Forum

TTNET Cryptolocker ...
 
Bildirimler
Hepsini Temizle

TTNET Cryptolocker virüsü nasıl temizlenir

117 Yazılar
43 Üyeler
0 Likes
11.5 K Görüntüleme
(@CafetAtabay)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Geçen hafta mailime gelen ttnet faturasını açtım olan oldu. Bizim servis olayı çözemedi televizyonlarda da çıktı bu virüs, halen çözümü yok dediler.
Herneyse ilk olarak bu forumda bir facebook adresi yayınlamışsınız virüsleri çözebiliyorlar diye. Adres şu : https://www.facebook.com/BilgiKurtarma burdan arkadaşlarla iletişime geçtim biraz geç döndüler ama bilgisayarımı gönderdikten sonra sorunumu hemen çözdüler. Şuan bütün dosyalarım açılıyor.

İkinci olarak uzman bilgisayarcılar sayfasından alıntıdır.

Üzülerek belirtiyorumki şuan için mevcut TTNET Fatura
virüsünün şifrelediği dosyaları çözmek için çözüm yöntemi yok.
Aşağıdaki çözüm 2 bölümünde yerlan TTNET Fatura virüsü çözümünü
deneyebilirsiniz.

Öncelikle geçmiş olsun. Eğer form
değiştirmemiş CryptoLocker virüsü ile karşı karşıyaysanız bunun için bir
çözüm var.  Öncelikle virüsü temizlemek sorun değil. Sorun
olan  .encrypted uzantılı dosyalar yani şifrelenmiş dosyalar.   Daha
önceki CryptoLocker  virüsü örneklerinde virüs önemli
dosyalarınızı AES-256-bit  ile oldukça güçlü ve çözülmesi imkansız
denecek bir şifreleme algoritması ile şifreliyordu. Eğer sizdeki form
değiştirmemiş bir CryptoLocker virüsü ise bütün önemli
dosyalarınız AES-256-bit ile şifrelenmiş demektir.

Aşağıda iki çözüm mevcut. Size bulaşan virüs farklı bir varyanta sahip olabilir. İkisini de denemenizde yarar var.

CryptoLocker virüsü gibi virüsler fidye virüsü olarak adlandırılır.

Geçtiğimiz
yaz aylarında FireEye ve FOX IT adlı iki güvenlik şirketi CryptoLocker
virüsünün şifrelediği dosyaları ve virüsü analiz ederek, tersine
mühendislik yolu ile bir online şifre çözme uygulaması devreye aldılar.
Eğer şansınız varsa CryptoLocker virüsünün form değiştirmemiş bir
versiyonu ile karşı karşıyasınızdır.

Aşağıda hem CryptoLocker
virüsü temizleme hem de şifreli dosyaların nasıl açılacağına dair bir
çözüm yolu paylaşacağım. Denemenizde yarar var.

CryptoLocker virüsü nasıl temizlenir?

CryptoLocker
virüsü temizleme işlemi iki adımdan oluşacak. Önce virüsün enfekte
olduğu sistem temizlenecek daha sonra da şifreli dosyaların şifrelerinin
nasıl çözüleceğini anlatacağım. Şuan için CryptoLocker virüsü temizleme
için en etkin ve tek geçerli yol olarak bu anlatacağım yöntem söz
konusu.

CryptoLocker virüsü şuanda pek çok güncel antivirüs tarafından tespit edilebiliyor ve temizlenebiliyor.

  1. Öncelikle bilgisayarınızı virüs taramasından geçirin. 

    Norton Power Eraser nedir? Nasıl Kullanılır? ile bilgisayarınızı önce taratın. Bu işlemden sonra 

    Dr.Web CureIt! nedir? Dr.Web CureIt! nasıl kullanılır? ile bilgisayarınızı tarafın.

     Daha sonra bilgiayarın tamamen virüslerden arındığından emin olmak için Malwarebytes nedir? Malwarebytes nasıl kullanılır? ile
    bilgisayarınızı taratın. Burada 3 farklı antivirüs ile taratırmandaki
    sebep virüsün form değiştirmiş olma ihtimali. Eğer Norton Power Eraser
    virüsü bulursa ve temizlerse daha sonra sadece Dr Web veya Malwarebytes
    ile bilgisayarınızı taratmanız yeterlidir.

  2. Daha sonra virüsün etkilediği dosyalardaki şifrelemeyi kaldırmak için aşağıdaki işlemleri deneyin

CryptoLocker virüsünün şifrelediği dosyalar nasıl açılır?

CryptoLocker virüsü ile şifrelenen dosyalar AES-256
ile şifrelenir. Bu bir şifreleme algoritmasıdır ve AES-256 ile
şifrelenen dosyalar  normal koşullarda KEY yani anahtar dosya olmadan
açılamazlar. Maalesef ortalıkda tek bir 
CryptoLocker virüsü yok. Birden fazla taklitçi CryptoLocker virüsü mevcut. Maalesef bu yöntem son zamanlardaki TTNET Fatura virüsü içinn geçerli değildir.

CryptoLocker virüsünün şifrelediği dosyaların şifresini kaldırmak için aşağıdaki adımları takip edin:

CryptoLocker virüsünün şifrelediği dosya için Private KEY edinme:
Private
KEY CryptoLocker virüsünün şifrelediği dosyaları çözmek için gerekli
anahtar metindir. Aşağıdaki adımlar ile bu KEY yani anahtarı nasıl
oluşturacaksınız bulabilirsiniz.

  1. Buradaya tıklayarak FireEye ve Fox IT web sitesi olan decryptcryptolocker web sitesini açın.
  2. Formu doldurun. Email adresinizi yazın. Şifreyi çözmek için gerekli Key dosyası email adresinize gönderilecektir.
    Choose File butonuna tıklayarak .encrypted uzantılı şifreli dosyasınız seçin.
    reCAPTCHA ekranında ekranda resimde gördüğünüz karakterleri Metni Yazın yazan kutuya doğru şekilde yazın.

 

 
Gönderildi : 16/12/2014 17:40

(@MuhammedAKBABA)
Gönderiler: 3
Active Member
 

Merhaba,

TTNet virüsü ile ilgili çözüm üreten arkadaşların iletişim bilgilerini verebilir misin? Facebook sayfalarından ulaşılamıyor.

Teşekkürler. 

 
Gönderildi : 20/12/2014 15:16

(@CafetAtabay)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Facebook adresinden başka birde telefonları var elimde fakat burda vermek doğru olmaz. özel mesaj yazarsanız ulaşabilirsiniz

 
Gönderildi : 31/12/2014 04:38

(@musaduzgun)
Gönderiler: 8
Active Member
 

Adresler silinmiş sanırım. Nasıl ulaşabiliriz?

 
Gönderildi : 31/12/2014 16:18

(@mehmetyayla)
Gönderiler: 544
Honorable Member
 

Malesef bu yöntemler cyrtolocker v2 için geçerli değil
Şuan TUBITAK'ta sorunun üzerinde çalışmakta.

V2 sürümünde virüs shadow copy'lerinizi ve sistem geri yükleme noktalarınızı da siliyor.

Fakat silme işlemi kesinlikle hard delete şeklinde olmuyor. Yani mutlaka silinen bu shadow copy yedeklerinize ulaşabilme imkanınız var.
Bu yedekleri geri getirerek dosyalarınıza erişim imkanınız bulunuyor.

Tabii bu bahsettiğim yöntemler XP'de çalışmıyor (Eğer manual açılmadıysa)

İnternet ortamında şifreleri kırdığını söyleyen kişilere itibar etmeyiniz, zira 256 bit ile şifrelenmiş ve şifre (64 karakter uzunluğunda karışık harf/rakam/sembollerden oluşan) wordlist bruteforce gibi yöntemlerle kırmak yıllar alabilecek bir işlemdir.

 
Gönderildi : 14/02/2015 22:47

(@rumeysabozdemir)
Gönderiler: 4
Active Member
 

Merhaba,

TUBITAK aşağıdaki linkte sadece 4 dosya çözümlemeye izin veriyor. Daha fazla çözümleyebilmenin bir yolu yok mudur acaba?

Bendeki dosyalarda .encrypted uzantılı...

Link:  https://zar.sge.gov.tr/Decrypter/FileUpload  

 
Gönderildi : 19/02/2015 13:59

(@ufukarslan)
Gönderiler: 24
Eminent Member
 

https://www.decryptcryptolocker.com/Decryptolocker.exe

Şu yazılımı kimse denenemiş anlaşılan

 
Gönderildi : 21/02/2015 21:05

(@mehmetyayla)
Gönderiler: 544
Honorable Member
 

https://www.decryptcryptolocker.com/Decryptolocker.exe

Şu yazılımı kimse denenemiş anlaşılan

 

Bu adresler virüsün ilk varyantı için geçerliydi. Şimdi çalışmazlar. 

 
Gönderildi : 23/02/2015 14:04

(@rumeysabozdemir)
Gönderiler: 4
Active Member
 

TorrentUnlocker adında bir program var 2MB ya da üzerinde boyutu olan bir .encrypted uzantılı dosyayının eğer elinizde yedeği varsa ikisini eşleştirip açılabileceği söyleniyor. Ben bir türlü temizini bulamadım.

4 tane çözümleme yapmama izin veren site artık izinde vermiyor. Eğer programını önceden bulabilseydim belki bir avantajı olurdu. Böylelikle sitede 2MB'yi açtırır denerdim... Belki size bir faydası olur diye paylaşayım dedim.

 
Gönderildi : 24/02/2015 21:08

(@YASARASLAN)
Gönderiler: 14
Eminent Member
 

Merhaba arkadaşlar şirketimizde bir çalışanımıza yaptığımız uyarılara rağmen merak etmiş ve virüsü bilgisayarına bulaştırmış. Sabah itibari ile saatlerce uğraştım ama bir çözüm bulamadım taki 10 dk öncesine kadar. Uzatmadan bilgisayarınızı iyi bir anti virüs programı ile temizledikten sonra aşağıdaki yöntemi deneyin. Evet çalışmalarınız belli bir tarihe kadar olmayabilir ama en azından çok fazla bir şey kaybetmezsiniz diye düşünüyorum.  

C:'ya sağ tıklayın, önceki sürümleri geri yükle'ye tıklayın. Sonra önceki sürümleri arayan bir sayfa gelecek. Bekleyin arasın. Sonra sistem geri yüklemenin kayıtlı olduğu tarihler ekrana gelecek. Virüs bulaşmadan önceki bir tarihe girip bakabilirsiniz. Dosyalarınızın birer kopyası zaten bu tarihlerde var. Ben en basitinden ilgili tarihteki masaüstü dosyalarına baktım, hepsi şifresiz, açılabiliyor. (alıntıdır).

 

 

 
Gönderildi : 25/02/2015 19:22

(@ugurdemir)
Gönderiler: 9888
Illustrious Member
 

Selamlar,

Cryptolockerdan kurtulmak için, mail server önüne bir gateway koyun. Brightmail kullanabilirsiniz, buna ek olarak içerde de symantec Sep kullanabilirsiniz. Sep yakalıyor. http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malware

Kolay gelsin. 

 
Gönderildi : 08/03/2015 02:26

(@mehmetyayla)
Gönderiler: 544
Honorable Member
 

Bu ve türevi saldırılar için kaynak :  http://www.mehmetyayla.com/cryptolocker-v2/

 
Gönderildi : 11/03/2015 13:35

(@uguraytaskin)
Gönderiler: 52
Trusted Member
 

Başlığın adı bozuk gözüküyor sanırım düzeltebilir misiniz?

 
Gönderildi : 13/03/2015 03:04

(@emredemirci-2)
Gönderiler: 226
Reputable Member
 

Selamlar,

Cryptolockerdan kurtulmak için, mail server önüne bir gateway koyun. Brightmail kullanabilirsiniz, buna ek olarak içerde de symantec Sep kullanabilirsiniz. Sep yakalıyor. http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malware

Kolay gelsin. 

Merhaba e-mail filtresi spam olarak tanımlanmıyor. Cryptolocker virüsünü yayanlar onu düşünmüş. Virüsü yayanları fazla hafife almayın ! Para almak için siber saldırıya yakın teknikler kullanıyorlar.

Önlemek için metotlarını iyi analiz etmek gerekiyor:
Virüsü yaydıkları dosya paylaşım sitesini "https" olarak düşünmüşler ki "http" tarayan güvenlik duvarından geçsinler. Açıktan da "exe" dosyası gelmiyor. "zip" olarak geliyor. Böylece güvenlik duvarında "exe" uzantısını engelini aşıyor. Kişisel dosyaları şifrelediği ve sistem tarafına müdahale etmediği için 
AV heuristic tarama devreye girmiyor. Ancak imza tabanlı güncelleme ile yakalanıyor. Yani para almak için ciddi ciddi planlama yapmışlar. Önlemenin tek yolu kullanıcının phishing yemini yutmamasını için belirli bir kategoriye girmeyen siteleri bloklamak veya kullanıcıya uyarı ekranı çıkartmak.

"gmail şifrenizin süresi dolmuştur", "banka hesabınızdan .... miktar çekilmiştir", "ttnet faturanız" gibi web sayfasına yönlendiren phishing e-postlarından korunmak için benim uyguladığım yöntem kategorisi olmayan web sitelerinde güvenlik duvarının kullanıcıya uyarı çıkartmasını sağlamak. Kategoriye girmemiş bildik tanıdık siteleri kullanıcı rapor ettiğinde güvenlik duvarından beyaz listeye ekliyorum.

Finans gibi kritik departmanların güvenlik duvarı tanımını "beyaz listeye" dayalı şekilde yaparım. web sayfasından gelecek zararlı yazılıma karşı anti-virüsten medet beklemiyorum. 🙂

 
Gönderildi : 15/03/2015 16:37

(@mehmetyayla)
Gönderiler: 544
Honorable Member
 

Eğer shadow copy açık ve kopyalar silinmişse kurtarma yoluna gidiniz.

 
Gönderildi : 26/03/2015 18:44

(@mehmetyayla)
Gönderiler: 544
Honorable Member
 

Virüs bu sabah itibarı ile tekrar aktifleşmiştir. Önlem almanızı tavsiye ederim ( 25.06.2015 ) 

 
Gönderildi : 25/06/2015 13:52

(@TurhanGursu)
Gönderiler: 17
Eminent Member
 

Defalarca uyarmamıza rağmen, bu sabah bir çalışanımız daha yakalandı bu virüse. Toplam vak'a sayısı 4e yükseldi...

 
Gönderildi : 25/06/2015 15:06

(@emreoktay)
Gönderiler: 42
Trusted Member
 

Merhaba,

Bu tehdidin önüne Cyberoam tarafında nasıl geçebiliriz ? 

 
Gönderildi : 25/06/2015 22:01

(@ErisDogan)
Gönderiler: 1
New Member
 

Merhabalar

 

Bizim bir kullanıcımız da maalesef marus kalmis (24.06.2015)

Son 2-3 gun gelen butun email arsivini taradim fakat sorunun kaynagini, nereden bulastigini tespit edemedim.

Butun datalari Network share uzerinde, fakat oraya da bulasmis.

Sunucu da ortak kullanılan binlerce ofis dokumani sifrelenmis.

Tum uzantilara ve tum klasorlere bulasamamis anladigim kadariyla. 

Sorunun kaynagini bilen var mi ?

Email sistemi firewall vs uzerinde IP araligi, keyword veya domain bloklama vs yaparım en azından.

TTNET ve PTT versiyonlarinda oyle yapmistim.

İsle ilgili takılan mailler de oldu tabi bu yuzden ama yapacak birsey yok. 

Backuplar olmasa issiz kalacagiz bu vicdansizlar yuzunden, ekmegimizle oynuyorlar, bu isin sakasi yok gercekten.

Zira backup olsa dahi mutlaka kayip/zarar oluyor, isverenleri nereye kadar idare edecegiz ?  

 
Gönderildi : 25/06/2015 22:53

Sayfa 1 / 7
Paylaş: