Geçen gün email adresime TTNET tarafından fatura geldi. Fatura tutarı çok yüksek görünüyordu. Ben de meraktan email içindeki linke tıkladım. http://efatura.ttnet-fatura.com/ gibi bir adrese gittim ve bu sayfadan faturamı indirdim. normal zip uzantılı bir dosyaydı. Zip'i açtım içinden çıkan dosyayı tıkladım. Ne olduysa ondan sonra oldu. Şimdi  tüm word dosyaları, resimler, pdf dosyaları açılmıyor. uzantısına baktık. Hepsi .encrypted  olmuş ve açılmıyordu.

Masaüstüne bir dosya gelmiş. SIFRE_COZME_TALIMATI.html dosyasını açtığımda Uyarı Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir

Bilgisayarınızda ağ disklerde, ve USB belleklerde olan önemli dosyalarınız, fotoğraflar, videolar ve kişisel bilgiler CryptoLocker virüsü ile şifrelenmiştir. Bizim şifre çözme yazılımınını satın almak dosyalarınızı kurtarmak için tek yoldur. aksi takdierde tüm dosyalarınızı kaydebebilirsiniz.

Dikkat CryptoLocker virüsü kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz.

Şifre çözme yazılımını satın almak için tıklayınız

yazıyor ve şuanda hiç bir dosya açılmıyor.

CryptoLocker virüsü nasıl temizlenir? Şifreli dosyaları geri getirmenin bir yolu var mı?



TTNET Fatura virüsü için bu yöntem denenebilir. TTnet Fatura virüsü normalde kullanıcının yetkisi varsa gölge kopyaları siliyor. Fakat kullanıcınızın yetkisi yoksa silme işlemi başarılı olamıyor ve gölge kopya üzerinden dosyaları kurtarmak mümkün oluyor.

CryptoLocker virüsünden dosyaları kurtarmanın bir diğer yolu Sistem geri yüklemesi oluşturulmuş sistemlerde eski bir tarih üzerinden dosyanın gölge kopyasını almak. Fakat sizde sistem koruması açık ve bir geri yükleme noktası oluşturulmuş olmalı.

  1. ShadowExplorer uygulamasını buradan indirin.
  2. ShadowExplorer uygulamasını kurduktan sonra çalıştırın.
  3. Virüsün bulaşma tarihinden önce bir geri yükleme noktası seçin.
  4. Kurtarmak istediğiniz dosyayı sağ tuşla tıkayın ve Export'u seçin.
  5. Nereye kaydetmek istiyorsanız oraya dosyanızı kaydedin.
     

C: karşısında kayıt göremiyorsanız gölge kopyanız yok veya virüs tarafından silinmiş demektir.  Bu durumda yapabileceğiniz şuan için hiç bir işlem kalmıyor.

CryptoLocker virüsü için şuan en güncel çözüm yöntemleri bunlar. Bunlar dışında farklı çözüm yolları denemek vakit kaybı olacaktır.

 

Çözüm 3 (bu yöntem artık geçersizdir): CryptoLocker virüsünün şifrelediği dosyaların şifresini kaldırmak için aşağıdaki adımları takip edin:

ÖNEMLİ:  Aşağıda anlatılan çözüm CryptoLocker virüsünün ilk sürümüne aittir. Şuanda ikiyüzden fazla CryptoLocker türevi mevcut bu sebepten FireEye çözümü geçerli değildir.

CryptoLocker virüsünün şifrelediği dosya için Private KEY edinme:
Private KEY CryptoLocker virüsünün şifrelediği dosyaları çözmek için gerekli anahtar metindir. Aşağıdaki adımlar ile bu KEY yani anahtarı nasıl oluşturacaksınız bulabilirsiniz.

  1. Buradaya tıklayarak FireEye ve Fox IT web sitesi olan (artık geçerli değil.) decryptcryptolocker web sitesini açın.
  2. Formu doldurun. Email adresinizi yazın. Şifreyi çözmek için gerekli Key dosyası email adresinize gönderilecektir.
    Choose File butonuna tıklayarak .encrypted uzantılı şifreli dosyasınız seçin.
    reCAPTCHA ekranında ekranda resimde gördüğünüz karakterleri Metni Yazın yazan kutuya doğru şekilde yazın.
    Decrypt it! butonuna tıklayın.
    CryptoLocker virüsü şifre çözme
  3. CryptoLocker File Upload Succes mesajını göreceksiniz.
  4. Mail adresinizi kontrol edin mail adresinize Results of DeCryptoLocker Service yazılı bir mesaj gelmiş olmalı.
  5. Mailin içinde size ait Private Key bilgisi olacaktır. Private Key aşağıdaki metne benzeyen karakter topluluğudur:
    -----BEGIN RSA PRIVATE KEY-----
    MIICWwIBAAKBgFEFU71H6IvEb1nFqcog3KCnPDWDGNYFkJ+gKOwQ5VOTCOkKjhwv
    W25t6fJaWaEQEDDO0dmk58XFWU5MzYLyGWulgqRalzqe4kM1kZ1MzeL8stMyqfUP
    AwxAtSbwmFEj3swZdulrqK7Mk9izzOqFta7ixOi+HGK+w/pyTF9C/yaJAgMBAAEC
    gYA2ssb/Ec4AlkSqsdTYPmlVGLKAWhppW2ZxLfqSrTF1w92PH24jvyEWI6R+1tqN
    7z9PBEIOktNa5MpPH3Dbh8D69kuWgp7JQBhfyxnK8nRm0DMDO5Wc3RlVhLNTreRP
    KKMwPELRVQEB9ZoLAZxEASkxlOrPAyWHbR4vJoeVrBB+VQJBAJKcIyWYm6y2SwRS
    z7Z4FPPna7RAHkWepEPIgl/+hhYVO6V6rX9dSFHBLg7T+Fx2E/soTsx0+T677v8X
    wQtf0MMCQQCNeQ78LjYQgn5TXJyxxSvofJpMAcsPaa3vLwFyF2f7KQuElzgiXkHJ
    llUzBad2PEAvmq5JpM4bx7/hlf6hfjbDAkAQM/dicVJLLT5vNOPF69GM/zeVDT0L
    PrQy1ZcrGssg56nW6Q8Bs4KJnosDkoOxXE9rA5Jp4EenmkeYo7xvEGDXAkEAid2h
    Zsu50Bj69k3YPb1B7swOqWdN9XUtFVufcwmwQShcmxeqkoN8ZPDlklU+PpC0lC+P
    DSFX4eak7Td47vPKdQJASaalvGHNgwm6HsnxUgz6jT2dmiPBXwY+TfIU1EzbOpJp
    PMiN7YMTmPaAWS6Ldm4Reb4XOc/lMPeWolQflCRisQ==
    -----END RSA PRIVATE KEY-----
  6. Bu, CryptoLocker virüsü'nün şifrelediği dosyayı çözmek için gerekli anahtar metindir.

PRIVATE KEY'i kullanarak CryptoLocker virüsünün şifrelediği dosyaların açılması

 

  1. Buradan CryptoLocker temizleme programını indirin.
  2. İndrmiş olduğunuz dosya Decryptolocker.exe dosyası virüsün şifrelediği dosyaları açacak uygulamadır.
  3. Decryptolocker.exe dosyasını şifreli dosyanın olduğu klasöre kopyalayın.
  4. Örneğin şifreli dosyalarımız Masaüstünde Özel klasöründa olsun. Decryptolocker.exe dosyasını özel klasörünün içine kopyalayın.
  5. Decryptolocker.exe komut satırı uygulamasıdır. Yani bir takım komutlar kullanarak şifre çözme gerçekleşecek.
  6. Komut istemini (CMD.exe) yönetici olarak çalıştırın. Bilmiyorsanız buradan nasıl yapıldığını öğrenebilirsiniz
    Windows 7'de CMD yönetici olarak nasıl çalıştırılır?
    Windows 8'de CMD yönetici olarak nasıl çalıştırılır?
  7. Komut isteminden şifreli dosyanın olduğu klasöre girin. Örnekteki gibi özel klasörüne ulaşmak için şu komutu kullanın. Bu komut siste değişecektir. Örneğin kullanıcı adınız uzmanim.net yerine siz ne ise onu yazın.
    cd   c:\Users\uzmanim.Net\Desktop\Ozel
  8. Daha önce bu klasöre kopyaladığınız Decryptolocker.exe dosyasını çalıştıracaksınız. Şu komutu uygulayın
    Decryptolocker.exe –key “Email ile gelen Key”  Şifrelidosya.doc
  9. Key bölümünü size gelen maildeki aşağıdaki ifadeleride içeren karakter topluluğudur. Örnekteki gibi çift tırnak içinde mailin içindeki KEY'i komuta yapıştırın. Yukarıda örneğini vermiştim.
  10. Kolaylık sağlaması için komutu notepad ile hazırladıktan sonra kopyala-yapıştır yapabilirsiniz.
  11. Komutu uyguladığınızda aşağıdaki gibi bir ekran gelecek bu ekrana YES yazın ve enter tuşuna basın.
    CryptoLocker virüsü temizleme
  12. Daha sonra ekrana Successfully decrypted file: uzmanim.net.doc gibi bir mesaj gelirse dosyanız kurtuldu demektir.

Baştan da belirttiğim gibi CryptoLocker virüsü farklı şekillerde ortaya çıkabiliyor.  Virüsün enfekte olduğu  her sistem için vir Private Key gereklidir. Birden fazla sistem kullanıyorsanız bu işlemi yani Key alma işlemini tekrat etmeniz gerekecektir.

Ayrıca yukarıda anlatılan yöntem tüm CryptoLocker virüsü türevlerinde başarılı olamayabilir. Lütfen bunu bilerek bu işlemi yapın. Yukarıdaki işlemler sisteminize zarar vermez.  

CryptoLocker virüsü temizlemek ücretsiz bir işlemdir. Yukarıda anlatılan servis ve programlar ücret gerektirmiyor.

Eğer bir klasörü tamamen şifrelemeden kurtarmak istiyorsanız o zaman aşağıdaki komutu kullanın.

Decryptolocker.exe –key “Key” C:\Klasör Adı\*

Eğer bir sürücüdeki tüm CryptoLocker virüsünün etkilediği şifreli dosyaları şifreden kurtarmak istiyorsanız

Decryptolocker.exe –key  “Key” -r C:\

komutunu kullanın.

 Şuan CryptoLocker virüsüne karşı en etkili temizleme ve şifre kaldırma yöntemi yukarıda bahsettiğimm yöntemdir. Bunun dışında yapılacak işlemler dosyalarınıza zarar verebilir. Bu sebepten dosyalarınızı manuel düzenlemeye, değiştirmeye çalışmayın.

CryptoLocker virüsü tarafından şifrelenen dosyaları el ile kurcalamak dosyaların kalısı olarak bozulmasına sebep olur.  Daha sonra bir şekilde Key üretilse bile bozuk dosya da çalışmayacaktır.

CryptoLocker virüsü temizleme ve şifreli dosyaları kurtarma yöntemini olabildiğinde detaylı anlatmaya çalıştım. Aklınıza takılan bir nokta olursa buraya yazabilirsiniz.

[Referans:fireeye.com]

 

Ayrıca konuyu detaylı olarak araştırıyoruz yeni bir çözüm yöntemi bulduğumuzda Facebook sayfamızdan ve buradan duyuracağız.

Önemli Not:  TTnet Fatura virüsüne karşı çözüm geliştirdiğini ortalıkta yazan pek çok sahtekar var. Lütfen bunlara karşı dikkatli olun. Şuan için virüsün bir çaresi yok. 

 

Bana sıkça sorulan bazı soruları soru - cevap şeklinde yanıtmaya çalışayım:

 

Cryptolocker şifre çözme yazılımı satın alsak kesin olarak dosyalarımız çözülür mü?

Bunun bir garantisi yok. Cryptolocker virüs saldırıları tek bir elden çıkmıyor. Parasını yani fidyeyi ödediği halde şifresi çözülmeyen kullanıcı mevcut. Fidye ödeyip dosyalarını kurtaranlarda elbette var.

Cryptolocker şifre çözme yazılımı satın alınarak şifre çözülüyorsa, neden biri satın aldığı programı internetten dağıtmıyor?

Korsanlar, cryptolocker şifre çözme yazılımını her bilgisayar için ayrı, özel olarak üretiyorlar. Yani sizin satın aldığınız bir program başka bilgisayarda çalışmayacaktır. Aynı şekilde başkasının aldığı yazılım  sizin bilgisayarınızda çalışmayacaktır.

Internette para karşılığını Cryptolocker ile şifrelenen dosyaları çözdüğünü idda edenler var. Güvenilirler mi?

Hayır. Bu tür kişilere güvenmeyin. AES-256 şifreleme teknikniği henüz kırılabilmiş bir yöntem değil. Dünya genelinden bahsediyorum. Eğer böyle bir yetenek olsaysı tüm dünya adını zaten duyardı. O kişide sizin mağduriyetinizden yararlanmaya çalışmazdı.