ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Teslacrypt Şifrelenmiş Dosyaların Çözüm İşlemleri

Dünya üzerinde birçok kullanıcının bilgisayarını etkilenen bilgisayarlardaki şifrelenmiş dosyaların çözümü artık mümkün bununla ilgili yapılması gereken işlemleri aşağıda anlatmaya çalıştım.

Öncelikle çözümleme için birkaç program gerekmektedir. Bunun için aşağıdaki programları indiriniz.

1.      Tesladecoder

2.      Yafu

Daha sonra virüs bulaşmış bir dosyayı çözüme başlamak için hazırlayınız.

Daha sonra Tesladecoder adındaki sıkıştırılmış dosyayı genişleterek açınız.

clip_image002

Resim – 1

Genişletilen dosya içerisinde TeslaViewer.exe ismindeki uygulamayı çalıştırıp bir sonraki adıma ilerleyiniz.

clip_image004

Resim – 2

Browse.. butonunu kullanarak virüs bulaşmış dosyayı seçiniz ve bir sonraki adıma ilerleyiniz.

clip_image006

Resim – 3

Seçmiş olduğunuz virüslü dosya için yukarıda görünün HEX ve DEC kodları görmeniz gerekiyor eğer bunları göremiyorsanız başka bir dosya için deneyiniz. Daha sonra Create work.txt butonuna basarak çalışma dosyanızı hazırlamasını sağlayıp bir sonraki adıma geçiniz.

Bu adımda artık YAFU kullanmaya başlayacağız. YAFU sıkıştırılmış dosyanızı genişleterek açınız.

clip_image008

Resim – 4

YAFU klasörü içerisinde yer alan “RunYafu.exe” çalıştırıp bir sonraki adıma ilerleyiniz.

clip_image010

Resim – 5

Gelen ekranda “Tune Yafu” butonuna basınız ve bekleyiniz.

clip_image012

Resim – 6

YAFU tune işlemi bittiğinde tekrar ana ekrana geleceğiz. Ana ekrana geldiğinizde “Work.txt” dosyası içerisinde yer alan “SharedSecret1*PrivateKeyBC”  bölümündeki “DEC” ile başlayan bölümü kopyalayınız.

clip_image014

Resim – 7

Work.txt dosyası içerisinden kopyaladığınız SharedSecret*PrivateKeyBC Decimal değerini kutucuğun içerisine yapıştırın. 

Ekranda bulunan Factoring Threads değeri işlemcinizde bulunan sanal işlemci sayısıdır buna göre değeri arttırıp düşürebilirsiniz. Bu değer şifrenin çözümü için harcanacak zamanı değiştirecektir.

Factor SharedSecret*PrivateKeyBC butonuna basıp işlemi başlatın.

clip_image016

Resim - 8

İşlem bitiminde örnek Resim – 8 deki gibi rakamlar görünecektir. Bunları kopyalayınız ve sıralamasını bozmayınız. (P1, P2, v.b. ibareleri kopyalama işleminden sonra bir text dosyanın içerisinde temizleyiniz)

TeslaDecoder klasöründe yer alana “Teslarefactor.exe” çalıştırın.

clip_image018

Resim – 9

Gelen ekranda YAFU da elde ettiğimiz kodları “Put decimal foctors here.” Yazan alana yapıştırınız. Daha sonra “work.txt” dosyamızdaki “PublicKeyBC =” alanındaki hex kodları “Public key (hex):” alanına yapıştırınız.

clip_image020

Resim – 10

YAFU ile elde ettiğimiz kodu ve work.txt içerisindeki public key ilgili alanlara yerleştirip “Find private key” butona basıp işlemi başlatın. İşlem tamamlandıktan sonra “Private key (hex)” alanında bize yeni bir kod değeri verecektir.

Private key (hex) kodunu kopyalayınız ve Tesladecoder klasöründeki Tesladecoder.exe uygulamasını çalıştırın.

Önemli Not: Private key (hex) kodunu bir yere kayıt ediniz. Bundan sonraki tüm dosyalarınızı bu kod ile çözeceksiniz. Buraya kadar anlatılan işlemler sadece bir kez yapılması yeterlidir.

Bu kodu alıp her şifrelenmiş dosya için kullanamazsınız buna da dikkat ediniz. Aynı bilgisayarda şifrelenmiş dosyalar için geçerlidir. Her yeni vaka yeni bir key demektir.

clip_image022

Resim – 11

Gelen ekranımızda “Set key” butonuna tıklayın ve bir sonraki adıma ilerleyiniz.

clip_image024

Resim – 12

“Key (Hex):” alanına Tesla refactor da elde ettiğimiz kodu yapıştırıyoruz. Extension bölümünden hangi uzantılı dosyaları çözeceğimizi belirtiyoruz ve Set key butonuna basıp hazır duruma getiriyoruz.

clip_image026

Resim – 13

Artık çözme işlemine hazır durumdayız tek bir dosya içerisindeki tüm verilerin şifrelerini çözebileceğimiz gibi tüm sistemdeki dosyaları da çözdürebiliriz bu sizin tercihinize kalmış bir durumdur. İşlemi başlatmadan önce şifrelenmiş dosyaların bir kopyasında deneme yapınız ve mutlaka yedek alınız.

İşlemi başlattığınızda şifreleri çözdükten sonra şifre uzantılı dosyaları silip silmeyeceğini sormaktadır tavsiyem “Hayır” seçeneğini seçmenizdir ki olası sorunlarda dosyalarda tekrar işlem yapma şansınız olsun.

clip_image028

Resim – 14

İşlem bitiminde TeslaDecoder ekranında durumla ilgili bilgi vermektedir. Görüldüğü üzere 1 adet dosyayı çözümlemiştir. Artık dosyayı açtığımda çalışır durumda olduğunu görebilmekteyiz.

Son olarak çözüm için farklı yöntemlerde mevcuttur ancak en basit hali ile ele almaya çalıştım. İhtiyaç durumunda python ve teslacrack.py dosyaları ile referanslardan faydalanabilirsiniz.

Bu durumun tekrar başınıza gelmemesini umut ederek hepinize faydalı olmasını dilerim.

Programı yazıp kullanıma sunan emek harcayan Lawrence Abrams ve ÇözümPark Mail Grubunda bizleri hızlıca bilgilendiren Mehmet YAYLA’ ya, python kullanımını kısaca açıklayan Resul YÜKSEL’ e teşekkür ederiz.

Özel Not: TeslaCrypt yeni versiyonu çıktı yeni uzantı xxx ve ttt olarak adlandırılmaktadır. Şuan için çözümü yok eğer bulunursa paylaşıyor olacağız.

Referanslar:

https://github.com/Googulator/TeslaCrack
http://www.bleepingcomputer.com/
http://sourceforge.net/projects/yafu/

 

Tarih : 17 Ocak 2016 Pazar 23:29 Yayınlayan: Rafet S. AYATA

Yorumlar

 

Metin Eren

Merhaba.

makaleyi heyecanla okudum fakat yukarda bahsi geçen iki program için link bulamadım. altta referanslar kısmında linklere baktım ama onlar da olmadı. Ayrıca sormak istediğim, bulunan çözüm ccc'leri de çözüyor mu?? ya da hangilerini çözebiliyor acaba ?

Ocak 18, 2016 00:58
 

FATİH YEGİN

Elinize sağlık hocam.

Ocak 18, 2016 08:27
 

omer aslan

Paylaşım için çok teşekkürler .

1.      Tesladecoder

2.      Yafu

Programların linklerinide paylaşabilir misiniz ?

Ocak 18, 2016 10:29
 

serdar şen

Merhaba,

Paylaşım için teşekkürler."RunYafu.exe" dosyasını nereden edindiğiniz bilgisini paylaşabilirmisiniz?

Ocak 18, 2016 11:21
 

serdar şen

Tekrar merhaba,

runyafu.exe nin de bulunduğu link aşağıdadır.

http://download.bleepingcomputer.com/td/yafu.zip

Herkese iyi çalışmalar.

Ocak 18, 2016 11:26
 

Mustafa KURU

Eline sağlık çok faydalı olacağı kesin.

Ocak 18, 2016 13:41
 

Erdinc ozturk

program linkleri çalışmıyor.

internetten indirdim yafu'yu

RunYafu.exe

içinde yok maaalesef.

Ocak 18, 2016 14:11
 

Emrah YILMAZ

Teşekkürler..Umarım kimsenin ihtiyacı olmaz bu makaleye.

Ocak 18, 2016 14:15
 

Hakan UZUNER

Eline sağlık

Ocak 18, 2016 21:14
 

Hüseyin ERTUGRUL

Rafet bey eline sağlık, özledik seni :)

Ocak 18, 2016 22:06
 

omer aslan

Elinize sağlık .

1.      Tesladecoder

2.      Yafu

Programların linklerini verme şansınız var mı ?

Ocak 19, 2016 08:59
 

Murat Koseoglu

Eline Sağlık Abi.

Ocak 19, 2016 09:06
 

Samet İnce

Eline sağlık rafet

Ocak 19, 2016 12:39
 

Emrah Ömerov

Elinize sağlık bi sorum olacaktı suan yafu programını indirdiğimde klasör içerisinde run yafu.exe uygulaması görünmüoyor bende daha önce sadece pyhton kullanarak denemiştim ama .vvv hariç diğer sürümlerinde işe yaramamıştı bu çözüm siz .ccc dosya kullanmışsınız,bu çözüm virüsün diğer versiyonlarında işe yarıyormu ?

Teşekkürler

Ocak 19, 2016 18:08
 

M. Oguzhan OZKURT

Eline sağlık abi, güncel bir soruna açıklık gelmiş.

Ocak 19, 2016 22:44
 

Rafet S. AYATA

Linkleri ekledim. İndirebilirsiniz. Program bir çok varyasyonu çözebiliyor bende .ccc vardı o nedenle bu örnekten yola çıktım. Resim - 13 de hangi uzantıları çözebildiğini görebilirsiniz.

Bunların dışındaki sorularınızı portal üzerinden sorarsanız yardımcı olmaya çalışırım.

Ocak 20, 2016 12:30
 

Erdinc ozturk

emeğiniz için Teşekkürler.

Ocak 20, 2016 15:27
 

Emrah YILMAZ

.encrypted için işe yaramıyor maalesef.

Ocak 21, 2016 10:09
 

Ahmet Haşim

emeginize sağlık..

Ocak 22, 2016 08:07
 

Bilgehan Gunduz

Rafetim emeğine sağlık ...

Ocak 22, 2016 23:12
 

Ziya Okan OZBEY

Eline sağlık Rafet hocam

Ocak 25, 2016 08:38
 

Ekrem Irgat

Elinize Sağlık

Şubat 5, 2016 09:24
 

selimhan gürbüz

ellerinize sağlık çok güzel bir paylaşım hocam .ccc uzantılar için shadow explorer ile de sorunlarınız çözülebilir.Buda çırak bilgisi olsun :) .encrypted için malesef olmuyor :\\

Şubat 6, 2016 10:12
 

Zafer GÖRGÜN

Emeğinize Sağlık...

Şubat 14, 2016 12:55
 

Mesut Ilicali

Tesekkürler, son zamanlar cok ise yarayacak bir anlatim.

Şubat 29, 2016 19:49
 

Mesut SARIYAR

Emeğine sağlık bro

Mayıs 6, 2016 21:27
 

sadan dılmac

Merhaba ccc. Uzantılı dosyalarımı burdaki yöntemi denedim lakin çözemedim çözebilen varsa bana yardımcı olabilirmi ilgi için şimdiden teşekkür ederim

Mayıs 31, 2016 09:32
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Rafet S. AYATA

1982 Giresun /Ş.Karahisar doğumluyum. Kendimi bildim bileli bilgi sistemleri ile uğraş içerisindeyim. Özel bir şirkette Kurumsal Proje sorumlusu olarak görev yapmaktayım.

Bu Kategori

Hızlı aktarma

Etiketler