UmbreCrypt virüsü nasıl temizlenir?

UmbreCrypt virüsü nedir?

Son zamanlarda yaygın olan dosya şifreleme virüsleri bir çok kullanıcının başına dert olmuş durumda. Geçtiğimiz günlerde bu dosya şifreleme virüslerine bir yenisi daha eklendi. Virüsün adı ise bir CrypBoss türevi olan UmbreCrypt virüsü. UmbreCrypt virüsü, AES şifreleme algoritmasını kullanıyor. Hedefindeki cihazların dosyalarını şifreleyen ve hemen ardından ödeme talimatları için bir ekran gösteren UmbreCrypt virüsü için şuan kesin bir çözüm yolu bulunmuyor.

UmbreCrypt virüsü bilgisayarıma nasıl bulaştı?

UmbreCrypt virüsü muhtemelen bilgisayarınıza e-posta yoluyla gelen çeşitli ek dosyaları ile bulaşmıştır. E-posta ile bilgisayarınıza yüklenen virüs dosyaları, içerisinde barındırdığı kod sayesinde bilgisayarınızdaki hedef dosyaları şifreliyor. Aynı zamanda Flash Player üzernde bulunan güvenlik açıkları UmbreCrypt virüsü gibi fidye virüslerinin yayılmak için kullandığı en etkin yöntemlerden bir tanesi. Korsan dizi ve film izleme sitelerinden dosya şifreleme virüslerinin yaygın olduğu bu dönemlerde uzak durmanızda fayda var.

UmbreCrypt virüsü, kullanıcıların şifreleme algoritmasının çalışması için virüs dosyasına tıklanması durumunda cihazda bulunan bütün diskleri tarar. Taramanın sonucunda hedef aldığı dosya uzantılarını AES şifreleme algoritması ile şifreler. Şifrelenen dosyalar aşağıda vermiş olduğumuz örnekteki gibi umbrecrypt_ID_[victim_id] uzantısına sahip olur.

Şifrelenmemiş dosya: uzmanim.net.jpg
Şifrelenmiş dosya: uzmanim.net.jpg.umbrecrypt_ID_abdag113

UmbreCrypt virüsünün şifrelemek için hedef aldığı dosya uzantıları:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .unrec, .scan, .sum, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc, .m3u, .flv, .js, .css, .rb, .png, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .ppt, .xlk, , .xls, .wps, .doc, .odb, .odc, .odm, .odp, .odt, .dx, .mrw, .nef, .tiff, .bd, .tar.gz, .mkv, .bmp, .dot, .xml, .pps, .dat, .ods, .qba, .qbw, .ini.$$$, .$db, .001, .002, .003, .113, .73b, .__a, .__b, .ab, .aba, .abbu, .abf, .abk, .acp, .acr, .adi, .aea,.afi, .arc, , .as4, .asd, .ashbak, .asv, .asvx, .ate, .ati, .bac, .backup, .backupdb, .bak2, .bak3, .bakx, .bak~, .bbb, .bbz, .bck, .bckp, .bcm, .bdb, .bff, .bif, .bifx, .bk1, .bkc, .bkup, .bkz, .blend1, .blend2, .bm3, .bmk, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .caa, .cbk, .cbs, .cbu, .ck9, .cmf, .crds, .csd, .csm, .da0, .dash, .dbk, .dim, .diy, .dna, .dov, .dpb, .dsb, .fbc, .fbf, .fbk, .fbu, .fbw, .fh	, .fhf, .flka, .flkb, .fpsx, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .ghs, .ibk, .icbu, .icf, .inprogress, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbf, .mbk, .mbw, .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .nco, .nda, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nwbak, .obk, .oeb, .old, .onepkg, .ori, .orig, .oyx, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pqb, .pqb-backup, .prv, .psa, .ptb, .pvc, .pvhd, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbx, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb, .rmbak, .rrr, .sav, .sbb, .sbs, .sbu, .sdc, .sim, .skb, .sme, .sn1, .sn2, .sna, .sns, .spf, .spg, .spi, .sps, .sqb, .srr, .stg, .sv$, .sv2i, .tbk, .tdb, .tibkp, .tig, .tis, .tlg, .tmp, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vbox-prev, .vpcbackup, .vrb, .wbb, .wbcat, .wbk, .win, .wjf, .wpb, .wspak, .xbk, .xlk, .yrcbck, .~cw

UmbreCrypt virüsü, hedefindeki dosyaları şifrelemesinin ardından dosyaların şifresini çözmesi için gerekli fidyeyi talep ettiği ekranı otomatik olarak açar. Aynı zamanda ödeme talimatları ve çeşitli hesap bilgilerinin olduğu README_DECRYPT_UMBRE_ID_[victim_id].txt. dosyasını da masaüstünde oluşturur. umbredecrypt@engineer.com ve umbrehelp@consultant.com mail adresleri ile iletişime geçmenizi ve ardından fidye ödemenizi talep eden UmbreCrypt virüsü, ödemeyi yapmadığınız takdirde dosyalarını kalıcı olarak şifreler.

UmbreCrypt virüsünün oluşturduğu dosyalar:

%AppData%\ChromeSetings3264\
%AppData%\ChromeSetings3264\default32643264.bmp
%AppData%\ChromeSetings3264\default432643264.jpg
%AppData%\ChromeSetings3264\[random].exe
%UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].jpg
%UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].txt

UmbreCrypt virüsünün kayıt defterinde oluşturduğu girdiler:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Internet Explorer Update	"[path_to_installer.exe]"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChromeSettingsStart3264	"%AppData%\ChromeSetings3264\wosybiny.exe"
HKCU\Software\Microsoft\Windows\ChromeRandomAdress3264	[random].exe
HKCU\Software\Microsoft\Windows\ChromeSettiings3264	[path_to_installer.exe]
HKCU\Software\Microsoft\Windows\ChromeStarts3264	[path_to_installer.exe]
HKCU\Software\Microsoft\Windows\TRUECRT3264	TrueUMBRE

Ek olarak fidye virüslerinden nasıl korunabileceğinizi aşağıdaki bağlantıya tıklayarak öğrenebilirsiniz.

Fidye virüslerinden nasıl korunurum?

Kaynak: BleepingComputer