fidye virüsü Komuta & Kontrol Merkezine bağlanabilirse buradan sizin bilgisayarınıza özel bir şifreleme anahtarı alır. Bu özel şifrelem anahtarı şöyle görünür:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

İşte Komuta & Kontrol Merkezinden gelen bu özel anahtara Online Key denir. Bu durumda şifreli dosyaların çözülebilmesi için mutlaka bu anahtar gereklidir. Bu anahtar olmadan dosyaların şifresinin çözülmesi imkansızdır. (Eğer RSA gibi bir şifreleme kullanılıyorsa, zaman zaman bazı cesurlar kendi şifreleme algoritmalarını kullanırlar bu durumda kurmak mümkün olabilir)

Bazen fidye virüsü Komuta & Kontrol Merkezine bağlanamaz. Sunucudaki anlık yaşanan sorunlar, kullanıcı internetindeki sorunlar veya fidye virüsünün doğru çalışmaması durumunda şifreleme işlemi Offline Key denen gömülü anahtar ile gerçekleştirilir. Bu daha genel bir araçtır ve fidye yazılımının içine gömülü durumdadır. Bazen tersine mühendislik yöntemleri ile bu anahtar fidye yazılımının içinden çıkarılabilir bu durumda da şifreli dosyaların şifresini çözmek mümkündür.

Dosyalarım Offline Key ile şifrelenmiş mi nasıl anlarım?

En hızlı yöntem C:\SystemID\PersonalID.txt dosyasının içine bakmaktır. Personal ID sonu t1 ile bitiyorsa Offline Key ile şifrelenmiştir ve dosyaların şifresini çözmek mümkün olabilir.

Örnek bir Offline ID

 qLYgtlynVHEM3sgkspEUEIAKN1QO7M9cCGxD4Bt1

Eğer sizinde Personel ID değeriniz t1 ile bitiyorsa Offline Key ile şifrelenmişsiniz demektir.

Bu durumda şu çözüm işe yarayabilir: STOP Fidye (V1) virüsünün şifrelediği dosyalar nasıl çözülür

Örnek Online Key ile şifrelenmiş bir kişinin Personel ID değeri:

5u96U0DMti8qWGZMiANJTfYOUUvyKPuewZt6jvD9 

Bazen kişilerde hem Offline hem de Online Key şifreleme söz konusu olabilir. Bu Fidye virüsü birden fazla çalışmış anlamına gelir.

metehankazanci (1) 4 yıl önce cevapladı

Bana gelende _readme.txt dosyasında bu şekilde yazıyor  "C:\SystemID\PersonalID.txt" bulamadım bu yüzden fidyeyi direk buraya attım kopya dosya olayında zamanında Scorp app'te çalıştığım için raporlar hem pcde hemde mailde duruyordu ordan denediğimde "Invalid file pair; file encrypted by newer version of STOP Djvu" uyarısı aldım Site üstünden check yaptım Fidye notu , şifreli dosya ve mail adresini attım alttaki sonuç geldi acaba bana bunları açıklayabilir misiniz?

"Result:

We have identified "STOP (Djvu)

Please refer to the appropriate guide for more information.

Identified by:

  • ransomnote_email: gorentos@bitmessage.ch
  • sample_extension: .kuub
  • sample_bytes: [0x1BDE38 - 0x1BDE5E] 0x7B33364136393842392D443637432D344530372D424538322D3045433542313442344446357D

Click here for more information about STOP (Djvu)

Case number: bb2b5f62577a2593323562c52bf4c6eae046f9421577745814 "

Bu alttakide fidye mesajı 

ATTENTION!

Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-iBpEhjntw2
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
gorentos@bitmessage.ch

Reserve e-mail address to contact us:
gerentosrestore@firemail.cc

Your personal ID:
0169HydPhhsdeDa2DYbKxKZOI6MzcS4oQgx4jaaKbqbIWQqqMCpl

alattin 4 yıl önce

Metehan, dosyalarınız Online Key ile şifrelenmiş. Şuanda bunları çözmek mümkün değil. Kuub uzantısı için sadece Offline Key ile şifrelendiyse çözüm var.

metehankazanci 4 yıl önce

Online Keylerin hiç çözümü yok mu peki

emre4646 (3) 4 yıl önce cevapladı

Merhabalar Bende .masodas Uzantısı Var Siteden Herşeyi Yaptım Emsisoft Anahtarını İndirdim Fakat Anahtarla Dosyaları Çözmeye Çalıştığımda Anahtarda Finish Yazısını Görüyorum Dosya Çözülüyor 1-2 Saniye Sonra Çözülmüş Olan Kayboluyor Acaba Online Şifrelenmiş Olabilirmi Dosyalarım Ben O Text Dosyasını Bulamadım Silmiş Olabilirim Bakmanın Başka Bir Yolu Varmı?

mlutfu (1) 2 yıl önce cevapladı

Merhabalar. 

Bahsettiğiniz şekilde System ID yi kontrol ettim ve maalesef sonunda t1 yoktu. Sanırım benimkisi online. Öncelikle şunu sormak istiyorum. Bende ki virüsün uzantısı .mmob. Ve virüsü muhtemel 1 Mayıs 2022 de kaptım yani geçen hafta. Bununla ilgili ne yapabiliriz. Bu uzantı ve online şifreleme ile ilgili bir gelişme var mı? 2. Sorum ise benim şifrelenmiş dosyalarımın olduğu klasorlerde fidye virüsün bahsedilen "readme.txt" dosyası hiç yok. Hani "Işte şuraya şu kadar para gönderin falan" denilen. Bu iyiye işaret mi? Geri dönüş sağlarsanız çok sevinirim. Çok çok teşekkürler.

mlutfu 2 yıl önce

Merhabalar. Bahsettiğiniz şekilde System ID yi kontrol ettim ve maalesef sonunda t1 yoktu. Sanırım benimkisi online. Öncelikle şunu sormak istiyorum. Bende ki virüsün uzantısı .mmob. Ve virüsü muhtemel 1 Mayıs 2022 de kaptım yani geçen hafta. Bununla ilgili ne yapabiliriz. Bu uzantı ve online şifreleme ile ilgili bir gelişme var mı? 2. Sorum ise benim şifrelenmiş dosyalarımın olduğu klasorlerde fidye virüsün bahsedilen "readme.txt" dosyası hiç yok. Hani "Işte şuraya şu kadar para gönderin falan" denilen. Bu iyiye işaret mi? Ve Eğer şifreyi çözmenin şimdilik bir yolu yoksa harddiski mi ileride kurtarılabilir diye içinde ki şifrelenmiş dosyalarla bekleteyim mi? ( 1yil - 10 yil). Ya da benimki online olduğu için hiç bir yolu yoksa kurtarma için, şöyle bir yolla acaba dosyaları kurtarabilir miyim? Mesela harici harddiskte ki bütün şifrelenmiş dosyaları silip easeus recovery gibi programlarla kurtarabilir miyim? Yoksa kurtarmayı planladığım dosyalar gene şifreli mi olur? Tavsiyelerinizi bekliyorum. Iyi Çalışmalar.

beyaz0202 (1) 1 yıl önce cevapladı

benim pc me de uzantısı .yzqe olan fidye yazılımı bulastı yaklask 2 tb dosyalarıma hic bir sekilde müdehale edemiyorum fakat tüm kılasörlerin içerisinde _readme.txt dosyası v e bu dosya içerisinde bi dünya yazı var ama en son nott  satırında


( Bu yazılımı almak için e-postamıza yazmanız gerekir:
support@freshmail.top

Bizimle iletişime geçmek için e-posta adresini rezerve edin:
datarestorehelp@airmail.cc

Your personal ID:
0819ASdwx2zqmFxw8ydx3wkiEeNayQ64Eyg2U5MS31sTegt1 )   bu var en son da T1 var ofline sanırım ama fakat bahsedilen 

site = Emsisoft | Djvu Şifre Çözmeyi DURDUR

sorgu yapınca aldığım cevap ==>> Invalid file pair; file encrypted by newer version of STOP Djvu  ( Geçersiz dosya çifti; STOP Djvu'nun daha yeni sürümü tarafından şifrelenmiş dosya ) yani oflinede onlinede kilitlemiş olsa dahi yeni varyanta çare yok şimdilik deniliyor bu gün 10.11.2023 saat 23.40 buna çözüm bulan veya yardımcı olabilecek varmı : nyzmehmet@gmail.com - beyazmehmet8787@hotmail.com 0507 165 48 02

https://www.hizliresim.com/ms1jfdt

alattin 1 yıl önce

Offline görünüyor. Emsisoft için biraz bekleyin. Sizin için gerekli olan anahtar henüz eklenmemiş olabilir.