NanoLocker virüsü ile şifrelenmiş dosyalar nasıl açılır?

NanoLocker virüsü nedir?

Son zamanlarda yaygın olan dosya şifreleme virüsleri bir çok kullanıcının başına dert olmuş durumda. Geçtiğimiz günlerde bu dosya şifreleme virüslerine bir yenisi daha eklendi. Virüsün adı ise NanoLocker. Neyse ki NanoLocker virüsü, daha önceki dosya şifreleme virüslerine kıyasla daha kolay bir şifreleme algoritması kullanıyor.

NanoLocker virüsü bilgisayarıma nasıl bulaştı?

NanoLocker virüsü, e-mail yolu ile gelen .pdf dosyası sayesinde bilgisayarınızdaki dosyaları şifreleyebiliyor. Bu .pdf dosyasını açmak istediğiniz karşınıza sahte bir hata mesajı çıkıyor. NanoLocker virüsü sahte hata mesajı sayesinde içerisinde barındırdığı algoritmayı çalıştırarak dosyalarınızı şifreliyor.

Daha sonra NanoLocker virüsü, şifrelediği dosyaları açmak için görseldeki gibi ekran açıyor ve sizden ücret talep ediliyor. Ücreti ödemediğiniz takdirde NanoLocker virüsü dosyaları şifreliyor.

NanoLocker virüsünün şifrelediği dosya uzantıları:

*.jpg,  *.jpeg,  *.tif,  *.bmp,  *.max,  *.accdb,  *.dbf,  *.mdb,  *.pdb,  *.sql,  *.*sav*,  *.*spv*,  *.*grle*,  *.*mlx*,  *.*game*,  *.*slot*,  *.dwg,  *.dxf,  *.cpp,  *.php,  *.asp,  *.java,  *.jar,  *.class,  *.aaf,  *.aep,  *.aepx,  *.plb,  *.prel,  *.prproj,  *.aet,  *.ppj,  *.psd,  *.indd,  *.indl,  *.indt,  *.indb,  *.inx,  *.idml,  *.pmd,  *.xqx,  *.eps,  *.svg,  *.swf,  *.fla,  *.doc,  *.dot,  *.docx,  *.docm,  *.dotx,  *.dotm,  *.docb,  *.rtf,  *.wpd,  *.wps,  *.msg,  *.pdf,  *.xls,  *.xlt,  *.xlm,  *.xlsx,  *.xlsm,  *.xltx,  *.xltm,  *.xlsb,  *.xla,  *.xlam,  *.xll,  *.xlw,  *.ppt,  *.pot,  *.pps,  *.pptx,  *.pptm,  *.potx,  *.potm,  *.ppam,  *.ppsx,  *.ppsm,  *.sldx,  *.sldm,  *.wav,  *.aif,  *.iff,  *.mid,  *.mpa,  *.wma,  *.avi,  *.mov,  *.mpeg,  *.asf,  *.asx,  *.flv,  *.mpg,  *.wmv,  *.vob,  *.csv,  *.efx,  *.sdf,  *.vcf,  *.xml,  *.crt,  *.pem,  *.cer,  *.pfx,  *.odt,  *.ods,  *.odp,  *.odm,  *.odb,  *.odc,  *.xlk,  *.dxg,  *.pst,  *.mdf,  *.cdr,  *.arw,  *.dng,  *.rar,  *.zip,  *.srf,  *.bay,  *.crw,  *.dcr,  *.kdc,  *.erf,  *.mef,  *.mrw,  *.nef,  *.nrw,  *.orf,  *.raf,  *.raw,  *.rwl,  *.ptx,  *.pef,  *.srw,  *.der

NanoLocker virüsü, diğer fidye virüslerine göre daha basit bir algoritma kullanıyor. Şifrelediği dosyaları açmak için oluşturduğu anahtarı yine kendi oluşturduğu bir dosyada saklıyor. Deşifre için gerekli dosya ise %LocalAppData%\lansrv.ini dizininde bulunuyor.

NanoLocker virüsünün oluşturduğu dosyalar: 

C:\Users\User\AppData\Local\lansrv.exe
C:\Users\User\AppData\Local\lansrv.ini
C:\Users\User\Desktop\ATTENTION.RTF

NanoLocker virüsünün kayıf defterinde oluşturduğu girdi:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LanmanServer 

NanoLocker virüsünün şifrelediği dosyalar nasıl açılır?

NanoLocker virüsünün şifrelediği dosyaları açmak için aşağıdaki adımları uygulayabilirsiniz.

1. NanoLocker_Decryptor dosyasını linke tıklayarak indirin.
2. İndirmiş olduğunuz NanoLocker_Decryptor .zip dosyasının içinde bulunan .exe uzantılı dosyayı C diskine atın.
3. Daha sonra yönetici olarak CMD (komut satırı) açın.
4. Komut satırına aşağıda vermiş olduğumuz örnekteki gibi öncelikle .zip uzantılı dosyadan C diskine çıkartmış olduğunuz NanoLocker_Decryptor.exe dosyasını yazın. Daha sonra şifrelenmiş dosyanın yolunu, deşifre edilecek dosya dolu ve adını girin. Son olarak ise deşifre için gerekli olan lansrv.ini dosyasının yolunu yazın. 
   
   
   
   İkinci örnekte vermiş olduğum satırları kendi dosya yolunuza göre düzenleyerek CMD ekranına girin.

NanoLocker_Decryptor.exe [Şifrelenmiş dosya yolu] [Deşifre edilecek dosya yolu ve adı] [lansrv.ini dosya yolu]

NanoLocker_Decryptor.exe "C:\Users\Public\Pictures\Sample Pictures\Desert.jpg" "C:\Users\Public\Pictures\Sample Pictures\Desert-good.jpg" %userprofile%\appdata\local\lansrv.ini

Tüm bu adımların ardından NanoLocker virüsünün şifrelediği dosyalar açılacaktır.

Ek olarak fidye virüslerinden nasıl korunabileceğinizi aşağıdaki bağlantıya tıklayarak öğrenebilirsiniz.

Fidye virüslerinden nasıl korunurum?

Kaynak: BleepingComputer