Güvenlik

Teslacrypt Şifrelenmiş Dosyaların Çözüm İşlemleri

Dünya üzerinde birçok kullanıcının bilgisayarını etkilenen bilgisayarlardaki şifrelenmiş dosyaların çözümü artık mümkün bununla ilgili yapılması gereken işlemleri aşağıda anlatmaya çalıştım.

Öncelikle çözümleme için birkaç program gerekmektedir. Bunun için aşağıdaki programları indiriniz.

1.      Tesladecoder

2.      Yafu

Daha sonra virüs bulaşmış bir dosyayı çözüme başlamak için hazırlayınız.

Daha sonra Tesladecoder adındaki sıkıştırılmış dosyayı genişleterek açınız.

clip_image002

Resim – 1

Genişletilen dosya içerisinde TeslaViewer.exe ismindeki uygulamayı çalıştırıp bir sonraki adıma ilerleyiniz.

clip_image004

Resim – 2

Browse.. butonunu kullanarak virüs bulaşmış dosyayı seçiniz ve bir sonraki adıma ilerleyiniz.

clip_image006

Resim – 3

Seçmiş olduğunuz virüslü dosya için yukarıda görünün HEX ve DEC kodları görmeniz gerekiyor eğer bunları göremiyorsanız başka bir dosya için deneyiniz. Daha sonra Create work.txt butonuna basarak çalışma dosyanızı hazırlamasını sağlayıp bir sonraki adıma geçiniz.

Bu adımda artık YAFU kullanmaya başlayacağız. YAFU sıkıştırılmış dosyanızı genişleterek açınız.

clip_image008

Resim – 4

YAFU klasörü içerisinde yer alan “RunYafu.exe” çalıştırıp bir sonraki adıma ilerleyiniz.

clip_image010

Resim – 5

Gelen ekranda “Tune Yafu” butonuna basınız ve bekleyiniz.

clip_image012

Resim – 6

YAFU tune işlemi bittiğinde tekrar ana ekrana geleceğiz. Ana ekrana geldiğinizde “Work.txt” dosyası içerisinde yer alan “SharedSecret1*PrivateKeyBC”  bölümündeki “DEC” ile başlayan bölümü kopyalayınız.

clip_image014

Resim – 7

Work.txt dosyası içerisinden kopyaladığınız SharedSecret*PrivateKeyBC Decimal değerini kutucuğun içerisine yapıştırın. 

Ekranda bulunan Factoring Threads değeri işlemcinizde bulunan sanal işlemci sayısıdır buna göre değeri arttırıp düşürebilirsiniz. Bu değer şifrenin çözümü için harcanacak zamanı değiştirecektir.

Factor SharedSecret*PrivateKeyBC butonuna basıp işlemi başlatın.

clip_image016

Resim – 8

İşlem bitiminde örnek Resim – 8 deki gibi rakamlar görünecektir. Bunları kopyalayınız ve sıralamasını bozmayınız. (P1, P2, v.b. ibareleri kopyalama işleminden sonra bir text dosyanın içerisinde temizleyiniz)

TeslaDecoder klasöründe yer alana “Teslarefactor.exe” çalıştırın.

clip_image018

Resim – 9

Gelen ekranda YAFU da elde ettiğimiz kodları “Put decimal foctors here.” Yazan alana yapıştırınız. Daha sonra “work.txt” dosyamızdaki “PublicKeyBC =” alanındaki hex kodları “Public key (hex):” alanına yapıştırınız.

clip_image020

Resim – 10

YAFU ile elde ettiğimiz kodu ve work.txt içerisindeki public key ilgili alanlara yerleştirip “Find private key” butona basıp işlemi başlatın. İşlem tamamlandıktan sonra “Private key (hex)” alanında bize yeni bir kod değeri verecektir.

Private key (hex) kodunu kopyalayınız ve Tesladecoder klasöründeki Tesladecoder.exe uygulamasını çalıştırın.

Önemli Not: Private key (hex) kodunu bir yere kayıt ediniz. Bundan sonraki tüm dosyalarınızı bu kod ile çözeceksiniz. Buraya kadar anlatılan işlemler sadece bir kez yapılması yeterlidir.

Bu kodu alıp her şifrelenmiş dosya için kullanamazsınız buna da dikkat ediniz. Aynı bilgisayarda şifrelenmiş dosyalar için geçerlidir. Her yeni vaka yeni bir key demektir.

clip_image022

Resim – 11

Gelen ekranımızda “Set key” butonuna tıklayın ve bir sonraki adıma ilerleyiniz.

clip_image024

Resim – 12

“Key (Hex):” alanına Tesla refactor da elde ettiğimiz kodu yapıştırıyoruz. Extension bölümünden hangi uzantılı dosyaları çözeceğimizi belirtiyoruz ve Set key butonuna basıp hazır duruma getiriyoruz.

clip_image026

Resim – 13

Artık çözme işlemine hazır durumdayız tek bir dosya içerisindeki tüm verilerin şifrelerini çözebileceğimiz gibi tüm sistemdeki dosyaları da çözdürebiliriz bu sizin tercihinize kalmış bir durumdur. İşlemi başlatmadan önce şifrelenmiş dosyaların bir kopyasında deneme yapınız ve mutlaka yedek alınız.

İşlemi başlattığınızda şifreleri çözdükten sonra şifre uzantılı dosyaları silip silmeyeceğini sormaktadır tavsiyem “Hayır” seçeneğini seçmenizdir ki olası sorunlarda dosyalarda tekrar işlem yapma şansınız olsun.

clip_image028

Resim – 14

İşlem bitiminde TeslaDecoder ekranında durumla ilgili bilgi vermektedir. Görüldüğü üzere 1 adet dosyayı çözümlemiştir. Artık dosyayı açtığımda çalışır durumda olduğunu görebilmekteyiz.

Son olarak çözüm için farklı yöntemlerde mevcuttur ancak en basit hali ile ele almaya çalıştım. İhtiyaç durumunda python ve teslacrack.py dosyaları ile referanslardan faydalanabilirsiniz.

Bu durumun tekrar başınıza gelmemesini umut ederek hepinize faydalı olmasını dilerim.

Programı yazıp kullanıma sunan emek harcayan Lawrence Abrams ve ÇözümPark Mail Grubunda bizleri hızlıca bilgilendiren Mehmet YAYLA’ ya, python kullanımını kısaca açıklayan Resul YÜKSEL’ e teşekkür ederiz.

Özel Not: TeslaCrypt yeni versiyonu çıktı yeni uzantı xxx ve ttt olarak adlandırılmaktadır. Şuan için çözümü yok eğer bulunursa paylaşıyor olacağız.

Referanslar:

https://github.com/Googulator/TeslaCrack
http://www.bleepingcomputer.com/
http://sourceforge.net/projects/yafu/

 

İlgili Makaleler

2 Yorum

  1. Merhaba
    1 Temmuz 2021’de bilgisayarıma fidye virüsü bulaştı. Bütün excel, word, pdf, png, jpg ne varsa bütün dosyalarım .neer uzantılı oldu. Bütün dosyalarım şifrelenmiş. Dosyalarımın bir yedeğini başka bir bilgisayara aldım ve virüs bulaşan bilgisayarıma temiz bir format attım. Fakat bu dosyalarımı açmam lazım. Bir çok web sitesinden okudum araştırdım ama hiç bir çözüm bulamadım. .neer uzantısı ile şifrelenen dosyalarımı açmamın bir çözümü var mı? Bu konuda yardımlarınızı rica ediyorum. Teşekkür ederim.

  2. Ne yazık ki bunun bir yolu yok. Fidyeyi ödemeniz gerekliydi. Eğer çok beklerseniz belki eski bir yöntem olacağı için bir araç çıkabilir ama o kadar çok farkı sürüm varki hiç çıkmayadabilir. Özetle büyük ihtimal o verilere bir daha ulaşamayacaksınız.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu