.CRYPTED virüsü nasıl temizlenir?

.CRYPTED uzantısı nedir?

Son dönemlerde oldukça yayın olan fidye virüslerine bir yenisi daha eklendi. Virüsün adı ise .CRYPTED uzantılı virüs olarak biliniyor. .CRYPTED virüsü, bilgisayarınızdaki dosyaları şifreleyerek karşılığında belirli bir ücret isteyen fidye virüslerinden bir tanesi. Fidye virüslerinin diğer varyasyonlarından farklı olarak .CRYPTED uzantılı virüsün şifrelediği dosyalar çözülebiliyor.

.CRYPTED uzantısı bilgisayarıma nasıl bulaştı?

.CRYPTED virüsü muhtemelen bilgisayarınıza e-posta yoluyla gelen futara, invoice gibi isimlere sahip .zip dosyası ile bulaşmıştır.

E-posta ile bilgisayarınıza yüklenen .zip uzantılı virüs dokümanı içerisinde javascript dosyaları yer alıyor. Javascript dosyaları içerisinde barındırdığı kod sayesinde gerekli verileri indirerek .exe uzantılı yürütülebilir bir dosya oluşturuyor. Ardından şifreleme işlemleri başlıyor ve .CRYPTED virüsü bilgisayarınızdaki hedefinde olan bütün dosyaları şifreliyor.

JS dosyalarının çalışmasının ardından oluşan .exe dosyası %TEMP% klasörüne iniyor.

Şifreleme işlemini başlatan .exe dosyası:

%TEMP%\5021052.exe

%TEMP%\5021052.exe dosyasının çalışmasının ardından .CRYPTED virüsü, hedefindeki dosyaları şifreleyerek uzantısını .CRYPTED olarak değiştiriyor. 

.CRYPTED virüsünün şifrelemek için hedef aldığı uzantılar:

*.zip *.rar *.7z *.tar *.gz *.xls *.xlsx *.doc *.docx *.pdf *.rtf *.ppt *.pptx *.sxi *.odm *.odt *.mpp *.ssh *.pub *.gpg *.pgp *.kdb *.kdbx *.als *.aup *.cpr *.npr *.cpp *.bas *.asm *.cs *.php *.pas *.vb *.vcproj *.vbproj *.mdb *.accdb *.mdf *.odb *.wdb *.csv *.tsv *.psd *.eps *.cdr *.cpt *.indd *.dwg *.max *.skp *.scad *.cad *.3ds *.blend *.lwo *.lws *.mb *.slddrw *.sldasm *.sldprt *.u3d *.jpg *.tiff *.tif *.raw *.avi *.mpg *.mp4 *.m4v *.mpeg *.mpe *.wmf *.wmv *.veg *.vdi *.vmdk *.vhd *.dsk

Şifreleme işlemlerini bitirdikten sonra .CRYPTED virüsü, fidye talebi için gerekli not belgelerini oluşturuyor. Not belgelerinin oluşturulmasının ardından .CRYPTED virüsü, kayıt defterinde girdiler de oluşturuyor.

.CRYPTED virüsünün kayıt defterinde oluşturduğu girdiler:

HKCU\Software\Classes\.2MGvFO
HKCU\Software\Classes\.2MGvFO\	ayC5
HKCU\Software\Classes\ayC5
HKCU\Software\Classes\ayC5\shell
HKCU\Software\Classes\ayC5\shell\open
HKCU\Software\Classes\ayC5\shell\open\command
HKCU\Software\3c1cee05f3
HKCU\Software\Classes\ayC5\shell\open\command\	
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\	[unreadable_char]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted	%Temp%\502105.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\	[unreadable_char]

.CRYPTED virüsünün oluşturduğu dosyalar:

%Temp%\502105.txt
%Temp%\5021052.exe
%LocalAppData%\evum\
%LocalAppData%\evum\1QGNQ.2MGvFO
%AppData%\BlastoffCounterpoiseDissimilitude
%AppData%\ForesideDopattaEmpyrean
%AppData%\gangbang.dll
%AppData%\htmlhelp.title.xml
%AppData%\libertine.dll
%AppData%\minimize_hover.png
%AppData%\System.dll
%Desktop%\Decrypt.txt

.CRYPTED uzantılı şifrelenmiş dosyalar nasıl açılır?

Yazımızın başında belirtmiş olduğumuz gibi .CRYPTED uzantılı virüs, diğer fidye virüslerinden farklı olarak çözülebiliyor. .CRYPTED uzantılı virüsün şifrelediği dosyaları açmak için aşağıdaki bağlantıda bulunan detaylı çözümü uygulayabilirsiniz.

.CRYPTED uzantılı şifrelenmiş dosyalar nasıl açılır?

.CRYPTED gibi fidye virüslerinden nasıl korunurum?

Fidye virüslerinden korunmak için yapılması gerekenleri aşağıdaki bağlantıda yer alan sayfamızda anlattık. Fidye virüslerinden nasıl korunurum? Bağlantısına tıklayarak bilgi edinebilirsiniz.

Fidye virüslerinden nasıl korunurum?

Kaynak: Bleeping Computer