TTNET Cryptolocker ...
 
Bildirimler
Hepsini Temizle

TTNET Cryptolocker virüsü nasıl temizlenir  

Sayfa 1 / 7
  RSS
Cafet Atabay
(@CafetAtabay)
Üye

Geçen hafta mailime gelen ttnet faturasını açtım olan oldu. Bizim servis olayı çözemedi televizyonlarda da çıktı bu virüs, halen çözümü yok dediler.
Herneyse ilk olarak bu forumda bir facebook adresi yayınlamışsınız virüsleri çözebiliyorlar diye. Adres şu : https://www.facebook.com/BilgiKurtarma burdan arkadaşlarla iletişime geçtim biraz geç döndüler ama bilgisayarımı gönderdikten sonra sorunumu hemen çözdüler. Şuan bütün dosyalarım açılıyor.

İkinci olarak uzman bilgisayarcılar sayfasından alıntıdır.

Üzülerek belirtiyorumki şuan için mevcut TTNET Fatura
virüsünün şifrelediği dosyaları çözmek için çözüm yöntemi yok.
Aşağıdaki çözüm 2 bölümünde yerlan TTNET Fatura virüsü çözümünü
deneyebilirsiniz.

Öncelikle geçmiş olsun. Eğer form
değiştirmemiş CryptoLocker virüsü ile karşı karşıyaysanız bunun için bir
çözüm var.  Öncelikle virüsü temizlemek sorun değil. Sorun
olan  .encrypted uzantılı dosyalar yani şifrelenmiş dosyalar.   Daha
önceki CryptoLocker  virüsü örneklerinde virüs önemli
dosyalarınızı AES-256-bit  ile oldukça güçlü ve çözülmesi imkansız
denecek bir şifreleme algoritması ile şifreliyordu. Eğer sizdeki form
değiştirmemiş bir CryptoLocker virüsü ise bütün önemli
dosyalarınız AES-256-bit ile şifrelenmiş demektir.

Aşağıda iki çözüm mevcut. Size bulaşan virüs farklı bir varyanta sahip olabilir. İkisini de denemenizde yarar var.

CryptoLocker virüsü gibi virüsler fidye virüsü olarak adlandırılır.

Geçtiğimiz
yaz aylarında FireEye ve FOX IT adlı iki güvenlik şirketi CryptoLocker
virüsünün şifrelediği dosyaları ve virüsü analiz ederek, tersine
mühendislik yolu ile bir online şifre çözme uygulaması devreye aldılar.
Eğer şansınız varsa CryptoLocker virüsünün form değiştirmemiş bir
versiyonu ile karşı karşıyasınızdır.

Aşağıda hem CryptoLocker
virüsü temizleme hem de şifreli dosyaların nasıl açılacağına dair bir
çözüm yolu paylaşacağım. Denemenizde yarar var.

CryptoLocker virüsü nasıl temizlenir?

CryptoLocker
virüsü temizleme işlemi iki adımdan oluşacak. Önce virüsün enfekte
olduğu sistem temizlenecek daha sonra da şifreli dosyaların şifrelerinin
nasıl çözüleceğini anlatacağım. Şuan için CryptoLocker virüsü temizleme
için en etkin ve tek geçerli yol olarak bu anlatacağım yöntem söz
konusu.

CryptoLocker virüsü şuanda pek çok güncel antivirüs tarafından tespit edilebiliyor ve temizlenebiliyor.

  1. Öncelikle bilgisayarınızı virüs taramasından geçirin. 

    Norton Power Eraser nedir? Nasıl Kullanılır? ile bilgisayarınızı önce taratın. Bu işlemden sonra 

    Dr.Web CureIt! nedir? Dr.Web CureIt! nasıl kullanılır? ile bilgisayarınızı tarafın.

     Daha sonra bilgiayarın tamamen virüslerden arındığından emin olmak için Malwarebytes nedir? Malwarebytes nasıl kullanılır? ile
    bilgisayarınızı taratın. Burada 3 farklı antivirüs ile taratırmandaki
    sebep virüsün form değiştirmiş olma ihtimali. Eğer Norton Power Eraser
    virüsü bulursa ve temizlerse daha sonra sadece Dr Web veya Malwarebytes
    ile bilgisayarınızı taratmanız yeterlidir.

  2. Daha sonra virüsün etkilediği dosyalardaki şifrelemeyi kaldırmak için aşağıdaki işlemleri deneyin

CryptoLocker virüsünün şifrelediği dosyalar nasıl açılır?

CryptoLocker virüsü ile şifrelenen dosyalar AES-256
ile şifrelenir. Bu bir şifreleme algoritmasıdır ve AES-256 ile
şifrelenen dosyalar  normal koşullarda KEY yani anahtar dosya olmadan
açılamazlar. Maalesef ortalıkda tek bir 
CryptoLocker virüsü yok. Birden fazla taklitçi CryptoLocker virüsü mevcut. Maalesef bu yöntem son zamanlardaki TTNET Fatura virüsü içinn geçerli değildir.

CryptoLocker virüsünün şifrelediği dosyaların şifresini kaldırmak için aşağıdaki adımları takip edin:

CryptoLocker virüsünün şifrelediği dosya için Private KEY edinme:
Private
KEY CryptoLocker virüsünün şifrelediği dosyaları çözmek için gerekli
anahtar metindir. Aşağıdaki adımlar ile bu KEY yani anahtarı nasıl
oluşturacaksınız bulabilirsiniz.

  1. Buradaya tıklayarak FireEye ve Fox IT web sitesi olan decryptcryptolocker web sitesini açın.
  2. Formu doldurun. Email adresinizi yazın. Şifreyi çözmek için gerekli Key dosyası email adresinize gönderilecektir.
    Choose File butonuna tıklayarak .encrypted uzantılı şifreli dosyasınız seçin.
    reCAPTCHA ekranında ekranda resimde gördüğünüz karakterleri Metni Yazın yazan kutuya doğru şekilde yazın.

 

Alıntı
Gönderildi : 16/12/2014 16:40
oldmember
(@yavuzfilizlibay)
Üye

Bilgi için teşekkürler.

CevapAlıntı
Gönderildi : 18/12/2014 01:17
Muhammed AKBABA
(@MuhammedAKBABA)
Üye

Merhaba,

TTNet virüsü ile ilgili çözüm üreten arkadaşların iletişim bilgilerini verebilir misin? Facebook sayfalarından ulaşılamıyor.

Teşekkürler. 

CevapAlıntı
Gönderildi : 20/12/2014 14:16
Cafet Atabay
(@CafetAtabay)
Üye

Facebook adresinden başka birde telefonları var elimde fakat burda vermek doğru olmaz. özel mesaj yazarsanız ulaşabilirsiniz

CevapAlıntı
Gönderildi : 31/12/2014 03:38
musa duzgun
(@musaduzgun)
Üye

Adresler silinmiş sanırım. Nasıl ulaşabiliriz?

CevapAlıntı
Gönderildi : 31/12/2014 15:18
Mehmet YAYLA
(@mehmetyayla)
Üye

Malesef bu yöntemler cyrtolocker v2 için geçerli değil
Şuan TUBITAK'ta sorunun üzerinde çalışmakta.

V2 sürümünde virüs shadow copy'lerinizi ve sistem geri yükleme noktalarınızı da siliyor.

Fakat silme işlemi kesinlikle hard delete şeklinde olmuyor. Yani mutlaka silinen bu shadow copy yedeklerinize ulaşabilme imkanınız var.
Bu yedekleri geri getirerek dosyalarınıza erişim imkanınız bulunuyor.

Tabii bu bahsettiğim yöntemler XP'de çalışmıyor (Eğer manual açılmadıysa)

İnternet ortamında şifreleri kırdığını söyleyen kişilere itibar etmeyiniz, zira 256 bit ile şifrelenmiş ve şifre (64 karakter uzunluğunda karışık harf/rakam/sembollerden oluşan) wordlist bruteforce gibi yöntemlerle kırmak yıllar alabilecek bir işlemdir.

CevapAlıntı
Gönderildi : 14/02/2015 21:47
Rumeysa Bozdemir
(@RumeysaBozdemir)
Üye

Merhaba,

TUBITAK aşağıdaki linkte sadece 4 dosya çözümlemeye izin veriyor. Daha fazla çözümleyebilmenin bir yolu yok mudur acaba?

Bendeki dosyalarda .encrypted uzantılı...

Link:  https://zar.sge.gov.tr/Decrypter/FileUpload  

CevapAlıntı
Gönderildi : 19/02/2015 12:59
Ufuk ARSLAN
(@UfukARSLAN)
Üye

https://www.decryptcryptolocker.com/Decryptolocker.exe

Şu yazılımı kimse denenemiş anlaşılan

CevapAlıntı
Gönderildi : 21/02/2015 20:05
Mehmet YAYLA
(@mehmetyayla)
Üye

[quote user="Ufuk ARSLAN"]

https://www.decryptcryptolocker.com/Decryptolocker.exe

Şu yazılımı kimse denenemiş anlaşılan[/quote]

 

Bu adresler virüsün ilk varyantı için geçerliydi. Şimdi çalışmazlar. 

CevapAlıntı
Gönderildi : 23/02/2015 13:04
Rumeysa Bozdemir
(@RumeysaBozdemir)
Üye

TorrentUnlocker adında bir program var 2MB ya da üzerinde boyutu olan bir .encrypted uzantılı dosyayının eğer elinizde yedeği varsa ikisini eşleştirip açılabileceği söyleniyor. Ben bir türlü temizini bulamadım.

4 tane çözümleme yapmama izin veren site artık izinde vermiyor. Eğer programını önceden bulabilseydim belki bir avantajı olurdu. Böylelikle sitede 2MB'yi açtırır denerdim... Belki size bir faydası olur diye paylaşayım dedim.

CevapAlıntı
Gönderildi : 24/02/2015 20:08
YAŞAR ASLAN
(@YASARASLAN)
Üye

Merhaba arkadaşlar şirketimizde bir çalışanımıza yaptığımız uyarılara rağmen merak etmiş ve virüsü bilgisayarına bulaştırmış. Sabah itibari ile saatlerce uğraştım ama bir çözüm bulamadım taki 10 dk öncesine kadar. Uzatmadan bilgisayarınızı iyi bir anti virüs programı ile temizledikten sonra aşağıdaki yöntemi deneyin. Evet çalışmalarınız belli bir tarihe kadar olmayabilir ama en azından çok fazla bir şey kaybetmezsiniz diye düşünüyorum.  

C:'ya sağ tıklayın, önceki sürümleri geri yükle'ye tıklayın. Sonra önceki sürümleri arayan bir sayfa gelecek. Bekleyin arasın. Sonra sistem geri yüklemenin kayıtlı olduğu tarihler ekrana gelecek. Virüs bulaşmadan önceki bir tarihe girip bakabilirsiniz. Dosyalarınızın birer kopyası zaten bu tarihlerde var. Ben en basitinden ilgili tarihteki masaüstü dosyalarına baktım, hepsi şifresiz, açılabiliyor. (alıntıdır).

 

 

CevapAlıntı
Gönderildi : 25/02/2015 18:22
Ugur DEMIR
(@ugurdemir)
Onursal Üye

Selamlar,

Cryptolockerdan kurtulmak için, mail server önüne bir gateway koyun. Brightmail kullanabilirsiniz, buna ek olarak içerde de symantec Sep kullanabilirsiniz. Sep yakalıyor. http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malware

Kolay gelsin. 

CevapAlıntı
Gönderildi : 08/03/2015 01:26
Mehmet YAYLA
(@mehmetyayla)
Üye

Bu ve türevi saldırılar için kaynak :  http://www.mehmetyayla.com/cryptolocker-v2/

CevapAlıntı
Gönderildi : 11/03/2015 12:35
Uğuray Taşkın
(@uguraytaskin)
Üye

Başlığın adı bozuk gözüküyor sanırım düzeltebilir misiniz?

CevapAlıntı
Gönderildi : 13/03/2015 02:04
Emre Demirci
(@EmreDemirci)
Üye

[quote user="Ugur DEMIR"]

Selamlar,

Cryptolockerdan kurtulmak için, mail server önüne bir gateway koyun. Brightmail kullanabilirsiniz, buna ek olarak içerde de symantec Sep kullanabilirsiniz. Sep yakalıyor. http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malware

Kolay gelsin. 

[/quote]

Merhaba e-mail filtresi spam olarak tanımlanmıyor. Cryptolocker virüsünü yayanlar onu düşünmüş. Virüsü yayanları fazla hafife almayın ! Para almak için siber saldırıya yakın teknikler kullanıyorlar.

Önlemek için metotlarını iyi analiz etmek gerekiyor:
Virüsü yaydıkları dosya paylaşım sitesini "https" olarak düşünmüşler ki "http" tarayan güvenlik duvarından geçsinler. Açıktan da "exe" dosyası gelmiyor. "zip" olarak geliyor. Böylece güvenlik duvarında "exe" uzantısını engelini aşıyor. Kişisel dosyaları şifrelediği ve sistem tarafına müdahale etmediği için 
AV heuristic tarama devreye girmiyor. Ancak imza tabanlı güncelleme ile yakalanıyor. Yani para almak için ciddi ciddi planlama yapmışlar. Önlemenin tek yolu kullanıcının phishing yemini yutmamasını için belirli bir kategoriye girmeyen siteleri bloklamak veya kullanıcıya uyarı ekranı çıkartmak.

"gmail şifrenizin süresi dolmuştur", "banka hesabınızdan .... miktar çekilmiştir", "ttnet faturanız" gibi web sayfasına yönlendiren phishing e-postlarından korunmak için benim uyguladığım yöntem kategorisi olmayan web sitelerinde güvenlik duvarının kullanıcıya uyarı çıkartmasını sağlamak. Kategoriye girmemiş bildik tanıdık siteleri kullanıcı rapor ettiğinde güvenlik duvarından beyaz listeye ekliyorum.

Finans gibi kritik departmanların güvenlik duvarı tanımını "beyaz listeye" dayalı şekilde yaparım. web sayfasından gelecek zararlı yazılıma karşı anti-virüsten medet beklemiyorum. 🙂

CevapAlıntı
Gönderildi : 15/03/2015 15:37
Mehmet YAYLA
(@mehmetyayla)
Üye

Eğer shadow copy açık ve kopyalar silinmişse kurtarma yoluna gidiniz.

CevapAlıntı
Gönderildi : 26/03/2015 17:44
Mehmet YAYLA
(@mehmetyayla)
Üye

Virüs bu sabah itibarı ile tekrar aktifleşmiştir. Önlem almanızı tavsiye ederim ( 25.06.2015 ) 

CevapAlıntı
Gönderildi : 25/06/2015 13:52
Turhan Gürsu
(@TurhanGursu)
Üye

Defalarca uyarmamıza rağmen, bu sabah bir çalışanımız daha yakalandı bu virüse. Toplam vak'a sayısı 4e yükseldi...

CevapAlıntı
Gönderildi : 25/06/2015 15:06
Emre Oktay
(@EmreOktay)
Üye

Merhaba,

Bu tehdidin önüne Cyberoam tarafında nasıl geçebiliriz ? 

CevapAlıntı
Gönderildi : 25/06/2015 22:01
Sayfa 1 / 7
Paylaş: