PadCrypt virüsü nasıl temizlenir?

PadCrypt virüsü nedir?

Son zamanlarda yaygın olan dosya şifreleme virüsleri bir çok kullanıcının başına dert olmuş durumda. Geçtiğimiz günlerde bu dosya şifreleme virüslerine bir yenisi daha eklendi. Yeni dosya şifreleme virüsünün adı ise PadCrypt. PadCrypt virüsü, AES şifreleme algoritmasını kullanarak bilgisayarınızda bulunan hedef dosyaları kullanılamaz hale getiren bir dosya şifreleme virüsüdür.

Şifrelenen dosyaların açılması için ücret talep eden PadCrypt virüsü, oldukça ilginç bir fidye ödeme sistemi ile karşımıza çıkıyor. PadCrypt virüsü, daha önceki dosya şifreleme virüslerine kıyasla sizinle direkt olarak canlı sohbet özelliği ile iletişime geçiyor. Canlı sohbet özelliği sayesinde PadCrypt virüsü geliştiricileri, dosyalarını şifrelediği kullanıcılar ile çok daha rahat iletişime geçerek dosyaların açılması için yüksek fidye ücretleri talep edebiliyor.

PadCrypt virüsü bilgisayarıma nasıl bulaştı?

PadCrypt virüsü bilgisayarınıza e-posta yoluyla gelen .pdf dosyası ile bulaşıyor. E-posta ile bilgisayarınıza yüklenen .pdf uzantılı virüs, içerisinde barındırdığı kod sayesinde bilgisayarınızdaki hedef dosyaları şifreliyor. 

Ek olarak Flash Player üzerinde bulunan güvenlik açıkları bu tür PadCrypt fidye virüslerinin yayılmak için kullandığı en etkin yöntemlerden bir tanesi. Korsan dizi ve film izleme sitelerinden PadCrypt gibi dosya şifreleme virüslerinin yaygın olduğu bu dönemlerde uzak durmanızda fayda var.

PadCrypt virüsü ilk olarak mail yoluyla gelen .pdf dosyası sayesinde şifreleme algoritmasını çalıştırıyor. PadCrypt virüsü daha sonra şifrelemek için hedef aldığı klasörlerde bulunan dosyaları şifreliyor.

PadCrypt virüsünün hedef aldığı klasörler: 

C:\Users\[login_name]\Downloads, C:\Users\[login_name]\Documents, C:\Users\[login_name]\Pictures, and C:\Users\[login_name]\

PadCrypt virüsü klasördeki dosyaları şifreledikten sonra aynı zamanda C diskini de tarıyor ve ardından dosyaları şifreliyor. 

PadCrypt virüsünün C diskinde şifrelediği dizinler:

C:\Users, C:\NVIDIA, C:\Intel, C:\Documents and Settings, C:\Windows, C:\Program Files, C:\Program Files (x86), C:\System Volume Information, and C:\Recycler

PadCrypt virüsü, hedef aldığı dizinlerdeki dosyaları şifreledikten sonra aşağıda bulunan kodu çalıştırarak sistem gölge kopyalarını da silmektedir. Bu yüzden Shadow Explorer gibi yazılımlar PadCrypt virüsünün şifrelediği dosyaları kurtarmak için başarısız olacaktır.

vssadmin delete shadows /for=z: /all /quiet

PadCrypt virüsü, şifreleme işlemlerini tamamladıktan sonra masaüstünde IMPORTANT READ ME.txt adında bir döküman oluşturuyor. PadCrypt virüsünün oluşturduğu bu dökümanda şifrelenen dosyaların nasıl kurtarılabileceği hakkında çeşitli bilgiler yer alıyor. Dökümanda kısaca şifrelenen dosyaların açılması için fidye talep ediliyor.

Son olarak ise PadCrypt virüsü, fidye ücretinin ödemesi için PadCrypt 2.0 yazılımını çalıştırıyor. PadCrypt 2.0 yazılımı açıldığında şifrelenmiş dosyaların açılması için ödeme yapılması isteniyor.

Şifrelenmiş dosyaların açılması için istenilen fidye ödeme işlemlerinin yanı sıra PadCrypt 2.0 yazılımında canlı sohbet özelliği de bulunuyor. Yazılımın sol alt köşesinde konumlandırılmış Live Chat butonu sayesinde PadCrypt virüsü geliştiricileri ile canlı olarak ödeme konusunda pazarlık yapılabiliyor.

PadCrypt virüsünün şifrelediği dosyalar nasıl açılır?

PadCrypt virüsü henüz çok yeni olduğun için çözümü şuan için yok. Ancak fidye ödemeniz durumunda PadCrypt virüsü bilgisayarınızda oluşturduğu dosyaların içersinde bulunan çözüm aracını çalıştırabiliyor. Yani şuan için şifrelenen dosyaların tek çözüm yolu fidye ücretini ödemek.

PadCrypt virüsünün oluşturduğu dosyalar:

%Desktop%\IMPORTANT READ ME.txt
%AppData%\PadCrypt\unistl.exe
%AppData%\PadCrypt\decrypted_files.dat
%AppData%\PadCrypt\File Decrypt Help.html
%AppData%\PadCrypt\PadCrypt.exe
%AppData%\PadCrypt\Files.txt

PadCrypt virüsünün kayıt defterinde oluşturduğu girdiler:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PadCrypt" = "%AppData%\PadCrypt\PadCrypt.exe"
HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%AppData%\PadCrypt\Wallpaper.bmp
HKEY_CURRENT_USER\Control Panel\Desktop "WallpaperStyle" = 1
HKEY_CURRENT_USER\Control Panel\Desktop "TileWallpaper" = 0

PadCrypt virüsü şifrelediği dosyaların listesini kendi oluşturduğu %AppData%\PadCrypt\Files.txt dosyasında tutuyor. Şifrelenen dosyaların açılması için gerekli anahtarlar ise %AppData%\PadCrypt\data.txt dökümanında bulunuyor.

Aslında şifrelenen dosyaların açılması için gerekli veriler bu dökümanlarda bulunuyor. Ancak bu anahtarların dosyaları açması için gerekli aracı yazılım ise fidye ücreti ödendikten sonra kullanıcıya sunuluyor. Fidye ücreti PadCrypt 2.0 yazılımı ile ödendikten sonra PadCrypt File Decryption Tool yazılımı aktif hale geliyor ve şifrelenen dosyalar açılabiliyor.

Fidye virüslerinden nasıl korunurum?

Fidyecilere ödeme yapmak çözüm mü?

Fidyecilere ödeme yapmanız daha yeni fidye virüslerinin ortaya çıkmasına destek olmak anlamına geliyor.

Fakat dosyalar sizin için önemliyse ve başka bir çözüm yolu kalmadıysa, pazarlık yaparak, fidyeciler ile anlaşmayı deneyebilirsiniz.

Kaynak: BleepingComputer