zzzzz uzantısı nedir, zzzzz uzantılı dosyaların şifresi nasıl çözülür?

alattin (17125) 7 yıl önce sordu

.zzzzz uzantısı nedir?

.zzzzz  uzantılı dosyaların şifresini çözmek mümkün mü?

.zzzzz  virüsü nedir?

Toplam 1 cevap


alattin (17125) 7 yıl önce cevapladı

.zzzzz uzantısı nedir?

.zzzzz dosya uzantısı Locky fidye virüsüne ait yeni bir uzantıdır.

Locky virüsünün yaratıcıları dosya uzantısı değiştirme olayını sevmişe benziyor. Artık neredeyse iki günde bir locky virüsü yeni bir uzantı ile karşımıza çıkıyor. Bu virüs yine daha eski varyantlarında olduğu gibi mail ile yayılıyor.

Aslında .zzzzz virüsün adı değil. Teknik olarak yazılım bir virüs değil. Ama daha önceki çözümlerde de belirttiğim gibi fidye yazılımına maruz kalan kişiler bunu virüs olarak adlandırıyorlar. Bu konudaki araştırmalarını da bunun üzerinden ilerletiyorlar. Bu sebepten bir locky fidye yazılımı uzantısı olan .zzzzz, .zzzzz virüsü olarak adlandırıyorum.

.zzzzz virüsü en yeni Locky varyantı. Locky sürekli uzantı değiştiriyor. 

24 Kasım 2016 tarihinde Locky fidye yazılımının bulaştığı sistemlerdeki dosyaların  uzantılarını .zzzzz uzantısı ile değiştiren  bir varyantı tespit edildi. Locky virüsü nasıl temizlenir? linkinde daha önce Locky virüsüne dair bilgiler paylaşılmıştı.

Locky fidye yazılımı sisteme bulaştığında şu uzantıya sahip dosyaların uzantısını .zzzzz olarak değiştirerek şifreliyor. Bu uzantılar daha önceki locky virüsü sürümlerinde de aynıydı.

 

.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db3, .db_journal, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .ms11 (Security copy), .msg, .myd, .n64, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

Virüs şifrelediği dosyaların adlarını E988-D23A-E23C-9623-34S.zzzzz gibi değiştiriliyor. Ayrıca şifrelenen dosyaların olduğu klasörde _0-INSTRUCTION.HTML, _4-INSTRUCTION.HTML gibi html uzantılı dosyalarınıza ne olduğuna dair bilgilerin olduğu "beni oku" dosyaları oluşturuluyor.

Locky virüsü çoğunlukla SPAM (istenmeyen e-posta) yolu ile yayılıyor. Email adresinize gelen, Fatura, sipariş, Bilgilendirme, Uyarı gibi başlıklara sahip e-postaları açarken dikkatli olmanızı, bu e-postalar ile gelen ekleri açamamanızı öneririm. Mail yolu ile gelen ekler genelde .zip uzantısı ile kullanıcıya ulaştırılıyor.

Gelen .zip dosyası içinde genelde .js uzantılı bir script dosyası bulunuyor. Kullanıcı bu script dosyasını açtığında  uzak sunucudan şifreli bir .dll uzantılı  dosya bilgisayarınıza indiriliyor. Daha sonra bu .dll dosyası Windows'a ait  meşru bir uygulama olan rundll32.exe ile çalıştırılıyor. Bu şekilde Locky fidye virüsü bilgisayarınıza siz farkında olmadan yükleniyor.

Locky virüsü bilgisayara yüklendiğinde yukarıda bahsettiğim dosya türlerine karşı bilgisayarı taramaya başlıyor. Yukarıdaki uzantılara ship dosyalar şifreleniyor ve dosya adı, uzantısı değiştiriliyor. Dosya uzantıları .zzzzz oluyor.

Şifreleme bittiğinde şifrelenen dosyaların olduğu klasörlerde _0-INSTRUCTION.html,1-INSTRUCTION.html, 4-INSTRUCTION.bmp gibi dosyalar oluşturuluyor.

Bu dosyalar içinde IMPORTANT INFORMATION başlığı altında dosyalarınızın RSA-2048 ve AES-128 şifreleme algoritmaları ile şifrelendiği belirtiliyor. RSA-2048 ve AES-128 teknik olarak kırılması imkansız şifreleme algoritmaları.

Daha önceki Locky virüsü ile ilgili çözümlerde belirttiğimiz gibi şifreli dosyların şifrelerinin çözülebilmesi için size ait özel anahtarın olması gerekiyor. Bu özel anahtar virüs tarafından üretilip kendi sunucularına gönderiliyor.

.zzzzz uzantılı dosyaların şifresini çözmek mümkün mü?

RSA-2048 ve AES-128 teknik olarak kırılması imkansız şifreleme algoritmaları. Şifrenin çözülmesi için size ait gizli anahtarın olması gerekiyor ki bu saldırganların kendi bilgisayarlarında saklanıyor. Çoğu senaryoda dosya şifrelerini çözmek mümkün olmasa da gölge kopyalar üzerinden dosyaları kurtarmak mümkün oluyor.