Erasure

CryptoLocker virüsü şu sıralar TTNETın fatura servisi ile geliyor. Aslında TTNET ile ilgisi yok ancak TTNET arayüzünü kullanıyor.
Size gelen TTNET faturasını içerene emaile bakmakla ve de ekindeki faturayı görüntülemelde sisteminize bulaşıyor. Virüs programları ise buna tepki vermiyor.
Bir çok varyantı var ve benim size bahsettiğim CryptoLocker malesef çözümsüzler sınıfında yer alıyor.



TTNET emailindeki faturaya baktığınızda sisteme bulaşan virüs, çok kısa bir sürede çalışma dosyalannızı şifreliyor. Windows'a hiç bir şey yapmıyor.
Tamamen ofis dosyaları, pdf, jpg vs gibi dosya tiplerine bulaşıyor. Bulaştığını ise dosya uzantısından anlıyorsunuz ve tıkladığınızda açacak program bulamıyorsunuz.

Örneğin; deneme.jpg dosyanız ekran deneme.jpg.encypted gibi bir uzantıya sahip oluyor. CryptoLocker'un versiyonlan da bulunuyor ve v3 ile bu uzantı da artık görünmüyor.
Bu yüzden dosya uzantısını fark edemiyorsunuz. Ama ne zaman ki bu dosyaya ihtiyacınız oluyor, işte o zaman bulaştığını anlıyorsunuz.

Dosya uzantısını değiştirmek, tekrar eskisine çekmeniz de çözüm değil, zira dosyalannız AES-256 ile şifreleniyor. Bunu da kendi imkanlarınızla bulmanız yıllar sürebilir.
Her bilgisayarın bu şifreyi kırması için uygun donanıma sahip olmaması ve 256bit'lik bir şifre kullanılması işi tamamen kaos ortamına sokuyor. Virus tamamen baş belası diyebilirim.

Bulaştığı anda sisteme takılı ne varsa; SD kart, harici disk vs'deki dosyalarınızı etkiliyor.



Bulaştığı anda alacağınız ilk görüntü bu şekilde; zaten bunu gördüyseniz ve dosyalarınızın yedeği yoksa, sizin için kaos başlıyor demektir.




Virus bulaştığında ise şifrelediği yer dosyanın veya klasörün içerisinde bir açıklama dosyası bırakıyor. Bu dosya içerisinde de temizleme için talimatlar veriyor.
Ama bu iş sanıldığı kadar kolay değil ve sizden para talep eden bu sistemin, paranızı aldıktan sonra şifre açıcı anahtarı gönderip, göndermeyeceği ise tam bir bilinmezlik.

SIFRE_COZME_TALIMATI.html isimli dosya içerisinde bu temizleme adımları yer alıyor.
Sizden istenen 300 doları çeşitli sistemlerle ödedikten sonra decryptcryptolocker ve size email ile gönderilen anahtar (KEY) şifrelenmiş dosyaları kaldırmaya başlıyorsunuz.

Bu da örnek key; eğer parayı öderseniz size bunu email ile gönderecekler.
MIICWwIBAAKBgFEFU71H6IvEb1nFqcog3KCnPDWDGNYFkJ+gKO wQ5VOTCOkKjhwvW25t6fJaWaEQEDDO0dmk58XFWU5MzYLyGWul gqRalzqe4kM1kZ1MzeL8stMyqfUPAwxAtSbwmFEj3swZdulrqK 7Mk9izzOqFta7ixOi+HGK+w/pyTF9C/yaJAgMBAAECgYA2ssb/Ec4AlkSqsdTYPmlVGLKAWhppW2ZxLfqSrTF1w92PH24jvyEWI6 R+1tqN7z9PBEIOktNa5MpPH3Dbh8D69kuWgp7JQBhfyxnK8nRm 0DMDO5Wc3RlVhLNTreRPKKMwPELRVQEB9ZoLAZxEASkxlOrPAy WHbR4vJoeVrBB+VQJBAJKcIyWYm6y2SwRSz7Z4FPPna7RAHkWe pEPIgl/hYVO6V6rX9dSFHBLg7T+Fx2E/soTsx0+T677v8XwQtf0MMCQQCNeQ78LjYQgn5TXJyxxSvofJpM AcsPaa3vLwFyF2f7KQuElzgiXkHJllUzBad2PEAvmq5JpM4bx7/hlf6hfjbDAkAQM/dicVJLLT5vNOPF69GM/zeVDT0LPrQy1ZcrGssg56nW6Q8Bs4KJnosDkoOxXE9rA5Jp4Ee nmkeYo7xvEGDXAkEAid2hZsu50Bj69k3YPb1B7swOqWdN9XUtF VufcwmwQShcmxeqkoN8ZPDlklU+PpC0lC+PDSFX4eak7Td47vP KdQJASaalvGHNgwm6HsnxUgz6jT2dmiPBXwY+TfIU1EzbOpJpP MiN7YMTmPaAWS6Ldm4Reb4XOc/lMPeWolQflCRisQ==

Ama bunu göndermezlerse paranızın çöpe gitmesi de olasıklar arasında.


Şimdi neler yaptığıma geliyorum. Bu durum kardeşimin bilgisayarına bulaştı. Yukarıdaki durumlar tekrarlandı ve istemeden de olsa gelen email ekindeki faturaya tıklamaları ile sisteme bulaştı. Temizlemek için Malwarebytes ve RogueKillerX64_old kullandım. Her ikisi de sistemdeki zararlıları bularak sistemden temizlendi. En azından yayılmasını bununla engelledim. Ama virüs programları bunu bulamadığından veya fark edemediğinden temizlik için bu yazılımlar kullanılmalıdır.

Arkasından windows'un shadow copy özelliğinin açık olup olmadığını kontrol ettim.
Bunun için aşağıdaki resimdeki adımlarınızı kontrol edin. Aşağıdaki resimde sadece C sürücünün açık olduğunu göreceksiniz.
Ancak bendeki gibi birden fazla diskiniz varsa; bu durumda bütün disklerde açık hale gelmelidir. Bu alternatif yöntemlerden birisidir.

Eğer shadow copy özelliğiniz açık ise internetten indireceğiniz Shadowexplorer ile bu shadow copya'ları görerek dosyalarınızın bir kopyasını
çekebilirsiniz. Bu dosyalar şifrelenmediği için dosyalarınızı geri getirme için bir alternatif oluşturuyor. Ama bununla geri getirmek biraz uğraştıracaktır.




Bütün bunlara rağmen dosyalarınızı geri getiremediniz ise en güzel hareket düzenli alınan yedekleri geri sisteme yüklemekten geçiyor.
Ama çoğu kullanıcı bu duruma düşene kadar hiç bir yedeğini almaz. Özellikle benim gibi bu işe hakim, başına buna benzer bir durum gelen kullanıcılar.
Önemli dosyalarının 3 kopyasını saklayabilirler.

Benim yedek işini ciddiye almam, binlerce fotoğrafımı 1 aylık sıfır diskin kontrol kartının yanması ile başladı. Bunları kaybetmek ve geri getirmek için bilgim
dahilde denemeğim yöntem kalmamıştı ama başaramadım. Şimdi ise her dosyanın 3 yedeği ile çalışıyorum.

Yukarıdaki durumlarla sonuç alamazsanız ödeme yapma aşamasına geçmeniz gerekiyor. Eğer bunu yaparsanız, sizi internet sitesindeki adımların
olduğu bir çözüme yönlendireceklerdir. Paypal veya başka sistemlerle sizden aldıkları paraya karşılık yukarıdaki KEY'e benzer bir anahtarı size gönderecekler.

Bunu yaptıklarında ise size bir program ve key gelecektir. Programın kullanımını ise aşağıya veriyorum ama KEY olmadan bir işe yaramıyor.

Tek dosya kurtarmak için aşağıdaki gibi bir komut satırı kullanacaksınız ve bunu DOS ortamında yapmanız gerekiyor.
Decryptolocker.exe –key “Email ile gelen Key” Şifrelidosya.doc

Klasörün içerisindeki dosyaların şifresini kaldırmak içinse;
Decryptolocker.exe –key “Key” C:\Klasör Adı\*

Son olarak bütün C sürücündeki şifreli dosyaları normal haline getirmek için;
Decryptolocker.exe –key “Key” -r C:\

Kullanılmalıdır. Ama bu tamamen size bulaşan şifrelemenin tipine, çözüm ayrıntılarına göre değişebilir. Zira CryptoLocker'a benzer bir sürü şifreleme var.
Size hangisi denk gelir, bunu bilmek zor.


sonuçta bu aşamaya gelmemek için TTNET email'i veya tanımadığınız bir yerden geldiğini düşündüğünüz email'deki ek'i mutlaka iyi analiz edin.
EK kesinlikle zip içindeki exe veya direkt exe gibi bir uzantı içermemeli, yoksa bunu anında bulaştırmış olursunuz.

Gelelim alternatif çözüm var mı sorusuna; malesef bütün araştırmalarımda bunu çözecek bir sistem, program vs bulamadım.
Tübitak'ın kendi sitesinde bu virüs ile ilgili olarak günde 5 tane dosyanın çözülmesini sağlayan bir arabirim ama buraya gittiğimde linkin askıya alındığını gördüm.
Yani o kadar çok bulaşan bilgisayar ve dosya var ki; bunların temizlenmesine imkan yok. Zaten bu yüzden de Tübitak dosya akınını karşılayamaz hale gelmiş.

Umarım bulaşmaz; oldu ya bulaştı, paranız yok, yedeğiniz de yok. İşte bu durumda 2 seçeneğiniz var. Ya sıfırdan windows kurulacak ve dosyalara elveda denilecek.
Ya da duruma göre ilk resimde göreceğiniz gibi 1 yıla yakın süre sonunda -bu kadar zaman dosyalarınızı kullanmanıza imkan yok- kendiliğinden açılacak.
Elbette bunun da bir garantisi yok.

Tabii bu arada dosyalar gözünüzün önünde duruyor olacaktır. Hiçbirisini de kullanamayacağınız için sinir bozacaktır.

Herkese sorunsuz ve sıkıntısız günler diliyorum, mutlaka yedek alın ve bu yedek disk vs kesinlikle bilgisayara bağlı olmasın, yoksa oradaki yedeklerinizi de kaybedersiniz.