Teşekkur: 0
Beğeni: 0
Laptop'ta cryptolocker virüsünden nasıl kurtulabilirim.
Merhaba saygı değer arkadaşlar, çok yakın bir arkadaşımda kullandığı bir laptop var, ve yaklaşık 1 ay önce laptop'a cryptolocker virüsü bulaştı, bende bilgisayara format attım. 1 hafta geçtikten sonra yine aynı virüs bulaştı. sonra yine format atıp aldı. eve gider gitmezde 20 dakika sonra yine aynı virüs geri geldi. ilk önceki işletim sistemi win 8 son yüklediğim sürümde win 8 sizce bu virüsten nasıl kurtarabiliriz.
LEBEN ?
CryptoLocker virüsü ile karşı karşıyaysanız bunun için bir çözüm var. Öncelikle virüsü temizlemek sorun değil. Sorun olan .encrypted uzantılı dosyalar yani şifrelenmiş dosyalar. Daha önceki CryptoLocker virüsü örneklerinde virüs önemli dosyalarınızı AES-256-bit ile oldukça güçlü ve çözülmesi imkansız denecek bir şifreleme algoritması ile şifreliyordu. Eğer sizdeki form değiştirmemiş bir CryptoLocker virüsü ise bütün önemli dosyalarınız AES-256-bit ile şifrelenmiş demektir.
Aşağıda iki çözüm mevcut. Size bulaşan virüs farklı bir varyanta sahip olabilir. İkisini de denemenizde yarar var.
CryptoLocker virüsü gibi virüsler fidye virüsü olarak adlandırılır.
Geçtiğimiz yaz aylarında FireEye ve FOX IT adlı iki güvenlik şirketi CryptoLocker virüsünün şifrelediği dosyaları ve virüsü analiz ederek, tersine mühendislik yolu ile bir online şifre çözme uygulaması devreye aldılar. Eğer şansınız varsa CryptoLocker virüsünün form değiştirmemiş bir versiyonu ile karşı karşıyasınızdır.
Aşağıda hem CryptoLocker virüsü temizleme hem de şifreli dosyaların nasıl açılacağına dair bir çözüm yolu paylaşacağım. Denemenizde yarar var.
CryptoLocker virüsü nasıl temizlenir?
CryptoLocker virüsü temizleme işlemi iki adımdan oluşacak. Önce virüsün enfekte olduğu sistem temizlenecek daha sonra da şifreli dosyaların şifrelerinin nasıl çözüleceğini anlatacağım. Şuan için CryptoLocker virüsü temizleme için en etkin ve tek geçerli yol olarak bu anlatacağım yöntem söz konusu.
CryptoLocker virüsü şuanda pek çok güncel antivirüs tarafından tespit edilebiliyor ve temizlenebiliyor.
1.Öncelikle bilgisayarınızı virüs taramasından geçirin.
Norton Power Eraser nedir? Nasıl Kullanılır? ile bilgisayarınızı önce taratın. Bu işlemden sonra
Dr.Web CureIt! nedir? Dr.Web CureIt! nasıl kullanılır? ile bilgisayarınızı tarafın.
Daha sonra bilgiayarın tamamen virüslerden arındığından emin olmak için Malwarebytes nedir? Malwarebytes nasıl kullanılır? ile bilgisayarınızı taratın. Burada 3 farklı antivirüs ile taratırmandaki sebep virüsün form değiştirmiş olma ihtimali. Eğer Norton Power Eraser virüsü bulursa ve temizlerse daha sonra sadece Dr Web veya Malwarebytes ile bilgisayarınızı taratmanız yeterlidir.
2.Daha sonra virüsün etkilediği dosyalardaki şifrelemeyi kaldırmak için aşağıdaki işlemleri deneyin
CryptoLocker virüsünün şifrelediği dosyalar nasıl açılır?
CryptoLocker virüsü ile şifrelenen dosyalar AES-256 ile şifrelenir. Bu bir şifreleme algoritmasıdır ve AES-256 ile şifrelenen dosyalar normal koşullarda *** yani anahtar dosya olmadan açılamazlar. Maalesef ortalıkda tek bir CryptoLocker virüsü yok. Birden fazla taklitçi CryptoLocker virüsü mevcut. Maalesef bu yöntem son zamanlardaki TTNET Fatura virüsü için geçerli değildir.
Çözüm 1: Kaspersky RANSOMWARE DECRYPTOR uygulaması ile şifreli dosyaları çözme
Bir süredir Hollanda polisi ve Kaspersky şirketi birlikte çalışarak şifreli dosyaları çözmek için bir veritabanı oluşturuyorlar. Polis ile ortak yapılan bu çalışma sonucunda ele geçirilen şifreyi çözmek için gerekli anahtarlar bir veritabanında toplanıyor. Şuanda 14.000'in üzerinde anahtar mevcut. Belki bunlardan birisi şifreli dosyaları çözmeye yardımcı olur. Bu herkeste işe yarayacak bir çözüm değildir. Şansınız varsa sizin için gerekli anahatar ele geçirilen anahtarların arasında vardır.
1- 1.Şifre çözme uygulamasını buradan indirin.
Bu Linki Görmeniz İçin SupersatForuma Uye Olmanız Gerekmektedir.
2.Şifre çözme uygulaması .zip halinde gelecektir. Zip dosyasını genişletin.(CoinVaultDecryptor.zip)
3.CoinVaultDecryptor.zip dosyasi içindeki CoinVaultDecryptor.exe dosyasını iki kere tıklayın ve çalıştırın.
4.C:\ sürücüsüne Sifreli adında bir klasör açın ve şifreli dosyalarınızı bu klasöre kopyalayın. Dosyaların uzantısı değiştiyse, örneğin .encrypted, olduysa bu uzantıları silin. Dosyalar resim.jpg, dokuman.doc gibi olmalıdır.
5.Kaspersky CoinVaultDecryptor uygulamasında ilk ekranda Change Parameters bölümüne tıklayın.
6.Object to scan bölümünde Folder with encrpted files seçeneğini tıklayın.
7.OK tıklayın.
8.Start Scan'i tıklayın.
9.Warning! ekranında Continue butonuna tıklayın.
10.Klasöre gözat ekranında Sifreli veya hangi ad ile oluşturduysanız şifreli dosyaları barındıran klasörü seçin.
11.Tamam'ı tıklayın.
Kaspersky uygulaması dosyalarınızı taramaya başlayacaktır. Eğer veritabanında size ait bi anahtar bulunursa dosyalarınız bu anahtar ile açılacaktır.
Çözüm 2: CryptoLocker virüsü Alternatif çözüm yolu:
TTNET Fatura virüsü için bu yöntem denenebilir. TTnet Fatura virüsü normalde kullanıcının yetkisi varsa gölge kopyaları siliyor. Fakat kullanıcınızın yetkisi yoksa silme işlemi başarılı olamıyor ve gölge kopya üzerinden dosyaları kurtarmak mümkün oluyor.
CryptoLocker virüsünden dosyaları kurtarmanın bir diğer yolu Sistem geri yüklemesi oluşturulmuş sistemlerde eski bir tarih üzerinden dosyanın gölge kopyasını almak. Fakat sizde sistem koruması açık ve bir geri yükleme noktası oluşturulmuş olmalı.
11.ShadowExplorer uygulamasını buradan indirin.
Bu Linki Görmeniz İçin SupersatForuma Uye Olmanız Gerekmektedir.
2.ShadowExplorer uygulamasını kurduktan sonra çalıştırın.
3.Virüsün bulaşma tarihinden önce bir geri yükleme noktası seçin
4.Kurtarmak istediğiniz dosyayı sağ tuşla tıkayın ve Export'u seçin.
5.Nereye kaydetmek istiyorsanız oraya dosyanızı kaydedin.
C: karşısında kayıt göremiyorsanız gölge kopyanız yok veya virüs tarafından silinmiş demektir. Bu durumda yapabileceğiniz şuan için hiç bir işlem kalmıyor.
CryptoLocker virüsü için şuan en güncel çözüm yöntemleri bunlar. Bunlar dışında farklı çözüm yolları denemek vakit kaybı olacaktır.
Çözüm 3 (bu yöntem artık geçersizdir): CryptoLocker virüsünün şifrelediği dosyaların şifresini kaldırmak için aşağıdaki adımları takip edin:
ÖNEMLİ: Aşağıda anlatılan çözüm CryptoLocker virüsünün ilk sürümüne aittir. Şuanda ikiyüzden fazla CryptoLocker türevi mevcut bu sebepten FireEye çözümü geçerli değildir.
CryptoLocker virüsünün şifrelediği dosya için Private *** edinme:
Private *** CryptoLocker virüsünün şifrelediği dosyaları çözmek için gerekli anahtar metindir. Aşağıdaki adımlar ile bu *** yani anahtarı nasıl oluşturacaksınız bulabilirsiniz.
Buradaya tıklayarak FireEye ve Fox IT web sitesi olan (artık geçerli değil.) decryptcryptolocker web sitesini açın.
2.Formu doldurun. Email adresinizi yazın. Şifreyi çözmek için gerekli *** dosyası email adresinize gönderilecektir.
Choose File butonuna tıklayarak .encrypted uzantılı şifreli dosyasınız seçin.
reCAPTCHA ekranında ekranda resimde gördüğünüz karakterleri Metni Yazın yazan kutuya doğru şekilde yazın.
Decrypt it! butonuna tıklayın.
CryptoLocker File Upload Succes mesajını göreceksiniz.
4.Mail adresinizi kontrol edin mail adresinize Results of DeCryptoLocker Service yazılı bir mesaj gelmiş olmalı.
5.Mailin içinde size ait Private *** bilgisi olacaktır. Private *** aşağıdaki metne benzeyen karakter topluluğudur:-----BEGIN RSA PRIVATE ***-----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-----END RSA PRIVATE ***-----
6.Bu, CryptoLocker virüsü'nün şifrelediği dosyayı çözmek için gerekli anahtar metindir.
PRIVATE ***'i kullanarak CryptoLocker virüsünün şifrelediği dosyaların açılması
1.Buradan CryptoLocker temizleme programını indirin.
2.İndrmiş olduğunuz dosya Decryptolocker.exe dosyası virüsün şifrelediği dosyaları açacak uygulamadır.
3.Decryptolocker.exe dosyasını şifreli dosyanın olduğu klasöre kopyalayın.
4.Örneğin şifreli dosyalarımız Masaüstünde Özel klasöründa olsun. Decryptolocker.exe dosyasını özel klasörünün içine kopyalayın.
5.Decryptolocker.exe komut satırı uygulamasıdır. Yani bir takım komutlar kullanarak şifre çözme gerçekleşecek.
6.Komut istemini (CMD.exe) yönetici olarak çalıştırın. Bilmiyorsanız buradan nasıl yapıldığını öğrenebilirsiniz
Windows 7'de CMD yönetici olarak nasıl çalıştırılır?
Windows 8'de CMD yönetici olarak nasıl çalıştırılır?
7.Komut isteminden şifreli dosyanın olduğu klasöre girin. Örnekteki gibi özel klasörüne ulaşmak için şu komutu kullanın. Bu komut siste değişecektir. Örneğin kullanıcı adınız uzmanim.net yerine siz ne ise onu yazın.cd c:\Users\uzmanim.Net\Desktop\Ozel
8.Daha önce bu klasöre kopyaladığınız Decryptolocker.exe dosyasını çalıştıracaksınız. Şu komutu uygulayınDecryptolocker.exe –key “Email ile gelen Key” Şifrelidosya.doc
9.*** bölümünü size gelen maildeki aşağıdaki ifadeleride içeren karakter topluluğudur. Örnekteki gibi çift tırnak içinde mailin içindeki ***'i komuta yapıştırın. Yukarıda örneğini vermiştim.
10.Kolaylık sağlaması için komutu notepad ile hazırladıktan sonra kopyala-yapıştır yapabilirsiniz.
11.Komutu uyguladığınızda aşağıdaki gibi bir ekran gelecek bu ekrana YES yazın ve enter tuşuna basın.
12.Daha sonra ekrana Successfully decrypted file: uzmanim.net.doc gibi bir mesaj gelirse dosyanız kurtuldu demektir.
Baştan da belirttiğim gibi CryptoLocker virüsü farklı şekillerde ortaya çıkabiliyor. Virüsün enfekte olduğu her sistem için vir Private *** gereklidir. Birden fazla sistem kullanıyorsanız bu işlemi yani *** alma işlemini tekrat etmeniz gerekecektir.
Ayrıca yukarıda anlatılan yöntem tüm CryptoLocker virüsü türevlerinde başarılı olamayabilir. Lütfen bunu bilerek bu işlemi yapın. Yukarıdaki işlemler sisteminize zarar vermez.
CryptoLocker virüsü temizlemek ücretsiz bir işlemdir. Yukarıda anlatılan servis ve programlar ücret gerektirmiyor.
Eğer bir klasörü tamamen şifrelemeden kurtarmak istiyorsanız o zaman aşağıdaki komutu kullanın.
Decryptolocker.exe –key “Key” C:\Klasör Adı\*
Eğer bir sürücüdeki tüm CryptoLocker virüsünün etkilediği şifreli dosyaları şifreden kurtarmak istiyorsanız
Decryptolocker.exe –key “Key” -r C:\
komutunu kullanın.
Şuan CryptoLocker virüsüne karşı en etkili temizleme ve şifre kaldırma yöntemi yukarıda bahsettiğimm yöntemdir. Bunun dışında yapılacak işlemler dosyalarınıza zarar verebilir. Bu sebepten dosyalarınızı manuel düzenlemeye, değiştirmeye çalışmayın.
CryptoLocker virüsü tarafından şifrelenen dosyaları el ile kurcalamak dosyaların kalısı olarak bozulmasına sebep olur. Daha sonra bir şekilde *** üretilse bile bozuk dosya da çalışmayacaktır.
CryptoLocker virüsü temizleme ve şifreli dosyaları kurtarma yöntemini olabildiğinde detaylı anlatmaya çalıştım. Aklınıza takılan bir nokta olursa buraya yazabilirsiniz.
[Referans:fireeye.com]
Ayrıca konuyu detaylı olarak araştırıyoruz yeni bir çözüm yöntemi bulduğumuzda Facebook sayfamızdan ve buradan duyuracağız.
Önemli Not: TTnet Fatura virüsüne karşı çözüm geliştirdiğini ortalıkta yazan pek çok sahtekar var. Lütfen bunlara karşı dikkatli olun. Şuan için virüsün bir çaresi yok.
Bana sıkça sorulan bazı soruları soru - cevap şeklinde yanıtmaya çalışayım:
Cryptolocker şifre çözme yazılımı satın alsak kesin olarak dosyalarımız çözülür mü?
Bunun bir garantisi yok. Cryptolocker virüs saldırıları tek bir elden çıkmıyor. Parasını yani fidyeyi ödediği halde şifresi çözülmeyen kullanıcı mevcut. Fidye ödeyip dosyalarını kurtaranlarda elbette var.
Cryptolocker şifre çözme yazılımı satın alınarak şifre çözülüyorsa, neden biri satın aldığı programı internetten dağıtmıyor?
Korsanlar, cryptolocker şifre çözme yazılımını her bilgisayar için ayrı, özel olarak üretiyorlar. Yani sizin satın aldığınız bir program başka bilgisayarda çalışmayacaktır. Aynı şekilde başkasının aldığı yazılım sizin bilgisayarınızda çalışmayacaktır.
Internette para karşılığını Cryptolocker ile şifrelenen dosyaları çözdüğünü idda edenler var. Güvenilirler mi?
Hayır. Bu tür kişilere güvenmeyin. AES-256 şifreleme teknikniği henüz kırılabilmiş bir yöntem değil. Dünya genelinden bahsediyorum. Eğer böyle bir yetenek olsaysı tüm dünya adını zaten duyardı. O kişide sizin mağduriyetinizden yararlanmaya çalışmazdı.
Konu beaverss tarafından (03-11-2015 Saat 13:10 ) değiştirilmiştir.
değerli beaverss yardımları için teşekkür ederim. internette cryptolocker ile ilgili o kadar şey okudum. ve hemen hemen hiç bir anti virüs programının kurtaramadığınıda okudum. ben formatla ve başka bir sürüm yüklemekle alakalı bir çözüm arıyorum. bu virüsten beni kurtarana varya onu bilgisayar lideri ilan edecem. çözüm bulana helal olsun. hayatım boyunca böyle bir virüs görmedim.
LEBEN ?
Merhaba Ali Bey,
Acaba dosyalarınızda sizden habersiz şifrelemeler oldu mu?Yani dosyalarınıza erişmek istediğinizde size şifre soruyor mu?
Birde dosya uzantılarında farklılık var mı? mesela bir uygulamanın uzantısı .exe ile biter, sizde .encrypted uzantılı mı bitiyor acaba?
Hayat, Paylaştıkça Güzel!
evet malesef bir çok dosya şifrelendi. şifrelenen dosyaların uzantısında .ccc yazıyor. dosyalar umurumda değil para ödemesi falanda yapmıyacaz. şifrelenen dosyaları silip. formatla halledeyim dedim olmadı. aklımda başka bir şey var onu deneyecem ve sonucunu size yazarım. ama birileri bir fikir sunar düşcesiyle.
Konu Hikmet™ tarafından (03-11-2015 Saat 18:53 ) değiştirilmiştir.
LEBEN ?
sevgili dostum sen windows 8 format cd ni değiştir başka bir windows 8 format cd si ile dene format cd sıkıntılı olabilir.
arkadaşıma yüklediğim win 8.1 pro sürüm cd'sine kendi bilgisayarıma yüklemişim hiç bir sıkıntı yaşamıyorum. şimdilik elimdede başka win 8 cd'de yok
LEBEN ?
Anladım, bu virüs sosyal ortamda bi nevi fidye amaçlı kullanılıyor.Yani size bulaşan bu virüs yüzünden dosyalarınıza erişemiyorsunuz, şifreleniyor.
Bu durumlarda rastgele işlemler yapmamanız yararınıza olacaktır.Ben size eğer denemediyseniz 2 program önereceğim ve bunlarda da olmazsa en son 3. programı önereceğim.
1- Malwarebytes Anti-Malware Bu program ile PC'nizi tarayın.
2- RoggueKillerMalwarebytes taramanız bitince bu programı kullanın. Bu programda PC'de ki işlemleri(Processor) tarar, temizlemeye yardımcı olur.
Sonuç aynı olursa en son önereceğim program var onuda deneyelim, umarım çözülür.
Hayat, Paylaştıkça Güzel!
Beyefendi ilginize çok teşekkür ederim bu yazdıklarını 10 gün öncede yapmıştım maalesef çözüm değil. ben şifrelenen dosyalarla ilgilenmiyorum. ben kökten çözüm yapmak istiyorum. yarın bakacam, hayatımda bu kadar pis bir virüs görmedim. ne yaparsan yap kurtuluşun yok. sonucu size mutlaka yazacağım.
LEBEN ?
Şu an Bu Konuyu Gorunteleyen 1 Kullanıcı var. (0 Uye ve 1 Misafir)
Yetkileriniz
Alıntı
aliharbiye Nickli Üyeden Alıntı
Bu Linki Görmeniz İçin SupersatForuma Uye Olmanız Gerekmektedir.
Yer imleri