wallet uzantısı nedir? wallet uzantılı şifreli dosyaların açılması mümkün mü?

alattin (17127) 7 yıl önce sordu

wallet uzantısı nedir?

wallet uzantılı şifreli dosyaların açılması mümkün mü?

Toplam 1 cevap


alattin (17127) 7 yıl önce cevapladı

wallet uzantısı nedir?

wallet uzantısı, CryptoMix veya  CryptFile2 fidye virüsüne ait yeni bir uzantıdır. Yeni çıkan CryptoMix fidye virüsü şifreli dosya uzantılarını .wallet olarak değiştiriyor.

Daha önce farklı fidye virüsleri .wallet uzantısını kullanmıştı (Dharma /Crysis, Sanctions). Bu durum kurbanın hangi fidye virüsünün saldırısına uğradığının tespitini zorlaştırıyor.

Yeni sürüm CryptoMix şuanda nasıl yayılıyor elimizde net bir bilgi yok. Fidye virüsü sisteme bulaştığında 16 haneli kullanıcıya özgü bir kimlik ve bir şifreleme anahtarı oluşturuyor. Bunu daha sonra bağlı olduğu komuta & kontrol merkezine gönderiyor.

 

Daha sonra bilgisayarı şifreleme için taramaya başlıyor. Daha önceki sürümlerden farklı olarak bu fidye virüsü dosya uzantısını dikkate almıyor. Fakat şu klasördeki dosyaları şifrelemiyor:

WINDOWS, PACKAGES, COOKIES, PROGRAMDATA, MICROSOFT, BOOT, APPLICATION DATA, WINNT, INETCACHE, NVIDIA, SYSTEM VOLUME INFORMATION, $RECYCLE.BIN, TEMP, PROGRAM FILES, PROGRAM FILES (X86), CACHE, TEMPORARY INTERNET FILES, WEBCACHE, ve APPDATA

Wallet tüm dosyaları AES şifreleme yöntemi ile şifreliyor. Dosya adlarının içine @usa.com gibi bir mail adresi ve 16 karakterli kurbana ait bir id yerleştiriyor. Dosya adındaki email adresi @hoist.desi veya @life.com gibi değişebiliyor. Sonrada dosyanın uzantısını .wallet yapıyor.

Örneğin test.jpg dosyasının adı gfdr.wst.[shieldo@usa.com].Id[1234567890123456].wallet şeklinde değişiyor.

Wallet aynı zamanda paylaşımlı ağı da tarıyor ve bulduğu dosyaları şifreliyor.

Şifrelelen her klasörün içine #_RESTORING_FILES_#.TXT adında bir dosya oluşturuyor.

Diğer CryptoMix türevlerinden farklı olarak bir HTML dosyası oluşturmuyor.

Wallet tüm bu işlemlerden sonra ekrana sahte bir mesaj getiriyor:

Explorer.exe - Application Error: The instruction at 0xe9c71f6c referenced memory at 0x00000000C. The memory could not be read.

Click on Yes in the next window for restore work explorer.exe.

Kullanıcı bu ekranda OK tıklarsa fidye virüsü WMIC'e erişiyor ve  bcedit çalıştırarak gölge kopyaları siliyor.

Bu sahte uyarı ekranı kullanıcı YES butonuna basana kadar devam ediyor.

 

#_RESTORING_FILES_#.TXT  dosyasının içinde şu mesaj var:

All your files have been encrypted!
 All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail shield0@usa.com 
 Write this ID in the title of your message 0ABCF2F2BCBEF350
 You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
 Free decryption as guarantee
 Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information.
 (databases,backups, large excel sheets, etc.) 
 How to obtain Bitcoins
 The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
 http://localbitcoins.com/buy_bitcoins 
 Also you can find other places to buy Bitcoins and beginners guide here:
 http://www.coindesk.com/information/how-can-i-buy-bitcoins 
 Attention!
 Do not rename encrypted files. 
 Do not try to decrypt your data using third party software, it may cause permanent data loss.
 Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

 

wallet uzantılı şifreli dosyaların açılması mümkün mü?

Evet artık dosyaların şifresini çözmek mümkün: wallet uzantılı dosyaların şifresi nasıl çözülür? linkinden şifrenin nasıl çözüldüğünü öğrenebilirsiniz.

Şuan için .wallet uzantılı şifreli dosyaları açmanın bir yöntemi yok. Fakat dosyalarınızı saklamanızı öneririz. 

Daha önceki CryptoMix fidye virüsüne çözüm bulunmuştu: CryptoMix fidye virüsünün şifrelediği dosyalar nasıl açılır?

Yeni varyant CryptoMix için de çözüm bulunabilir. Bu sebepten dosyalarınızı saklamanızda fayda var.