Crypt0L0cker 2017

CryptoLocker 2017

Crypt0L0cker (CryptoLocker) fidye virüsü saldırıları özellikle Türkiye'de hızla devam ediyor. Daha önceki senelere bakıldığında daha global yapılan Crypt0L0cker (CryptoLocker) saldırıları 2017 yılında tamamen Türkiye’ye özel bir saldırı haline geldi.
2017 yılındaki saldırılar genel olarak haftalık ve mail yolu ile gerçekleşiyor. Gönderilen mail ekleri genelde docx uzantılı ve sipariş başlığı taşıyor.

Önemli Not: Ortalıkta tek bir elden yayılan CryptoLocker virüsü yok. Bu virüsün yüzlerce türü var. Bu sebepten kesin çözüm var mı yok mu diye bizden ücretsiz destek talep edebilirsiniz. İletişim bölümünden bize ulaşabilirsiniz. Dosyalarınız sizin için çok önemli bunun farkındayız. uzmanim.net olarak daha önce pek çok fidye virüsü saldırısına çözüm ürettik, yaklaşık 500 bin kişiye yardım sağladık. bu tür bir saldırıya maruz kalırsanız önce bizimle iletişime geçin ve fikrimizi alın.

CryptoLocker 2017 yılındaki saldırılar ile ilgili aklınıza takılan sorulara cevapları aşağıda bulabilirsiniz. Eğer cevabı aşağıda yoksa bize sorabilirsiniz.

TEKNİK DETAYLAR

CryptoLocker 2017 saldırıları nasıl gerçekleşiyor?

Crypt0L0cker saldırıları özellikle Türkiye’de mail yolu ile gerçekleşiyor. Hedef kullanıcılara Sipariş, ekstre, fatura, kargo takip gibi başlıklar ile zararlı kod içeren mailler gönderiliyor.

Artık gönderilen mailler tamamen Türkçe ve kullanıcıları aldatacak şekilde hazırlanıyor.  Aşağıda bazı saldırılarda kullanılan örnek mailleri bulabilirsiniz:

Crypt0L0cker Örnek Mail 1:

Başlık: Kolay Gelsin, siparisler, kontrol edebilir misiniz.
Mail İçerik:Merhaba siparişlerimiz Ek'tedir, kontrol edermisiniz  lütfen. ADRES : ASAGIDIKMEN MAH. ONUR SOK. NO : 458 POLATLI /ANKARA Tel : 312 254 82 7X Fax : 312 654 24 7X
Mail Eki: Bel1.Docx

Crypt0L0cker Örnek Mail 2:

Mail Başlık: Mrblar siparisleri kontrol eder misiniz.
Mail İçerik: Merhaba siparişlerimiz Ek'tedir, kontrol edermisiniz  lütfen. Tel : 312 454 40 17 
Mail Eki: Bel1.Docx

Görüldüğü gibi bu mailler tamamen lokalize edilmiş ve hedef kullanıcıların şüphe duymaması için mail içine sahte telefon numaraları ve adresler yazılmış.

Yine mail eki olarak bir Word belge türü olan .docx uzantılı bir dosya eklenmiş. Mail eki aslında virüsün kendini içermiyor. Virüsün uzak bir sunucudan indirilmesini sağlayan kodu barındırıyor.

Crypt0L0cker 2017 virüs nasıl bulaşıyor?

Mail ekindeki docx uzantılı dosya çalıştırıldığında uzak bir sunucudan Crypt0L0cker’a ait uygulama indiriliyor. Crypt0L0cker virüsü bütün belgeleri şifrelemeye başlıyor.  Crypt0L0cker hedef olarak resim, video, belge, veritabanı gibi dosyaları seçiyor. Şifreleme işlemi bittiğinde şifrelenen dosyaların olduğu klasörlerde Crypt0L0cker SIFRE_COZME_TALIMATI.html ve SIFRE_COZME_TALIMATI.TXT adında iki adet dosya oluşturuyor.

Daha önceki saldırılardan farklı olarak Crypt0L0cker virüsü dosya uzantılarını rastgele oluşmuş 6 karakterden oluşan uzantılar ile değiştiriyor.

Dosyalar belge.docx.irgaki, resim.jpg.eromik gibi uzantılara sahip oluyor.

SIFRE_COZME_TALIMATI.html ve SIFRE_COZME_TALIMATI.TXT içeriği şu metinden oluşuyor

===============================================================================
     !!! Tüm dosyalarınız Crypt0L0cker virüs tarafından şifrelenmiştir !!!
===============================================================================

Bilgisayarınızda, Ağ sürücü ve USB bellek üzerinde olan Sizin için önemli
dosyalarınız: fotoğraflar, videolar ve kişisel bilgiler Crypt0L0cker virüsü
ile sonsuza şifrelenmiştir. Eğer dosyalarınız geri almak istiyorsanız - Bizim
şifreleme çözme yazılımı satın almanız tek olan yoludur. İnternet´te çözüm
bulmak için boşuna zaman harcamayın - şifreleme çözme yazılımı satın alın ve
mutlu bir hayat yaşamaya devam edin.

Yazılım Nasıl Satın Alınır.

Yazılım sitemizden satın alabilirsiniz:
http://x5sbb5gesp6kzwsh.frontymen.pl/hn7s7x.php?user_code=45kgur39&user_pass=1111

Web sitemiz çalışmıyorsa Antivirus tarafından kapatılmış olabilir. Aşağıdaki
adımları yaparak sitemize girebilirsiniz.
1. TOR tarayıcı bilgisayarınıza yükleyin: https://www.torproject.org/download/download-easy.html.en
2. TOR tarayıcı çalıştırın ve başlatma için bekleyin
3. Adres çubuğuna bu site adresi yazın: http://xiodc6dmizahhijj.onion/hn7s7x.php?user_code=45kgur39&user_pass=1111
4. Web sitemize girin

===============================================================================

Crypt0L0cker  Dosyaları nasıl şifreliyor?

Crypt0L0cker  dosyalarınızı AES-256-bit  adı verilen kırılması imkansız bir şifreleme algoritması ile şifreliyor. Şifreleme işlemi bittiğinde şifreli dosyaların çözülmesi için gerekli anahtar saldırganların sunucusuna yükleniyor. Crypt0L0cker, eğer bilgisayar Administrator yetkileri ile kullanılıyorsa, bilgisayardaki dosya yedeklerini, geçmişlerini otomatik olarak siliyor. Böylelikle sistem geri yükleme benzeri çözümler ile dosyaların kurtarılması imkansız hale geliyor.

Fakat Administrator olarak bilgisayarı kullanmıyorsanız o zaman dosyaların kurtarılma imkanı var.

Crypt0L0cker virüsünün şifrelediği dosyaların şifresini çözmek mümkün mü?

Crypt0L0cker virüsünü şifrelediği dosyaları gerekli anahtar olmadan çözmek mümkün değil. Ama bir çözüm yolu var. Eğer yönetici olarak bilgisayar kullanılmıyor ise o zaman  Shadow Explorer ile dosyalarınızı kurtarabilirsiniz.
ShadowExplorer nedir, nasıl kullanılır? buradan öğrenebilirsiniz.

Aksi takdirde gerekli anahtar olmadan şifreleri dosyalar çözülemez.

Crypt0L0cker virüsü nasıl temizlenir?

Crypt0L0cker bulaştıkdan sonra bir virüs gibi hareket etmiyor. Dosyaları şifrelediğinde aslında işi bitmiş oluyor. Bu sebepten dosyaların sizin için bir önemi yoksa, bir antivirüs programı ile bilgisayarınızı taratabilirsiniz. Eğer bu sizin için yeterli olmazsa bilgisayara format atabilirsiniz. Çoğu kullanıcının içi rahat etmetiği için formatı çözüm olarak tercih ediyorlar.

Crypt0L0cker şifre çözme yazılımı satın alsak kesin olarak dosyalarımız çözülür mü?

Bunun bir garantisi yok. Cryptolocker virüs saldırıları tek bir elden çıkmıyor. Parasını yani fidyeyi ödediği halde şifresi çözülmeyen kullanıcı mevcut. Fidye ödeyip dosyalarını kurtaranlarda elbette var. Bu sebepten böyle bir sürece gireceksiniz uzman kişilerden mutlaka destek alın. Crypt0L0cker sonuçta illegal bir yazılım parasını ödediğiniz halde dosyasınız alamayabilirsiniz. Başka bir kurban bu şekilde çözüm sağlamış olsa bile kimse size de çözüm sağlanacağını garanti edemez.

Cryptolocker şifre çözme yazılımı satın alınarak şifre çözülüyorsa, neden biri satın aldığı programı internetten dağıtmıyor?

Korsanlar, cryptolocker şifre çözme yazılımını her bilgisayar için ayrı, özel olarak üretiyorlar. Yani sizin satın aldığınız bir program başka bilgisayarda çalışmayacaktır. Aynı şekilde başkasının aldığı yazılım  sizin bilgisayarınızda çalışmayacaktır.

Internette para karşılığını Cryptolocker ile şifrelenen dosyaları çözdüğünü idda edenler var. Güvenilirler mi?

Hayır. Bu tür kişilere güvenmeyin. AES-256 şifreleme tekniği henüz kırılabilmiş bir yöntem değil. Dünya genelinden bahsediyorum. Eğer böyle bir yetenek olsaydı tüm dünya adını zaten duyardı. O kişide sizin mağduriyetinizden yararlanmaya çalışmazdı. Ortalıkta pek çok dolandırıcı var. Bunlara dikkat etmenizde fayda var. Bu dolandırıcı kişi ya da kurumlar sizin zorda kalmanızı fırsat biliyor. 

Google'da arama yaptığımda pek çok firma "2 saate Crypt0L0cker dosyalarını çözüyoruz" şeklinde reklam vermiş oluyor. Bu doğru mu?

Şifreli dosyaların anahtar olmadan çözülmesi mümkün değil. Peki anahtar kimde? Saldırganların elinde. Bu firma / ya da kurumların çoğu saldırganlara para ödeyerek fidye yazılımını satın alıp, size tekrar satıyorlar.  Bu sebepten bu tür ilanlara güvenmeyin.
uzmanim.net üzerinde paylaşılan tüm bilgiler dünya genelinde araştırılarak paylaşılır. Dünya genelinde antivirüs şirketleri de dahil olmak üzere bu tür bir çözüm üretemediler. Şuan için teknik olarak bu zaten mümkün görünmüyor.

CryptoLocker gibi virüslerin arkasında kimler var? Bu kişiler neden bulunamıyor?

Fidye virüsleri gerçek anlamda, ciddi paraların döndüğü bir piyasa haline geldi. CryptoLocker gibi fidye virüsleri artık kolayca üretilebiliyor. Bunları üretmek için hazır yazılımlar var. Özellikle Rusya ve Çin merkezli saldırganlar Türkiye’yi hedef alıyorlar. Bu kişiler çete vari oluşumlar ile Türk kullanıcıları kurban olarak seçiyorlar. Tüm işlemleri Tor ağı üzerinden yapıyorlar. Tor ağının takip edilmesi en azından ülkemiz için mümkün değil. Bu sebepten kurban kişiler saldırganları yasal mercilere şikayet etse bile bir çözüm bulunamıyor.  

CryptoLocker virüsüne karşı nasıl önlem alırım?

CryptoLocker'a nasıl önlem alırım? CryptoLocker virüsünden nasıl korunurum? Linkindeki yazılanları dikkatlice okursanız virüse karşı nasıl önlem alacağınız konusunda fikir, bilgi sahibi olursunuz.