Merhaba bu hafta itibari ile CryptoLocker v2 – Şifreleme Virüsü yeniden yayılmaya başlamıştır. Konu ile alakalı olarak kullanıcıların dikkatli olması gerekmektedir. Mailde bulunan herhangi bir linke tıklamamanız önemle önerilir. Mail aşağıdaki gibi gelmektedir.
Çözüm Yöntemleri
CryptoLocker V2, Cryptowall 3.0, Cryptowall 4.0, Teslacrypt ve daha nicesi..
Bilgisayarlarınızdaki tüm dosyaları çok güçlü biçimde şifreleyen ve dosyalarınızın bazen adını, bazen de sadece uzantısını değiştiren yazılımlar. Eğer bu türden bir sorunla karşılaştıysanız detay ve çözüm önerileri aşağıdadır.
vvv, ccc, xxx, ttt, micro, mp3 ve uzantısız olarak şifrelenen ( Tesla Ransomware ) dosyalarınız için ücretsiz çözüm üretilmiş ve erişilebilir durumdadır.
Lütfen makalenin devamındaki Nasıl Çözülür kısmını inceleyiniz.
Diğer sürümler ( Encrypted, Enc, Locky, Zepto, Axx, Xtbl , Crypted, Crypt, Cerber3 ) için, herhangi bir çözüm üretilip üretilmediğine dair sağlıklı bilgiyi aşağıdaki iletişim yöntemlerini kullanarak alabilirsiniz.
Bilindiği üzere, bu tür zararlıların şimdilik 178 farklı çeşidi bulunmaktadır. ( kaynak : id-ransomware)
Bu farklı varyantlardan bazılarına gönüllü araştırmacılar tarafından çözüm üretilmiş ve herkesin erişimine sunulmuştur. Bazı varyantlar ise, sadece belli yurt dışı kaynaklı firmalar tarafından çözülmüş ve lisans satın alınması karşılığında çözüm sağlanmaktadır. Ve bazı varyantların ise henüz herhangi bir çözümü bulunmamasına rağmen, araştırmalar/testler sürmektedir.
Öncelikle belirtmeliyim ki;
Cryptolocker virüsü bilgsayarınızın isletim sistemine ve calisma prensibine zarar vermez. (yeni tip virüsün bilgisayarı çalışamaz hale getirdiği iddia edilse de, şimdilik böyle bir vaka ile karşılaşılmamıştır.) Virüs (zararlı yazılım ); aslinda sizin de farkli araclarla yapabileceginiz bir sifreleme uygular ve dosyalarınızın uzantısını değiştirerek .encrypted , ccc , vvv , xxx, ttt, micro , mp3, magic, LOL, Locky, Zepto, Cerber / Cerber2 / Cerber3 ya da daha farklı uzantılara çevirebilir, ya da dosya ismini tamamen değiştirebilir. çeşitli açık kaynak şifreleme kütüphaneleriyle ve çok güçlü olan bu şifreleme, cesitli yol ve yontemlerle kirilmaya calisilsa dahi, yillar alacak kadar karisik ve uzun bir şifrelemedir. Çözüm; şifreyi kırmaya yönelik ya da bu yolla değil, zararlı yazılımlardaki geliştirici hataları , algoritma hataları, arka kapılar ve zayıflıklar gibi yöntemlere dayanır.
Şifrelemenin mantığını anlamak için linkteki videoyu izleyebilirsiniz.
Video için : Tıklayınız ( link sadece mantığı ihtiva eder, çözüm içermez)
Şunu ifade etmeliyim ki;
Bu yazılım bilgisayardan kolaylıkla temizlenebilir, asıl sorun bilgisayardan temizlemek değil, şifreli dosyaları açmaktır. Virüsü temizleseniz, hatta format atsanız dahi dosyalar şifreli olarak kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü temizlemek değil, dosyaları kurtarmak olmalı.
Notlar:
+ Bu makale sürekli güncel kalacaktır. Makaleyi takip ederek tüm güncellemelerden haberdar olabilirsiniz.
+ Kronolojik olarak paylaştığım gelişmelerin bazıları zararlının bir sonraki sürümünde geçersiz kılınmış olabilir.
+ Tavsiye edilen yazılımların virüsün her varyantında etkin ve koruyucu olduğunun garantisi yoktur. Bu yazılımları kullandıktan sonra doğabilecek zararlardan dolayı sorumluluk size aittir.
Nasıl Bulaşır ?
Dünya üzerindeki bilgisayarları tehdit eden çok fazla ransomware çeşidi bulunmaktadır. Bu versiyonların bulaşma yol ve yöntemleri genel olarak şöyledir;
+ Mail ekine ve linkine tıkladığınızda
+ Torrent’lerden ya da farklı bir kaynaktan indirdiğiniz resmi olmayan oyun, film, müzik dosyalarıyla
+ Online film, dizi izleme platformlarında çalıştırdığınız flash/java eklentileriyle
+ Ele geçirilmiş ve resmi olduğunu düşündüğünüz kaynaklardan indirdiğiniz uygulamalar ile
( örnek : ammyy admin )
+ Web tarayıcı eklentileriyle
+ Çeşitli blog ve haber portalları ( istemsiz )
+ Çeşitli ilan siteleri ( istemsiz )
Çalışan zararlı uygulama nasıl temizlenir ?
Aşağıdaki linklerini verdiğim Zemana, Malwarebytes ve Combofix yalnızca dosyaları şifreleyen zararlı uygulamayı bilgisayarınızdan uzaklaştırır. Dosyalarınızın açılmasını sağlamaz.
Dosyalarınızın açılmasını sağlayabilecek ilgili araçlar için Nasıl Çözülür kısmına bakınız.
Zemana Antimalware ile bilgisayarınızı taratarak zararlıdan temizleyebilirsiniz.
Aynı zamanda yerli bir üretici tarafından geliştirilen bu yazılımı isterseniz satınalarak cihazlarınızı daha sonra gelebilecek malware saldırılarına karşı koruyabilirsiniz.
Zemana Antimalware indirmek için : Tıklayınız
İsterseniz Zemana Antimalware uygulamalasına alternatif olabilecek,
Malwarebytes uygulaması ile bilgisayarınızı zararlıdan temizleyebilirsiniz.
Malwarebytes için : Tıklayınız
Daha sonra bilgisayarınızda Combofix çalıştırabilirsiniz :
Combofix için (opsiyonel ) : Tıklayınız
İlgili zararlıların sizi farkli zamanlarda tekrar etkilememesi ya da etkilese dahi bundan en az zararla nasıl kurtulabilirsiniz sorusuna yönelik cevaplar ve çözüm önerileri paylaşacağım.
Nasıl Çözülür?
Çözüme dair notlar:
+ Paylaştığım araçlar yalnızca bahsedilen sürüm için geçerlidir. Yine aşağıda versiyon tespiti yapacağınız servisin linki verilmiştir. ( id-ransomare ) Virüsün hangi türevi ile karşı karşıya iseniz buna göre çözüm arayınız.
+ Bahse konu virüs çok çabuk gelişme sağladığından, kronolojik olarak paylaştığım çözüm önerileri sizin de göreceğiniz üzere çok kısa süre içinde geçerliliğini yitirmektedir.
Çözüm kronolojisi :
Güncelleme (30.09.2016 )
TrendMicro; bir çok varyantı decrypt edebilen bir araç yayınladı. Aşağıdaki linkini ve hangi varyantlarda etkili olduğunu açıkladığım uygulama ile işlem sağlayabilirsiniz.
Çözebildiği Türler:
Cerber1-2, CryptXXX V1, V2, V3,V4, SNSLocker, 777, XORIST, XORBAT, Stampado, Chimera, Nemucod, LeCherif, Mircop, Jigsaw, Globe/Purge.
İlgili aracı indirmek için : Tıklayınız
Aracı indirdiğinizde ve zipten çıkardığınızda “Select” butonu yardımıyla varyant seçebilirsiniz.
Diğer varyantlar için lütfen yazıyı okumaya devam ediniz.
Güncelleme ( 02.09.2016 )
Türkiye’de fazla görülmeyen DXXD zararlısı için çözüm üretildi.
Bu varyant dosya isimlerine shellexec@protonmail.com , null_ptr@tutanota.de ifadelerini ekliyordu.
İlgili çözüm aracını indirmek için: Tıklayınız
Güncelleme ( 21.09.2016 )
Ammyy Admin gibi, Anydesk gibi çok bilinen uygulamaların resmi web siteleri ele geçirilerek zararlı dosya yüklenmesi gibi, Usb disk’lerden otomatik çalıştırma gibi seçenekler aktif ise .cerber3 malware’i bulaşmaktadır. Bu tip fidye virüslerinden korunmak için mutlaka sandbox tarzı yazılımlar kullanılmalıdır. Eğer bu tip bir virüse maruz kalmışsanız, bir örnek dosyanızı
( ben@mehmetyayla.com ) gönderebilirsiniz. Eğer dünya üzerinde bu varyanta dair bir çözüm üretilmiş ise sizinle paylaşabilirim.
Güncelleme ( 31.08.2016 )
Uzun zamandan sonra tekrar Türkcell – Turkcell e-fatura zararlısı yeniden aktif hale geldi.
Güncelleme (05.08.2016)
Chimera, CoinVault, Shade için hazırlanmış çözüm uygulaması linktedir.
Decrypter için : Tıklayınız
Güncelleme ( 10.07.2016)
Mail ekiyle *.js olarak gelen Locky ( dosya uzantısı : zepto ) ile ilgili çözüm bulunmamaktadır.