.sifreli uzantısı h...
 
Bildirimler
Hepsini Temizle

.sifreli uzantısı hk.  

Sayfa 1 / 3
  RSS
aykutersoy
(@aykutersoy)
Üye

arkadaşlar,

internetten turkcell adında bir email geldi ve dosyayı açtık , tüm excel word dosyalarının uzantıları .sifreli olarak oldu.

uzantıyı değiştirdiğimde dosyalar açılmıyor bu virusu dosyalardan nasıl temizlerim sizden acil bilgi bekliyorum. 

Alıntı
Gönderildi : 13/02/2014 11:47
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/fatura-zararli-yazilimi-fatmal.html

umarım işinize yarar

CevapAlıntı
Gönderildi : 13/02/2014 12:37
DoganYildiz
(@DoganYildiz)
Üye

Size gelen email ekinde dosya mevcut mudur? Bu dosyayı virustotal gibi online taramalarda tarattığınızda bir bilgi var mı? Öncelikle bizi şifreleyen şey hakkında el de bilgi var mı bunu anlıyor olmamız gerekiyor sanırım.

Not : Sistem güvenli kip olarak açıldığında durum nedir?

CevapAlıntı
Gönderildi : 13/02/2014 12:40
aykutersoy
(@aykutersoy)
Üye

[quote user="DoganYildiz"]Size gelen email ekinde dosya mevcut mudur? Bu dosyayı virustotal gibi online taramalarda tarattığınızda bir bilgi var mı? Öncelikle bizi şifreleyen şey hakkında el de bilgi var mı bunu anlıyor olmamız gerekiyor sanırım.

Not : Sistem güvenli kip olarak açıldığında durum nedir?[/quote]

 

hocam selam, tarama programı ile tarattığımızda hiç bir virus bulamıyor. tüm word excel pdf datalarının uzantılarının sonuna logo.doc.sifreli şeklinde değiştirdi , uzantıyı elle değiştirdiğimizde açılmıyor. dosyaları bozulmuş gibi açılıyor. bu dosyaları nasıl düzeltebilirim ?

 

CevapAlıntı
Gönderildi : 13/02/2014 12:56
DoganYildiz
(@DoganYildiz)
Üye

Dosyalara ne olduğunu anlamadan çözüm yoluna gitmek gerçekten güç olacağa benziyor.
Kısa senaryo;
Size email geliyor.
Siz email ekini çalıştırıyorsunuz.
Döküman dosyalarınız şifreli bir hale geliyor.

Bu durumdayız doğru mudur?

CevapAlıntı
Gönderildi : 13/02/2014 14:05
aykutersoy
(@aykutersoy)
Üye

dökümanlarımın uzantisi sifreli olarak oluyor. yani örnej dokuman.pdf dokuman.pdf.sifreli olarak düzenlenmiş bunu tekrar düzeltiriyorum açılmıyor dosya.

CevapAlıntı
Gönderildi : 13/02/2014 14:24
erkut kurt
(@erkutkurt)
Üye

aynı sorun bendede var 🙁


dosya isimlerine baktığın zaman  öncede hesap.xls olan dosya sımdı hesap.xls.sifreli gözüküyor.


maalesef daha doğru duzgun bı makale bulamadım.


dosya ısmını degıstırıp eskısı gıbı hesap.xls yaptığım zamanda dosya excel de açılmaya çalışıyor ama maalesef açılmıyor bozulduğu ıcın.


 


 

CevapAlıntı
Gönderildi : 13/02/2014 15:26
aykutersoy
(@aykutersoy)
Üye

bir kaç arkadaşlar görüştüm müşterilerinede bulaşmış bu yeni çıkan bir virus ama çözümü bulmak gerekiyor.

CevapAlıntı
Gönderildi : 13/02/2014 16:27
erkut kurt
(@erkutkurt)
Üye

[quote user="aykutersoy"]bir kaç arkadaşlar görüştüm müşterilerinede bulaşmış bu yeni çıkan bir virus ama çözümü bulmak gerekiyor.[/quote]


 


maalesef ortalıkta pek net bır bılgı bulamadım ben , yazılan bıkac bısey vardı denedim vırus belkı temızlendı ama onemlı olan dosyaları(offıce,pdf)kurtarabilmek bısey bulursam paylaşırım burdada

CevapAlıntı
Gönderildi : 13/02/2014 16:38
DoganYildiz
(@DoganYildiz)
Üye

Crypto Locker gibi davranan farklı bir program olduğunu düşünüyorum ancak çözüm olarak bir şey ortaya koyamıyorum. Bulaşma yaşayanlar bulaşan programı inceleme fırsatları olmamış anladığım kadarıyla. yani bu olayı yapan programın nasıl bir şifreleme yaptığının anlaşılması ona göre decode yapılabilmesi gerek ancak yazışmalar genellikle dataların kurtarılamadığı virüsün temizlendiği yönünde.

Dikkatli olmak gerekiyor.

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2945

CevapAlıntı
Gönderildi : 13/02/2014 19:03
erkut kurt
(@erkutkurt)
Üye

bendeki sorun sole.


turkcell den gelen bır maıl sonrasında pc dekı butun dosya uzantıları ( .doc , .pdf , .xls ) iken ( .doc.sifreli , .pdf.sifreli , .xls.sifreli ) oldu.


malwarebyte ile fln ag destegıyle guvenlı modda tarama yaptım ama herhangı bır vırus bulamadı.


regedit ayarlarını fıx leyen bazı dosyalar yukledım (link leri .exe ceviriyorsa diye) onlarda fayda etmedi.


bılgısayara format atıp yenıden kurulum yapabılırım o sorun deıl ama dosyaların uzantıları degısmeyecegı ıcın bosuna yapmıyorum.


cunku dosyaları baska pc ye aldıgımdada uzantılar hala aynı  .doc.sifreli  olarak gozukuyor


el ile uzantıyı degıstırıp .doc yaptıgım zamanda bu sefer dosya ıcerıgı cop oluyor


içinden cıkamadıgım ilk sorun oldu bu aksilik hiçbi makale vs de yok ınternette

CevapAlıntı
Gönderildi : 13/02/2014 21:16
Faruk GUL
(@FarukGUL)
Üye

winrar ile açmayı dener misiniz. Muhtemelen şifreli rar dosyalarına çevrilmişlerdir.

CevapAlıntı
Gönderildi : 13/02/2014 23:27
tunc onur
(@tunconur)
Üye

Selamlar,

Bir çok firmam aynı virüsten nasibini almış bulunmakta. Virüs dediğim bir crypto aslında. Altında linux yatıyor sanırım. 1 gecedir uğraşıyorum. Bazı clientların masaüstüne script ile bir yazı duvar kağıdı yapılmış. Ben yazılım mühendisiyim, dosyalarını ele geçirdim. Bu mail ile bana ulaşabilirsiniz, ulaşmadığınız takdirde dosyalarınız yayınlanacaktır şeklinde uzun bir yazı.

Dosyalar .sifreli uzantılı olarak script ile değiştiriliyor. Windows klasörü altına Default.pif diye bir kısayol atıyor. Kısayol bir ip ile haberleşiyor sanırım. Belirli kodları dışarıdan çekiyorlar diye düşünüyorum. Ben işin içinden çıkamadım. Uzantılar değiştirildiğinde dosya tamamen kullanılamaz hale geliyor. Windows'un kendi dosya şiflreleme izleri çalışmıyor. Firmaların ticari zararları çok büyük. Varsa bir duayen yardımcı olsun. Hiçbir fix işe yaramıyor. Olaki diski başka bir sistemde açarsanız dosyalara ulaşmanız imkansız hale geliyor. Kesinlikle işlemin gerçekleştiği bilgisayar üzerinde, o işletim sisteminde reg kayıtlarını düzenlemeniz gerekiyor.

Bilginize. 

Küçük bir ekran görüntüsü

 

Masaüstüne bırakılan not

 

 

CevapAlıntı
Gönderildi : 14/02/2014 03:01
aykutersoy
(@aykutersoy)
Üye

Arkadaşlar,

 aynı şekilde olayları bizde yaşadık ama hiç bir yerde çözümü yok nasıl çözülecek bilmiyoruz . dosyaların nasıl şifrelendiğide çok ilginç dosyanın boyutlarıda aynı şekilde kalıyor farklı bir şekilde kilitlenmiş. 

CevapAlıntı
Gönderildi : 14/02/2014 10:46
DoganYildiz
(@DoganYildiz)
Üye

Yukarıda da belirttiğim gibi cryptolocker tarzı bir revizyon var karşımızda. Okuduğum makalelerde temizle yapılıyor ancak verilere erişim mümkün görünmüyor. Size ulaşan email görüntüsü vb. bilgileri çevreniz ile paylaşarak bu konuda acil bir bilinçlendirme oluşturarak bir nebze olsun frenleme sağlanabilir. Eğer aramızda deassebbly yapabilecek olanlar varsa size bulaşmış olan exe dosyaların işlevini anlamaya çalışarak tersine mühendislik ile sonuca ulaşılması denenebilir. Benim okuduğum anladığım kadarıyla yedekleriniz varsa yedeklerinizden geriye dönün. Yoksa şifrelenen veriler için yapılacak fazla bir şey yok.

Geçmiş olsun.

CevapAlıntı
Gönderildi : 14/02/2014 11:25
Veli KAYA
(@VeliKAYA)
Üye

Evet jpg şifreleniyor ancak bmp lere dokunmamış mesela.

Bir dönem win98, wk2 nın olduğu dönemlerde dosya uzantısı bir programla ilişkilendirilerek o programla ve istenirse şifre sorarak açılması sağlanıyordu. Bende vb6 ile istek üzerine öyle bişey yapmıştım. Ancak klasörünün uzantısının { ve sonrası silindiğinde normal olarak açılabilir oluyordu. Bu malesef farklı birşey dosyanın içeriğini en basit txt dosyasının içeriği bile kodlanmış görünüyor.

Belki çözüm olarak sifreli uzantılı dosyaları açabilmek yada sadece deneme amaçlı resim dosyalarını açmak için küçük bir program yapılarak bilinen şifreleme türleri ile decrypt denenebilir. Tabi bunu yapan muhtemelen kendine has bir şifreleme metodu kullanmıştır. Mail ile gelen dosyayı silmeyen muhafaza eden varsa ve sıkıştırıp paylaşa bilirse (mail vs) test etme şansımız olabilir.

CevapAlıntı
Gönderildi : 14/02/2014 11:58
erkut kurt
(@erkutkurt)
Üye

maalesef maile ulasamıyorum

CevapAlıntı
Gönderildi : 14/02/2014 13:34
tunc onur
(@tunconur)
Üye

Windows xp üzerinde betik ile temizlemek mümkün fakat sadece sistemi kurtarabiliyorum. Dosyalara yine ulaşamıyorum. Dosyalara tek erişim yolumuz bu işi yapan arkadaşa mail atmak diye düşünüyorum. Durumun hukuki aşaması için bir heyet oluşturulabilir. Dosyaları ücret karşılığı teslim edeceklerini söylüyorlar. Böyle durumlara zeval vermemek adına, lütfen yönetimini yaptığınız sistem kullanıcılarını bilgilendirin. Mailler hala aktif. Farklı banka isimlerinde gönderilmeye devam ediliyor. 

Herkese geçmiş olsun. 

CevapAlıntı
Gönderildi : 14/02/2014 14:30
DoganYildiz
(@DoganYildiz)
Üye

Cryptolocker olarak incelerseniz. RSA çift yönlü bir şifrelemeden söz ediliyor. A anahtarı sizin bilgisayarınızda şifreleme yapılırken oluşturuluyor. Problem ise B anahtarının karşı tarafın elinde olması. Bu sebepten bilgisayarda bulaşmadaki şifreleme anahtarının biliniyor olması gerekiyor ki B anahtarı elde edildiğinde şifreler geri çözülebilsin şu aşamada bulaşma olmadan engellenmesine çalışılmalı aksi durumda çözümsüz kalınacak gibi görülüyor. Söz konusu emaillerden örnek var mı? Emailin kendisi olmasa bile örnek teşkil edecek ekran görüntüsü vb.. ile bilgilendirme emailleri başlatılabilir.

Herkese tekrar geçmiş olsun kolay gelsin.

CevapAlıntı
Gönderildi : 14/02/2014 14:56
Sayfa 1 / 3
Paylaş: