Locky virüsü nasıl temizlenir?

0

Locky virüsü nedir?

Locky virüsü nasıl temizlenir?

.locky uzantılı şifrelenmiş dosyalar nasıl açılır?

Locky virüsü ile şifrelenmiş dosyalar nasıl açılır?

brsozl brsozl (1951)
4 yıl önce sordu

    Toplam 1 Cevap


    0

    Locky virüsü nedir?

    Son zamanlarda yaygın olan dosya şifreleme virüsleri bir çok kullanıcının başına dert olmuş durumda. Geçtiğimiz günlerde bu dosya şifreleme virüslerine bir yenisi daha eklendi. Virüsün adı ise Locky. AES şifreleme algoritmasını kullanan Locky virüsü, daha önceki dosya şifreleme virüslerine göre oldukça profesyonel bir şekilde hazırlanmış gibi gözüküyor.

    Locky virüsü bilgisayarıma nasıl bulaştı?

    Locky virüsü, bilgisayarınıza e-posta adresinize gelen ATTN: Invoice J-98223146 başlıklı mail aracılığıyla bulaşıyor. Bu mailin içerisinde bulunan  ATTN: Invoice J-98223146.doc uzantılı Word dosya eki Locky virüsünün ta kendisi.

    email-message

    E-posta aracılığıyla gelen ATTN: Invoice J-98223146.doc uzantılı dosya açıldığında ise karşınıza şifrelenmiş, okunmaz bir doküman açılıyor. Bu okunamaz haldeki ATTN: Invoice J-98223146.doc dosyası sizden makroları etkinleştirmeniz için bir uyarı açıyor.

    word-document

    Kurban makroları etkinleştirdikten sonra Locky virüsü, uzak sunucudan gerekli dosyalarını indiriyor.

    Locky virüsü, şifreleme işlemini başlatmak için indirdiği gerekli dosyalarını %Temp% klasöründe tutuyor. Gerekli dosyalarının tamamlanması durumunda ise Locky virüsü şifreleme işlemerini başlatıyor.

    word-macro

    Locky virüsüATTN: Invoice J-98223146.doc uzantılı belgenin makrolarının etkinleştirilmesinin ardından bilgisayarın tüm sürücülerini tarayarak hedefinde olan dosya uzantılarını şifreler.

    Locky virüsünün şifrelediği dosya uzantıları:

    .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
    


    Locky virüsünün bulaştığı dosya yolu ve klasör isimleri:

    tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows


    Locky virüsü şifrelediği dosyaların ismini de değiştirmektedir. Örneğin uzmanim.net.jpg uzantılı bir dosya Locky virüsü ile şifrelendikten sonra F67091F1D24A922B1A7FC27E19A9D9BC.locky olarak değişiyor.

    Ek olarak Locky virüsünün aynı zamanda ağda bulunan dosyaları da şifrelediğini söyleyelim.

    Locky virüsü, hedef aldığı dizinlerdeki dosyaları şifreledikten sonra aşağıda bulunan kodu çalıştırarak sistem gölge kopyalarını da silmektedir. Bu yüzden Shadow Explorer gibi yazılımlar Locky virüsünün şifrelediği dosyaları kurtarmak için başarısız olacaktır. 

    Locky virüsünün gölge kopyalarını silmek için çalıştırdığı kod:

    vssadmin.exe Delete Shadows /All /Quiet


    Locky virüsü bütün bu şifreleme algoritma işlemlerini tamamladıktan sonra masaüstünde _Locky_recover_instructions.txt adında bir doküman oluşturacaktır. Bu dokümanda Locky virüsü, şifrelediği dosyalar hakkında bilgi vermektedir.

    Locky-ransom--note

    Locky virüsü bilgisayarınız duvar kağıdını da değiştirmektedir. Locky virüsü bulaşan bilgisayarlarda duvar kağıdı aşağıdaki gibi görünmektedir.

    Locky-Wallpaper

    Locky virüsünün şifrelediği dosyalar nasıl açılır?

    Locky virüsü, şifrelediği dosyaları açmak için _Locky_recover_instructions.txt dosyasında verdiği Tor Browser ile bağlanılabilen bir web sayfası üzerinden bitcoin satın alarak ödeme yapmanızı istiyor. Eğer kurban istenilen ödemeyi gerçekleştirirse Locky virüsü, kendi çözüm aracını aktif hala getirir.

    Locky-decrypter-page

    Locky virüsü henüz çok yeni olduğun için çözümü şuan için yok. Ancak fidye ödemeniz durumunda Locky virüsü çözüm aracını çalıştırabiliyor. Yani şuan için şifrelenen dosyaların tek çözüm yolu fidye ücretini ödemek.

    NOT: Çeşitli fidye virüslerinden nasıl korunabileceğinizi aşağıdaki bağlantıdan öğrenebilirsiniz.

    Fidye virüslerinden nasıl korunurum?

    Ana dosyaların tutulduğu klasör ve yollar:

    %UserpProfile%\Desktop\_Locky_recover_instructions.bmp
    %UserpProfile%\Desktop\_Locky_recover_instructions.txt
    %Temp%\[random].exe


    Locky virüsünün oluşturduğu kayıt defteri girdileri:

    HKCU\Software\Locky
    HKCU\Software\Locky\id
    HKCU\Software\Locky\pubkey	
    HKCU\Software\Locky\paytext
    HKCU\Software\Locky\completed	
    HKCU\Control Panel\Desktop\Wallpaper	"%UserProfile%\Desktop\_Locky_recover_instructions.bmp"


    Fidyecilere ödeme yapmak çözüm mü?

    Fidyecilere ödeme yapmanız daha yeni fidye virüslerinin ortaya çıkmasına destek olmak anlamına geliyor.

    Fakat dosyalar sizin için önemliyse ve başka bir çözüm yolu kalmadıysa, pazarlık yaparak, fidyeciler ile anlaşmayı deneyebilirsiniz.

    Kaynak: BleepingComputer

    brsozl brsozl (1951)
    4 yıl önce cevaplandı

      üyelik gerektirir

      Cevap yazabilmek için üye girişi yapmalısınız.

      Eğer uzmanim.net üyesiyseniz giriş yapabilirsiniz: üye girişi yap
      uzmanim.net'e üye olmak çok kolaydır: hemen kayıt ol