0
Bilgisayardaki tüm dosyaların uzantısı .shadow oldu. Dosyalar açılmıyor. Dosyaların uzantısı neden durduk yere shadow oldu, bu dosyalar nasıl açılır?
1
Bilgisayarınızdaki tüm dosyaların uzantısı aniden .shadow olduysa bilgisayarınıza fidye virüsü bulaştı demektir. Shadow fidye virüsü bulaştığı bilgisayardaki tüm veri dosyalarının sonuna .shadow ekini ekler. uzantısı shadow olan dosyaları normal yollar ile açmak mümkün değildir.
Shadow fidye virüsü bilgisayara çok farklı yollar ile bulaşabilir. Genelde spam emailler ile gelen ekler yolu ile bulaşır. Yine bir siteden indirdiğiniz sahte program dosyası fidye yazılımının bulaşmasına sebep olabilir. Bazen hiç bir işlem yapmasanızda zararlı kodlar olan bir siteye girmiş olmanız (porno, crack, warez içeren siteler - bazen dizi siteleri) fidye virüsünün bilgisayarınıza bulaşmasına ve dosyalarınızın uzantısının .shadow olmasına sebep olabilir.
Fidye virüsü denen yazılımlar bilgisayardaki güvenlik açığı veya kullanıcının hata yapmasından faydalanarak bilgisayardaki tüm veri dosyalarını (resimler, videolar, belgeler, veritabanları) şifreleyen, şifrenin çözülmesi karşılığında fidye talep eden yazılımlardır. Bilmeniz gereken şifrelenen dosyaları açmak her zaman mümkün değildir. Fidye virüsleri son 5 yıldır ortalıkta olan ve zamanla kendilerini çok geliştiren yazılımlardır. Bu yazılımlar kötü niyetli siber suçlular tarafından geliştirilir ve kullanılır. Fidye virüsleri dünya genelinde milyonlarca dolarlık bir sektörü oluşturur.
Yüzlerce farklı fidye virüsü türü vardır. Bunlardan bazılarına zaman içinde çözüm bulunmuş bazılarına da bulunamamıştır.
Fidye virüslerinde sorun fidye virüsünün temizlenmesi değildir. Fidye virüsü temizlenir. Sorun şifrelenen dosyaların şifresinin çözülmesidir. Virüsün temizlenmesi dosyaların şifresini çözmez. Çoğu zaman virüsün temizlenmesi dosyaların şifrelerinin çözülme ihtimalini de azaltır. Çoğu antivirüs programı fidye notu dosyasını siler. Şifre çözme yazılımları da fidye notu dosyasına veya bir kayıt defteri girdisine ihtiyaç duyar. Bu bilgiler antivirüs tarafından silinirse şifre çözme işlemi zorlaşır veya imkansız hale gelir.
STOP Ramsomware yani STOP fidye yazılımı bulaştığı bilgisayardaki tüm dosyaların uzantısını .shadow olarak değiştirir. Şifrelenen dosyaların olduğu klasörlerde aşağıdaki gibi bir fidye notu bulursunuz:
-------------------------------------------- ALL YOUR FILES ARE ENCRYPTED -----------------------------------------------
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
---------------------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
helpshadow@india.com
Reserve e-mail address to contact us:
helpshadow@firemail.cc
Your personal ID:
<personal ID>
Bu mesajda kısaca şunlar yazıyor:
Panik yapmayın, tüm dosyalarınızı geri alabilirsiniz!
Tüm resim, video, veritabanı ve öteki önemli dosyalarınız güçlü bir şifreleme algoritması ve eşsiz bir anahtar ile şifrelendi.
Şifreleri çözmenin tek yolu şifre çözme aracını ve sizin için üretilen eşsiz anahtarı satın almanız.
Bu yazılım şifrelenen tüm dosyaları çözecektir.
Size ne garanti veriyoruz?
Bize tek bir şifreli dosyanızı yollarsınız biz de şifresini ücretsiz çözeriz.
Fakat tek bir dosyanın şifresini ücretsiz çözeriz. Dosya değerli bilgiler içermemelidir.
3. parti başka yazılımları kullanmak dosyalarınızı tamamen ortadan kaldırabilir.
72 saat içinde bizimle iletişime geçerseniz %50 indirim yapılacaktır.
Bu not fidye notu olarak adlandırılır. Genelde bu notun olduğu dosya !readme.txt adında bir dosyanın içindedir.
Şifrelenen dosyaların adları şu şekilde görünür: IMG-20140908-WA0000.jpg.shadow
Şifrelenen dosyanın adı değiştirilmez fakat uzantının sonuna ingilizce gölge anlamına gelen .shadow eklenir. Burada sadece değişen dosyanın uzantısı değildir. Dosya özel bir anahtar kullanılarak baştan sona şifrelenir. Yani siz dosyanın uzantısını silsenizde bu dosyayı açamazsınız.
STOP Ransomware yeni bir fidye virüsü değil. Daha önceden de farklı varyantları çıkmıştı. Önceki varyantlarında dosyaların uzantısını .SUSPENDED, .DATAWAIT, .INFOWAIT olarak değiştiriyordu. Dr.Web firması bu dosyaların bazılarını çözebildi ve Dr.Web antivirüs lisanslı kullanıcıları bu hizmetten ücretsiz yararlandı.
STOP fidye virüsü, dosyaların uzantısını .shadow yaparken RSA-1024 kullanıyor. Bu şuan için kırılamaz bir şifreleme algoritması.
STOP fidye virüsü farklı dosya uzantıları kullanıyor:
Aşağıda bana bu konu ile ilgili gelen sıkça sorulan sorular listesi yaptım. Sizin de kafanıza takılan bir konu olursa bana ulaşabilirsiniz.
Bu yazının paylaşıldığı tarihte (10 Aralık 2018) dosyaların uzantısını .shadow yapan STOP fidye virüsü için henüz bir çözümü bulunamadı. STOP fidye virüsümü temizlemek kolay fakat şuan için uzantısı .shadow olan dosyaların şifresini fidye ödemeden açmak mümkün değil
Bu doğru değil. Bu veri kurtarma firmaları fidye isteyenlere fidye ödüyorlar ve onlardan aldıkları yazılımı size satıyorlar. Örneğin fidye isteyen siber korsanlar 500TL istiyorsa onlar bu yazılımı size 1500TL'ye satıyorlar. Bu kişi ya da kurumlara karşı uyanık olun. Eğer dosyalar isizin için çok önemliyse mutlaka geri alınması gerekiyorsa mecburen fidye ödeyeceksiniz. Bu durumda fidye ödemenin nasıl yapıldığına dair bilgi sahibi olun. Gerekirse uzmanim.net'ten ücretsiz destek alın, bize yazın.
İlk başta kabul etmesi zor, biliyorum. Fakat şuan için gerçekten tek çare fidye ödemek. Dosyalar sizin için önemli değilse bu sorun değil. Bilgisayarda virüs taraması yapın ya da bilgisayarı formatlayın. Bilgisayarınız temizlensin. uzmanim.net olarak biz 5-6 yıldır kullanıcıları fidye virüslerine karşı bilinçlendirmeye çalışıyoruz. Bugüne kadar yüzlerce kişinin dosyasını bir karşılık beklemeden çözdük, yardımcı olduk. Bir çözüm bulduğumuzda buradan paylaştık. STOP fidye virüsü için de eğer bir çözüm bulursak buradan paylaşacağız. uzmanim.net olarak Malwarebytes, Bitdefender, Dr.Web, Kaspersky gibi pek çok antivirüs / antimalware firması ile görüşüp yazışıyoruz. Onlardan bilgi alıyoruz. Bir çözüm bulduğumuzda da buradan paylaşıyoruz.
Fidye virüsleri bildiğiniz virüsler gibi değil. Şifreleme işlemi bittikten sonra genelde pasif duruma geçerler. Fakat bazıları trojan türü aktiviteler de bulunur. Dosyalarınızı bir USB belleğe alabilir ve bilgisayarı formatlayabilirsiniz. Daha sonra eğer STOP fidye virüsüne çözüm bulunursa dosyalarınızın şifresini çözebilirsiniz.
Fidye virüsüne çözüm bulunacağının bir garantisi yok. Daha önce benzer durumlarda çözümlerin bulunmuşluğu var. Örneğin yakın zamanda GandCrab adındaki fidye virüsüne çözüm bulundu ve şifreli dosyaların şifresi açılabildi. Fakat her durumda böyle bir şey söz konusu olmuyor. Siz dosyalarınız yedekleyin, saklayın. Daha sonra ara ara gelip uzmanim.net'e çözümün bulunup bulunmadığını sorabilirsiniz.
Hayır fidye virüslerini biz yazmıyoruz. Fidye virüsleri başta Çin, Rusya, ABD gibi ülkeler olmak üzere pek çok farklı ülkedeki siber korsanlar tarafından çıkarılıyor. Bu çok büyük bir sektör ve milyonlarda dolarlık bir pazar haline geldi. Amaç çok belli değil mi? Kolay yoldan para kazanmak. Bazen Türkiye'de dahil yerli işbirlikçiler kullanılıyor.
Fidye virüsleri pek çok farklı şekilde sisteme sızabiliyor. Fidye virüsleri ile ilgili burada detaylı bir çözüm paylaşmıştım: Fidye virüsü nedir?
Fidye virüslerinden nasıl korunacağınızı burada anlattım: Fidye virüslerinden nasıl korunurum?
Cevap yazabilmek için üye girişi yapmalısınız.
Eğer uzmanim.net üyesiyseniz giriş yapabilirsiniz: üye girişi yap
uzmanim.net'e üye olmak çok kolaydır: hemen kayıt ol