0

CryptoLocker v2 – Şifreleme Virüsü Çözüm Yöntemleri

CryptoLocker veya daha anlaşılır bir ifade ile, bilgisayarlarınızdaki tüm dosyaları çok güçlü biçimde şifreleyen ve dosyalarınızın bazen adını, bazen de sadece uzantısını değiştirerek sizden fidye talep eden zararlı yazılımlar…
Eğer bu türden bir sorunla karşılaştıysanız detaylı bilgi ve çözüm önerileri aşağıdadır. Ayrıca bu makale sürekli güncel tutulacaktır.
Etkin ve güncel çözümler için lütfen “Nasıl Çözülür” kısmına dek okuyunuz.

Bilindiği üzere, cryptolocker veya şifreleme virüsü olarak adlandırılan ve mail, internet, RDP gibi birçok farklı yolla bulaşan zararlıların yüzlerce farklı çeşidi ve yüzlerce farklı isimle adlandırılan türü bulunmaktadır. Bizler buna cryptolocker varyantları diyoruz.
Bu yüzlerce varyantın büyük çoğunluğuna çözüm üretilebileceği gibi, ne yazık ki çözümü olmayan veya hiç olmayacak türlerde bulunmaktadır.

Bu yazı,  sizi çözüme ulaştırmak ve yaşadığınız soruna dair bilgi vermek amacıyla hazırlanmıştır. Zira bu zararlılar, klasik bir virüs gibi hareket etmediğinden, kişi veya kurumların uyguladığı çözümler başarısız kaldığında, panik ve karamsarlık oluştuğunu gözlemliyorum.

Not : Yukarıda da değindiğim gibi, birçok varyant için çözüm üretiliyor, veya mutlaka zaman içinde üretilmiş olacaktır.  Her varyant kendi özelinde değerlendirildiğinden, hangi tür ile muhatap olduğumuzu anlamadan çözüm hakkında yorum ve bilgi vermekte imkansızdır.
Bu durum gözönüne alındığında, varyant tespitini yapmak üzere bana 1 adet örnek dosya gönderirseniz, varsa çözümü veya çözüm konusundaki tavsiyelerimi hızlıcasize iletebilirim.

şifrelenmiş/bozulmuş/uzantısı değişmiş bir dosyanızı aşağıdaki mailden iletebilirsiniz.

mail : ben@mehmetyayla.com )

Aşağıya telefon numaramı da yazıyorum ama, yoğunluğumdan ötürü önceliğimin yazılı iletişim olduğunu belirtmeliyim.
Mail gönderirken, virüsün size bıraktığı not (txt, html, hta) dosyalarını göndermenize gerek yok. Bu ekler mail sunucuları tarafından engellendiğinden, mailiniz zaman zaman ulaşmayabiliyor.
Eğer gerekli olursa, ya da maruz kaldığınız zararlının varyantını tespit etmekte zorlanırsak, winrar ile sıkıştırıp mail ile, ya da wetransfer üzerinden daha sonra gönderebilirsiniz.

Ayrıca bu makalenin “Nasıl Çözülür” bölümünde zaman içinde çıkan çözümleri paylaşıyorum.
Herhangi bir çözüm aracı üretilmemiş olsa dahi, özellikle MS SQL ( MDF/LDF ), MySQL , PST (outlook data), Ms Acess,  dosyalarında kurtarma/onarma oranı ciddi oranda -%99,9-  yüksektir 

Detaylı bilgi ve çözüm önerisi veya varyant tespiti için, mail adresime 1 adet örnek dosya gönderebilirsiniz.
Hemen dosya göndermek için : ben@mehmetyayla.com  mailini kullanabilir,
ya da mail ile uğraşmak istemiyorsanız,  Wetransfer(TakeMe to Free Tıklayınız)  ile dosyayı doğrudan yükleyebilirsiniz.
Mail ulaştığında, elimden geldiğince ivedilikle geri dönüş sağlamaya, sizi sorunla ilgili bilgilendirmeye ve çözüme yönlendirmeye çalışıyorum.

Ayrıca aşağıdaki iletişim kanallarından da iletişim sağlayabilirsiniz.
Telefon : (+90)  542 590 44 00
Mail : 
ben@mehmetyayla.com
( yoğunluğumdan ötürü sadece WhatsApp,Viber, Telegram, Sms iletişimini tercih ediyorum)

Önemli not:
An itibarı ile 254 sayısına ulaşmış tüm cryptolocker sürümlerine karşı şuana kadar bilinen en etkili ve basit çözüm “Shadow Explorer” uygulamasıdır.
Lütfen herhangi bir işlem yapmadan önce, eğer gölge kopyalarınız silinmemişse, buradan dosyalarınızı Shadow Explorer ile kurtarma yolunu deneyiniz.
Eğer gölge kopyalarınız silinmemiş, ama Shadow Explorer ile kurtardığınızda dosyalar bozuk geliyorsa, bilgisayarı yetkisiz bir kullanıcı ile açıp, gölge yedeklerinizi bu şekilde almayı deneyebilirsiniz.
Shadow Explorer için : Tıklayınız

Ayrıca; Eğer dropbox, gdrive, one drive gibi bulut yedekleme platformlarını kullanıyorsanız ve bu platformlarda etkilenmiş ise, lütfen buluttaki bu dosyalar/klasörler üzerine sağ tuş ile tıklayıp önceki sürümler özelliğini kullanarak dosyalarınızın bir önceki sürümünü geri yükleyiniz.

Ek olarak; eğer yetkin değilseniz, virüsün değiştirdiği dosya uzantılarını silmeyiniz,değiştirmeyiniz. Bunun bir faydası olmayacaktır.
Yine virüsün bıraktığı txt/html dosyalarını silmeyiniz, değiştirmeyiniz.

Virüs bulaşmış sistemlerinizi, Zemana Anti Malware kullanarak temizleyebilirsiniz.
Zemana Anti Malware için : Tıklayınız
Zemana AntiLogger için : Tıklayınız
( AntiLogger : Reklam, Bankacılık Zararlıları, Ransomware, KeyLogger gibi tuzaklarından sizi büyük oranda korur )
Not: bu uygulama zararlı bulaşmış bilgisayarlardaki dosyaları kurtarmaz, sadece çalışan zararlıyı uzaklaştırır. Yine uygulamayı bu türden saldırılardan korunmak için de kullanabilirsiniz. Fakat ısrarla vurgulamak isterim ki, bu tür zararlılardan,  herhangi bir güvenlik çözümünü kullanarak %100 korunamazsınız, bu tür uygulamalarla riski minimize etmiş olursunuz.
[ %100 koruma = Yedek ve hatta yedeğin yedeği ]

Not: İlgili zararlı sisteminize bulaşmış ise aşağıdaki 2 paragrafı hızlıca geçebilirsiniz. Zira bu 2 paragraf sadece korunma yöntemleri içermektedir.

(15.12.2016 tarihi itibarı ile ) “Mevcut varyantları” tespit eden ve bulaşmasını engelleyen free bir uygulama geliştirilmiş ve kullanıcıların hizmetine sunulmuştur.
Cybereason Anti-CryptoLocker indirmek için Tıklayınız
Not: bu uygulama zararlı bulaşmış bilgisayarlardaki dosyaları kurtarmaz.

Ayrıca; korunmaya ilişkin diğer makalemi inceleyebilirsiniz :
Makale için :  Tıklayınız 

id-ransomware raporuna göre, bugüne dek tespit edilen varyant sayısı 250’nin üzerindedir.
Ayrıca, F-Secure raporuna göre 2016 yılında yeni çıkan türev sayısı 197, 2017 yılında ise henüz 8 tanedir.  (artarak devam ediyor…)

Bu farklı varyantlardan bazıları için güvenlik firmaları, bazıları için bağımsız araştırmacılar, bazıları içinse bizim gibi gönüllü yazılımcılar tarafından çözüm aracı üretilmiş ve herkesin erişimine sunulmuştur. ( aşağıda bunları vermeye çalışıyorum )
Bazı varyantlara ise, sadece belli yurt dışı yazılım firmaları tarafından lisans/destek bedeli karşılığında çözüm sağlanmaktadır.
Yine bazı varyantların ise henüz herhangi bir çözümü bulunmamasına rağmen, araştırmalar/testler sürmektedir.

Öncelikle belirtmeliyim ki;
Cryptolocker virüsü bilgsayarınızın isletim sistemine ve calisma prensibine zarar vermez. (yeni tip virüsün bilgisayarı çalışamaz hale getirdiği iddia edilse de, şimdilik böyle bir vaka ile karşılaşılmamıştır.) Virüs (zararlı yazılım ); aslinda sizin de farkli araclarla yapabileceginiz bir sifreleme uygular ve dosyalarınızın uzantısını değiştirerek ( Encrypted, Enc, Locky, Zepto, Thor, Axx, Crypted, Crypt, Cerber3, Cerber4, dharma , wallet ,  india.com , aol.com, spora, hakunamatata, locked, zyka, kraken_cc, mail.cz, fgb45ft3pqamyji7.onion, wcry, wannacry, mole, atlas, master, svn,wlu,jaff, arena, cesar vb… bu liste çok uzayacaktır. ) ya da daha farklı uzantılara çevirebilir, ya da dosya ismini tamamen değiştirebilir. çeşitli açık kaynak şifreleme kütüphaneleriyle ve çok güçlü olan bu şifreleme, cesitli yol ve yontemlerle kirilmaya calisilsa dahi, yillar alacak kadar karisik ve uzun bir şifrelemedir.  Çözüm; şifreyi kırmaya yönelik ya da bu yolla değil, zararlı yazılımlardaki geliştirici hatalarıalgoritma hatalarıarka kapılar ve zayıflıklar gibi yöntemlere dayanır.

Bu yazılım bilgisayardan kolaylıkla temizlenebilir, asıl sorun bilgisayardan temizlemek değil, şifreli dosyaları açmaktır. Virüsü temizleseniz, hatta format atsanız dahi, dosyalar şifreli olarak kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü temizlemek değil, dosyaları kurtarmak olmalı. ( format atarak ya da antivirüs programıyla taratarak onarabileceğinizi düşünüyorsanız, bozulan herhangi bir dosyanızı  temiz bir makinaya taşıyarak test edebilirsiniz. )

Notlar:
+ Bu makale sürekli güncel kalacaktır. Makaleyi takip ederek tüm güncellemelerden haberdar olabilirsiniz.
+ Kronolojik olarak paylaştığım gelişmelerin bazıları zararlının bir sonraki sürümünde geçersiz kılınmış olabilir.
+ Tavsiye edilen yazılımların virüsün her varyantında etkin ve koruyucu olduğunun garantisi yoktur. Bu yazılımları kullandıktan sonra doğabilecek zararlardan dolayı sorumluluk size aittir.
+ Eğer bahsedilen bu simetrik şifrelemenin teoriğini/mantığını öğrenmek isterseniz aşağıdaki video’da şifreleme tekniği anlatılmıştır.
Video için : Tıklayınız  ( link sadece mantığı ihtiva eder, çözüm  içermez)

Nasıl Bulaşır ?
Her zararlının kendine has bulaşma yöntemleri olsa da, geneli şöyledir;
+ Mail ekine ve linkine tıkladığınızda
+ Torrent’lerden ya da farklı bir kaynaktan indirdiğiniz resmi olmayan oyun, film, müzik dosyalarıyla
+ Uzak Masaüstü zaafiyeti ( RDP ) ya da diğer servislerin açıklıklarını kullanarak.
+ Online film, dizi izleme platformlarında çalıştırdığınız flash/java eklentileriyle
+ Ele geçirilmiş ve resmi olduğunu düşündüğünüz kaynaklardan indirdiğiniz uygulamalar ile
( örnek : ammyy admin )
+ Web tarayıcı eklentileriyle
+ Çeşitli blog ve haber portalları ( istemsiz )
+ Çeşitli ilan siteleri ( istemsiz )

Çalışan zararlı uygulama nasıl temizlenir ?
Aşağıdaki linklerini verdiğim Zemana ( birincil tavsiye ), Malwarebytes ve Combofix yalnızca dosyaları şifreleyen zararlı uygulamayı bilgisayarınızdan uzaklaştırır. Dosyalarınızın açılmasını sağlamaz.
Dosyalarınızın açılmasını sağlayabilecek ilgili araçların bilgisini Nasıl Çözülürkısmına bakarak yoksa mail ileterek alabilirsiniz. 
Zemana Antimalware
 ile bilgisayarınızı taratarak zararlıdan temizleyebilirsiniz.
Aynı zamanda yerli bir üretici tarafından geliştirilen bu yazılımı isterseniz satınalarak cihazlarınızı daha sonra gelebilecek malware saldırılarına karşı koruyabilirsiniz.
Zemana Antimalware indirmek için : Tıklayınız
İsterseniz Zemana Antimalware uygulamalasına alternatif olabilecek,
Malwarebytes uygulaması ile  bilgisayarınızı zararlıdan temizleyebilirsiniz.
Malwarebytes için :  Tıklayınız
Daha sonra bilgisayarınızda Combofix çalıştırabilirsiniz :
Combofix için (opsiyonel ) : Tıklayınız

İlgili zararlıların sizi farkli zamanlarda tekrar etkilememesi ya da etkilese dahi bundan en az zararla nasıl kurtulabilirsiniz sorusuna yönelik cevaplar ve çözüm önerileri paylaşacağım.

Nasıl Çözülür?
+ Bahse konu virüs çok çabuk gelişme sağladığından, kronolojik olarak paylaştığım çözüm önerileri sizin de göreceğiniz üzere virüsün bir sonraki sürümünde geçerliliğini yitirmektedir.
+ İlgili zararlılar eğer çözüm bulunmuşsa bir sonraki sürümü ile yayıldığından, hangi varyant ve hangi sürüm olduğu önemlidir. (varyant tespiti için de iletişime geçebilirsiniz)
+ Paylaştığım araçlar yalnızca bahsedilen sürüm için geçerlidir.

Örnek olarak, ülkemizde sık görülen ve çözümü üretilmiş zararlılardan bazıları şöyledir;
TeslaCrypt 1-2-3-4  ( ccc, vvv, xxx, mp3, ezz, ecc, uzantı olmadan )
CrySis ( xtbl, ytbl, india , arena, cezar, cesar )
Cerber-1 ( cerber )
Globe 2-3  ( decrypt2017, hnumkhotep, duhust vs…)
Jigsaw ( jigsaw )
Nemucod ( nemucod )
Dharma ( .dharma )
Wallet (.wallet )
Wannacry (wcry)
AES-NI (aes-ni)
Locky ( ykcol, lukitus )
(listede olmayan varyantlar için mail ile ya da wetransferden dosya gönderebilirsiniz.)

Güncelleme ( 05.09.2017 )
CryptoMIX 
olarak adlandırılan ve dosya uzantılarını .arena olarak değiştiren yeni bir varyant tespit edilmiştir.  Bu varyantın tehlikesi hem mail spam hem de açık RDP portlarını kullanıyor olmasıdır.  SQL, rar, zip, pst gibi dosyalar çok büyük oranda çözülebilmekte olup, diğer dosya türleri için iletişime geçmenizi tavsiye ederim.

Güncelleme ( 26.09.2017 )
Locky 
olarak adlandırdığımız ve dosya türlerini ykcol olarak değiştiren yeni bir zararlı tespit edilmiştir. Mail ile gelen bu varyanta karşı çözüm üretilip üretilmeyeceğine dair bilgiyi mail ile alabilirsiniz.

Güncelleme ( 26.05.2017 )
AES-NI varyantı için çözüm üretilmiştir : Tıklayınız

Güncelleme (22.05.2017 )
onion
 ya da atlas olarak dosyaları şifreleyen ve RDP portunu kullanan yeni dharma/wallet varyantı tespit edilmiştir. ( RDP portalarınızı dışarıya kapatmanız önemlidir )

Güncelleme ( 21.05.2017 )
Wannacry için ücretsiz çözüm yayımlanmıştır : Tıklayınız

Güncelleme ( 21.05.2017 )
Yine uzak masaüstü açığı kullanılarak ( RDP ) gerçekleşen ve ACCDFISA v2 olarak adlandırılan ve dosya uzantılarını (!! to get password email id to bracode17@gmail.com !!) gibi değiştiren zararlı, bazı büyük boyutlu dosyalar için çözüm üretilebilmektedir.
( dosya göndermek için : ben@mehmetyayla.com  ya da Wetransfer  )

Güncelleme (18.05.2017 )
Dharma/Wallet
 olarak adlandırılan ve uzunca zaman birçok insanı etkileyen zararlı için çözüm üretilmiştir.
Çözücü için : Tıklayınız

Güncelleme ( 12.05.2017 )
WannaCry
 olarak adlandırılan ve dosyaların uzantılarını *.wcry olarak değiştiren zararlı hakkındaki makalemi şuradan okuyabilirsiniz : Tıklayınız
Eğer bilgisayarınızı etkilenmeden sonra kapatmadıysanız #WannaKiwi ile dosyalarınızı kurtarabilirsiniz : Tıklayınız 
Çözüme dair notlar, linkte verilmektedir.
Çözüme dair notlar:
( Genel Tanımlamalar )

Çözüm kronolojisi :
Güncelleme ( 01.05.2017)
Uzak masaüstü açıklarından faydalanan Nemesis/CrypON olarak adlandırılan ve dosyaların uzantılarını, fgb45ft3pqamyji7.onion olarak değiştiren bir varyant tespit edilmiştir. Eğer virüs sisteminize bulaştıysa,  1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( Hemen dosya göndermek için : ben@mehmetyayla.com  ya da Wetransfer  )

Güncelleme ( 05.03.2017 )
E-mail ekinde (sipariş maili ) bir ofis (excel) dosyası ile gelen ve  dosya uzantılarını
6 farklı karakterle değiştiren TorrentLocker V4 saldırısı aktiftir.
Eğer virüs sisteminize bulaştıysa,  1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
(  dosya göndermek için : ben@mehmetyayla.com  ya da Wetransfer  )

Güncelleme ( 02.03.2017 )
E-mail ekinde bir ofis (word/excel) dosyası ile gelen ve  dosya uzantılarını
sage olarak değiştiren sage virüsü aktiftir.
Eğer virüs sisteminize bulaştıysa,  1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( dosya göndermek için : ben@mehmetyayla.com  ya da Wetransfer  )

Güncelleme ( 02.03.2017 )
Muhtemel yine RDP ( uzak masaüstü ) ile gelen bir çeşit zararlı dosya uzantılarını
( SN-000000000000- info@kraken.cc_worldcza@email.cz ) olarak değiştirmekte ve dosyalarınızı şifrelemektedir.
Eğer virüs sisteminize bulaştıysa,  1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
(  dosya göndermek için : ben@mehmetyayla.com  ya da Wetransfer  )

Güncelleme ( 01.03.2017 )
Dharma fidye virüsü için, geliştiricileri tarafından master key yayınlanmış ve bu master key kullanılarak uzantısı .dharma olan dosyalarınız için çözüm üretilmiştir.
Görüleceği üzere, zararlıyı yazan kişiler, zaman zaman belli amaçlarına ulaştıktan sonra çözümü de yayınlayabiliyorlar. Bu sebeple her ne olursa olsun dosyalarınızı saklamanızı tavsiye ederim.
Dharma dosyalarınızın çözümü için : Tıklayınız

Güncelleme ( 04.01.2017 )
Hakunamatata veya Spora virüsü olarak adlandırılan ve dosyaların uzantısını da aynı isimle değiştiren ve RDP Brute-Force ile hak elde edip dosyaları şifreleyen yeni bir zararlı tespit edilmiştir.
Korunmak için :
Öncelikle RDP ( remote desktop ) portunu kesinlikle ( port değiştirilmiş olsa da ) dışarıya açmayın. RDP yapmanız gerekiyorsa VPN kullanarak yapın.
Ek olarak Secure RDP için : Tıklayınız
( dosya göndermek için : ben@mehmetyayla.com  ya da Wetransfer  )

Güncelleme ( 31.01.2017 )
TorrentLocker V4 artık Akbank / Access hesap özeti olarak gelmektedir. İş bankası türevi ile aynı olan zararlı ( isb . com) alan adını kullanmaktadır.
Eğer virüs sisteminize bulaştıysa,  1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
(  dosya göndermek için : ben@mehmetyayla.com  ya da Wetransfer  )

Güncelleme ( 18.01.2017 )
Yeni bir TorrentLocker saldırısı ile karşı karşıyız. İş Bankası ” Talimatsız EFT işlemi ” şeklinde gelen oltalama saldırısı, yine dosyaları ” 6 haneli rastgele ” uzantıya çevirmekte.
CybeReason uygulaması bu oltamala saldırısını engellemeyi başardı.
Eğer virüs sisteminize bulaştıysa,  1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme ( 18.01.2017 )
Globe V2-V3, yani dosyaları .decrypt2017 veya .hnumkhotep gibi rastgele 10 karakterlerle değiştiren varyant için umuma açık çözüm üretilmiştir. Çözümü kullanabilmeniz için mutlaka herhangi bir şifreli dosyanın birebir aynı boyutta şifresiz hali olmalıdır. İki dosyayı aynı anda tool’un üzerine bırakmanız yeterlidir.
Decrypter : Tıklayınız

Güncelleme ( 18.01.2017 )
2017 ‘nin ilk TorrentLocker saldırısı Türk Telekom Faturası olarak geliyor. TTNET Faturası konu başlığı taşıyan bu oltalama maillerine tıklayıp, daha sonra ilgili bağlantıdan linkteki dosyayı indirip çalıştırmanız durumunda dosyalarınız şifrelenerek, her dosyanın sonuna rastgele 6 haneli bir dosya uzantısı ekleniyor. Yukarıda verdiğim uygulamalar; [ Zemana ve CybeReason ] bu oltamala saldırısını engellemeyi başardı.
Eğer virüs sisteminize bulaştıysa,  1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme ( 09.01.2017 )
2017 ‘nin ilk Cryptolocker vakalarından birisi, MongoDB açığı sayesinde binlerce veritabanının şifrelenmesi olayıdır. Kendilerini Kraken olarak adlandıran bir grup MongoDB’de bulduğu bir açıkla veritabanlarını şifrelemiştir.
Çözüm için; 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme ( 22.11.2016 )
Yine RDP açıklarından faydalanarak dosyaları şifreleyen yeni bir tür ile karşı karşıyayız. Aşağıdaki algoritmayla dosyaları yeniden isimlendiren virüs ” dharma ” ” wallet ” ya da
” zzzzz ” olarak adlandırılmaktadır.  Örnek dosya algoritması şöyledir :
( dosyaadi. [<mailformatı>] .dharma / .wallet / .zzzzz )
örnek mail’lerden bazıları :
[ supermagnet@india.com , webmafia@asia.com , syspoz02@india.com , stopper@india.com , bitcoin143@india.com , support_files@india.com , crypt-helper@india.com, mk.goro@aol.com, fire.show@aol.com ]
Çözüm için; 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme ( 21.12.2016 )
TorrenLocker V4 saldırısı şekil değiştirerek saldırıya devam etmektedir.
Yeni saldırıda mail ” Aras Kargo Teslim Edilemedi ” , “Kargonuz Teslim Edilmedi ” Aras Kargo Adres Güncelleme ” gibi yollarla gelmekte ve kişilerden adres bilgilerini düzenlemesi istenmeketedir. Aksi durumda 30 TL para isteyecekleri tehtidi ile de kullanıcı bu işlemi yapmaya zorlanmaktadır. Veri Düzenleme Formu indirildiğinde bir “.exe” dosyası çalışmakta ve zararlı sisteme enjekte olmaktadır.
Çözüm için; 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme ( 15.11.2016 )
Yeni bir torrentlocker v4 saldırısı başlamış ve yine phishing mail Turkish Airlines Cargo , Turkish Cargo , Turkish Kargo ya da THY Kargo olarak gelmektedir ve dosya uzantılarını rastgele 6 değişik karakterle değiştirmektedir.
Çözüm için; 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme (05.11.2016)
CrySis yani XTBL olarak şifrelenen dosyalarınız için decrypter üretilmiştir.
Aşağıdaki uygulamayı indirerek XTBL olarak şifrelenen dosyalarınızı çözebilirsiniz.
Örneğin : ( systemdown, datalord, vegclass)
Decrypter için : Tıklayınız

Güncelleme (23.11.2016)
Locky olarak bilinen ve daha önce .locky , .thor , zepto gibi uzantılarını gördüğümüz zararlı .aesir veya .zzzzz (5 adet) , osiris, thor, gelmeye başlamıştır. Konusunda “Scanned Images” olan mailler vasıtası ile bulaşan zararlıya karşı dikkatli olunmalı.
Çözümü için; 1 adet dosyanızı mail adresime yollarsanız, varsa/bulunmuşsa sizi bilgilendirmeye çalışırım.
mail : ben@mehmetyayla.com )

Güncelleme ( 02.11.2016 )
Yeni bir torrentlocker v3 saldırısı başlamış ve bu kez phishing mail Turkish Airlines Cargo , Turkis Cargo  ya da THY Kargo olarak gelmektedir.
Çözüm önerisi için açamadığınız bir örnek dosyayı mailime iletiniz :
( ben@mehmetyayla.com )

Güncelleme ( 01.11.2016)
Son günlerde yoğun XTBL saldırısı olmaktadır. Bu saldırının özellikle RDP ( Remote Desktop ) açığı bulunan sistemleri etkilediği sanılmaktadır. Saldırı sonucunda dosyaların içeriğinde veya sonunda ” vegclass@aol.com , vegclass@aol.com.xtbl, datalord@india.com, JohnyCryptor@india.com , rescuers@india.com, systemdown@india.com ” gibi ve sonu XTBL ile biten dosyalara dönüştürülmektedir. Bu vesile ile RDP’nin mutlaka kapatılması gerekmektedir. Çözüm önerisi için bir örnek dosyayı mailime iletiniz
ben@mehmetyayla.com )

Güncelleme (30.09.2016 )
TrendMicro; bir çok varyantı decrypt edebilen bir araç yayınladı. Aşağıdaki linkini ve hangi varyantlarda etkili olduğunu açıkladığım uygulama ile işlem sağlayabilirsiniz.
Çözebildiği Türler:
Cerber1-2, CryptXXX V1, V2, V3,V4, SNSLocker, 777, XORIST, XORBAT, Stampado, Chimera, Nemucod, LeCherif, Mircop, Jigsaw, Globe/Purge.
İlgili aracı indirmek için : Tıklayınız
Aracı indirdiğinizde ve zipten çıkardığınızda “Select” butonu yardımıyla varyant seçebilirsiniz.
Diğer varyantlar için lütfen yazıyı okumaya devam ediniz.

Güncelleme ( 02.09.2016 )
Türkiye’de fazla görülmeyen DXXD zararlısı için çözüm üretildi.
Bu varyant dosya isimlerine shellexec@protonmail.com , null_ptr@tutanota.de ifadelerini ekliyordu.
İlgili çözüm aracını indirmek için:  Tıklayınız

Güncelleme ( 21.09.2016 )
Ammyy Admin
 gibi, Anydesk gibi çok bilinen uygulamaların resmi web siteleri ele geçirilerek zararlı dosya yüklenmesi gibi, Usb disk’lerden otomatik çalıştırma gibi seçenekler aktif ise .cerber3 malware’i bulaşmaktadır. Bu tip fidye virüslerinden korunmak için mutlaka sandbox tarzı yazılımlar kullanılmalıdır. Eğer bu tip bir virüse maruz kalmışsanız, bir örnek dosyanızı
( ben@mehmetyayla.com ) gönderebilirsiniz. Eğer dünya üzerinde bu varyanta dair bir çözüm üretilmiş ise sizinle paylaşabilirim.

Güncelleme ( 31.08.2016 )
Uzun zamandan sonra tekrar Türkcell – Turkcell e-fatura zararlısı yeniden aktif hale geldi. Dosyaların uzantısını .enc ( Enc ) olarak değiştiren bu varyant için mailime örnek dosya göndermeniz halinde çözümle ilgili sizi bilgilendirebilirim. ( ben@mehmetyayla.com )

Güncelleme (05.08.2016)
Chimera
, CoinVaultShade için hazırlanmış çözüm uygulaması linktedir.
Decrypter için : Tıklayınız

Güncelleme ( 10.07.2016)
Mail ekiyle *.js olarak gelen Locky ( dosya uzantısı  : zepto ) ile ilgili çözüm olup olmadığını öğrenmek için lütfen örnek bir dosyayı mail adresime gönderiniz.

Güncelleme (30.06.2016)
Antivirüs üreticisi AVG Türkiye’de çok fazla görülmeyen birkaç farklı varyant içindecrypter tool (çözüm aracı ) üretti. Yukarıda belirttiğim gibi, bu varyantlar Türkiye’de fazla görülmedi ama hem bu sayfanın birçok yabancı kaynaktan da ziyaret edilmesi, hem de denemekte fayda olacağı düşüncesiyle ilgili kaynağı paylaşıyorum. Diğer decrypter araçları için yazıyı okumaya devam edebilirsiniz.
AVG Decrypter için :  Tıklayınız

Güncelleme (13.05.2016)
Türkcell faturası görünümünde gelen TorrentLocker v3 daha agresif ve daha aktif.
” Türkcell Fatura Bildirim, Turkcell faturanız sunulmuştur “ gibi konuları içeren ve içeriğinde Turkcell Faturası olduğunu iddia eden mailleri açmadan siliniz ve çevrenizdeki insanları uyarınız. ( uzantı : encrypted )

Güncelleme (25.05.2016)
TorrentLocker V3 olarak adlandırılan zararlı artık Digiturk faturası olarak gelmekte ve dosyaların uzantısını *.encrypted olarak değiştirmektedir.
Lütfen konu alanında DIGITURK, Digiturk, Dijiturk vs… olan mailleri açmadan siliniz.
Bu varyant için çözüm üretilip üretilmediğine dair bilgiye örnek bir dosyayı mail ile göndererek alabilirsiniz.

Güncelleme (19.05.2016)
Daha önce dosyaları vvv, ccc olarak şifreleyen Tesla yazılımı, v3 ile xxx,ttt,micro,mp3 olarak şifreliyordu. V4 ile de uzantı koymadan şifrelemeye başlamıştı. Bugün yaşanan bir gelişme ile Tesla virüsünün tamamına ilişkin çözüm üretildi.
vvv,ccc,xxx, ttt, micro, mp3 veya dosyalarınız uzantısız olarak şifrelenmişse çözüm için aşağıdaki decrypter’ı indirin ve Tesladecoder’ı çalıştırın. Set key butonuna basarak ilgili dosya uzantısını seçiniz, ( sizin sürüm hangisi ise ) daha sonra decrypt all butonuna tıklayarak çözümü gerçeşleştirebilirsiniz.
Decrypter’ı indirmek için : Tıklayınız

Güncelleme (18.05.2016)
Mail ile excel,pdf, js olarak gelen ve random karakterler atayarak dosyaların uzantısını .locky olarak değiştiren Locky Ransomware için yurtdışı kaynaklı bir firma çözüm üretti. Çalışmanın karşılığında belli bir ücret istemekteler .

Güncelleme (27.04.2016)
Antivirüs üreticisi Kaspersky .crypt uzantılı dosyalar için bir çözüm aracı ( rannoh decryptor ) yayınladı. İlgili aracı indirmek ve denemek için  : Tıklayınız

Güncelleme ( 19.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık “PTT Posta Hizmetleri Kargo Bildirimi” olarak gelmektedir. İlgili varyantta, kargonun teslim alınmadığı durumda 25 TL günlük tazminat uygulanacağı bilgisi verilerek, maili alan kişiyi kandırmaya yönelik bir strateji hedeflenmiş. Zararlı çalıştıktan sonra dosyaların uzantısı .encrypted olarak değişmektedir.
( Yukarıda bahsettiğim güvenlik firması; lisans satınalması karşılığında çözüm üretmekte ve ayrıca koruyucu yazılım sağlamaktadır. )

Güncelleme ( 12.04.2016)
Fidye ödenmediği durumda her yeniden başlatmada 1000 dosya silmekle tehdit eden Jigsaw Ransomware çözümü için  : Tıklayınız

Güncelleme ( 11.04.2016)
Petya Ransomware‘i için çözüm üretildi:
Tıklayınız

Güncelleme ( 04.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık TTNET Faturası olarak gelmektedir.
Çözüm konusunda bilgi almak için mail ile 1 örnek dosya göndererek bilgi alabilirsiniz.

Güncelleme ( 25.03.2016) – Türkiye’de henüz bu varyant görülmemiştir –
Petya Ransomware sisteminize bulaştığında harddiskinizi tamamen erişilmez hale getiriyor. Sistem enfekte olduğunda öncelikle bilgisayarınızın onarılması için kapatılması gerektiğine dair bir uyarı alıyorsunuz, sistemi yeniden başlattığınızda ise, sistem tamamen kullanılamaz hale gelmekte. Eğer sistemi reboot etmemişseniz, aşağıda Petya için geliştirilmiş bir çözüm bulunmakta : Tıklayınız

Güncelleme ( 23.03.2016)
Crypted
 uzantılı Nemucod varyantı için üretilen decypter tool’unu kullanabilirsiniz :Tıklayınız

Güncelleme ( 16.03.2016)
TeslaCrypt 4
 yayınlandı. Bu varyant dosya uzantılarını değiştirmiyor. Ve halihazırda bu varyant için bilinen veya üretilen bir çözüm bulunmamaktadır.
Aşağıda dizin ve kayıf defteri değişiklikleri verilmiştir:
%UserProfile%\Desktop\RECOVER[5_chars].html

%UserProfile%\Desktop\RECOVER[5_chars].png

%UserProfile%\Desktop\RECOVER[5_chars].txt

%UserProfile%\Documents\[random].exe

%UserProfile%\Documents\recover_file.txt

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_[random] C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe HKCU\Software\ HKCU\Software\\data

Güncelleme ( 12.03.2016):
Yine farklı türden bir şifreleme vakası; dosya uzantılarınızın ” xtbl ” olarak değişmesini sağlıyor.

Güncelleme ( 02.03.2016):
Torrentlocker yine türkcell maili olarak gelmeye devam ediyor. ( encrypted uzantısı ) Bir önceki varyantta olduğu gibi virüs mail hesabınızı kullanarak kendisini başka cihazlara da mail ile göndermeye çalışıyor. Dosyalarınızın tamamını yedekledikten sonra, bilgisayarınızı formatlayıp, cihazınızda bir mail hesabı varsa bu hesabın şifresini değiştirmeniz önemle duyurulur. ( yurtdışı kaynaklı bir firma lisans maliyeti talep ederek çözüm üretmektedir ) 
Ayrıca bu varyant için detaylı malware analizini incelemek ve örnek binary dosyasını indirmek için : Tıklayınız

Güncelleme ( 16.02.2016):
Mail ile gelen ve ekinde doc, xls uzantılı bir fatura olduğu düşünülen bu varyant dosya uzantınızı Locky olarak değiştirmektedir. Tanımadığınız kişilerden gelen ve alakasız içerik barındıran mailleri doc,xls,pdf uzantısına sahip olsa da açmayınız.

Güncelleme ( 14.02.2016)
UmbreCrypt and HydraCrypt 
için EmsiSoft tarafından bir decrypter yayınlandı.
Bu iki varyantın Decrypter aracı için: Tıklayınız

Güncelleme (10.02.2016)
TeslaCrypt artık dosya uzantılarını mp3 olarak değiştiriyor.

Güncelleme (19.01.2016)

Cryptolocker/TorrentLocker 19.01.2016 tarihi itibarı ile Türkcell maili olarak gelmekte ve dosya uzantısını encrypted olarak değiştirmektedir.

Güncelleme (15.01.2016)
15.01.2016 tarihi itibarıyla virüs form değiştirmiş ve artık şifrelediği dosyaların uzantısı micro
olarak değişmektedir.

Güncelleme (13.01.2016)
xxx 
çok global olduğu için TeslaCrypt 3.0.1’de dosya uzantısı .ttt olarak değişmektedir.

Güncelleme ( 12.01.2016 )
Maalesef TeslaCrypt virüsü güncellendi ve artık dosyaları .xxx dosya uzantısı ile şifreliyor. Teslacrypt bu sürümde şifreleme tekniğinde bir değişikliğe gitti.  Daha önce paylaştığımız TeslaCrack / TeslaDecoder maalesef bu sürümde işe yaramayacaktır.

Güncelleme ( 28.12.2015)
Çözümpark Bilişim Portalı’nda
 yayınlanan ve  benimde katkı sağladığım sadece .vvv, ccc , abc, xyz, ecc uzantılı varyantı kapsayan çözüme dair link için ( TeslaDecoder ): Tıklayınız

TeslaCrack ( Googulator ) uygulaması için : Tıklayınız
( Yukarıda çözümpark linkini verdiğim uygulamanın orjinal çözüm ve kaynağı )

Güncelleme ( 03.05.2015)
helpme@aol.com türevleri için üretilen decrypter tooluna şu adresten ulaşabilirsiniz : Tıklayınız

Güncelleme ( 27.05.2015)
Cisco tarafından üretilen Talos Decrypter’ı tesla varyantı için deneyebilirsiniz : Tıklayınız

Guncelleme (11 Şubat 2015) :
Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz. İlgili link İçin: Tıklayınız

Güncelleme ( 11.02.2015 )
Kasperky tarafından üretilen brute force yöntemini kullanan decrypter’ı deneyebilirsiniz : Tıklayınız

ID-RANSOMWARE:
+ Aşağıdaki linkini verdiğim servisi kullanarak, virüsün hangi türevine maruz kaldığınızı ve  sizin tarafınızdan uygulanabilecek bir çözüm olup olmadığına göz atabilirsiniz. Bu servis şuan birçok farklı varyantı tanımlamaktadır. Fakat tanımlayamadığı versiyonlarda bulunmaktadır.
Eğer hangi tip zararlı ile muhatap olduğunuzu bilirseniz, çözüm aramanız şüphesiz daha kolay olacaktır.
Şunu ifade etmeliyim ki;
bu makale, internet ortamındaki birçok kaynaktan veya kişisel testlerim ile hazırlandığından, birçok platforma göz atmadan sorularınıza cevap olabilecek niteliktedir.

Sürüm tespit uygulamasına “Ransom Note” kısmından virüsün size bıraktığı notu ve, “Sample Encrypted Data” kısmından 1 örnek dosya gösterin ve upload butonuna basın, dosyanın yüklenmesine müteakip, varyant kimliği gösterilecektir.
ID-RANSOMWARE Uygulaması için : Tıklayınız

+ Eğer işletim sistemi kurulumunda otomatik gelen gölge kopya (shadow copy ) özelliği açıksa dosyalarınızı geri getirebilirsiniz. Fakat yeni varyant virüs bu kopyaları da silebilmektedir.
Shadow Explorer Uygulaması için : Tıklayınız
Shadow Explorer açıldığında solda diskleriniz ve disklere tıklandığında gölge kopyalarınızı görebilirsiniz.
Eğer gölge kopyalarınıza shadow explorer ile ulaşamıyorsanız;
command prompt’u admin yetkisi ile açınız;
vssadmin list shadows
komutu ile gölge yedekleri teyit ediniz.
daha sonra bu gölge yedeği diskinizde herhangi bir alana linklemek için;
“mklink /d c:\shadowCopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\”
komutunu kullanabilirsiniz
Not:
c:\shadowcopy : linkleneceği alan
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\ : list shadow komutuyla aldığınız ekrandaki “Shadow Copy Volume” alanı
Nasıl Korunulur ?
+ Çözümpark Bilişim Portalı’nda
 korunmayla ilgili paylaştığım iki yazıya gözatabilirsiniz.
Lakin unutulmamalı ki, bu tip saldırılardan korunmanın %100 yolu sağlıklı yedek almaktan geçer.
+ Grup ilkesi ile korunma : Tıklayınız
+ Malwarebytes Antiransomware : Tıklayınız
Crypto Monitor
Crypto Monitor Uygulaması free olarak dağıtılmaktadır  : Tıklayınız 
Bu yazılım şifreleme işlemi başladığında ilgili işlemi durdurabilmektedir. Yalnız siz de 3. bir uygulama ile dosyalarınızı şifrelemek isterseniz uygulamayı pasifleştirmelisiniz.
Cryptolocker Prevention Kiti;
GPO ( Group Policy ) şablonlarını bilgisayarınıza indirip kullanmanızı sağlar.
( Kurulum uzmanlık gerektirebilir, kurulum açıklaması indireceğiniz klasörün içindedir ) : CryptoLocker Prevention Kiti için : Tıklayınız
Cryptolocker Prevention:
CryptoLocker Prevention uygulaması sizi büyük oranda koruyacaktır. Linkteki uygumalayı indirip aşağıdaki ayarları yapınız ( uygulama artık lisanslı – 27.03.2015  10 lisans 100 usd )  :
Uygulamayı indirmek için : Tıklayınız 

 

Hitman Pro :
HitmanPro uygulamasına 1 Kullanıcı için 24.95 usd karşılığı sahip olabilirsiniz
Hitman Pro uygulamasını indirmek için :  Tıklayınız

Ransomware Detection yazılımı :

Bu yazılım basitçe şu işi yapıyor;
eğer dosyalarınızı değiştiren bir kripto yazılımı tespit edilirse size mail ile haber veriyor. Maili alır almaz ilgili cihazı kapatırsanız belki hasarı küçük sıyrıklarla atlatırsınız.
İlgili yazılım için:  Tıklayınız

+ Ayrıca local policy uygulayarak bilgisayarınızın %appdata% ve %temp%klasörlerinden uygulama çalıştırmasını engellemeniz çok faydanıza olacaktır. Software Restriction Policy dediğimiz kurallar ile büyük oranda koruma sağlarsınız
Nasıl yapılır dökümanı şurada : Tıklayınız 
Ve Şurada: Tıklayınız

+ Ayrıca tüm klasörleriniz için shadow copy özelliğini aktif edip, shadow copy yönetim aracı vsssadmin.exe’nin ismini değiştirmeniz de büyük fayda sağlar.
Neden vssadmin’in adını değiştirmeliyiz ve nasıl yapılır dökümanına şuradan ulaşabilirsiniz :
Why Everyone Should disable VSSAdmin.exe Now, makalesi için şuraya : Tıklayınız

+ Mail sunucularınız için, mutlaka tehdit algılayıcı sistemlerin kurulması gerekir. Gelen mailler genelde temiz ip ve domainlerden geldiği için tehdit algılayıcı önlemler ip ve domain yasaklamaktan çok daha etkili yöntemler olacaktır. Bilgi için : Tıklayınız

+ Mail veya güvenlik duvarı yöneten kişiler; linkini verdiğim adresi sürekli yasaklayabilir : Tıklayınız

Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır. (Kaynak : difose)

+  Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir yerde bir yedeğini daha tutun.

+ Mail hizmeti aldığınız yerleri bu virüs ve alınması gereken önlemler hakkında uyarın.

+ Bilgisayarlarınızda dosya uzantılarını gösterin ve sonu .exe , .bat gibi uzantılarla biten fatura veya döküman gibi görünen hiçbir dosyayı açmayın.

Dosya uzantılarını nasıl gösterebilirsiniz (win7) ?  : Tıklayınız
Xp’de bir klasörde iken klasör seçenekleri ve “Bilinen dosya türleri için uzantıları gizle” kutucuğunun çentiğini kaldırın.

+ Lütfen bilgisayarınıza format attırmayın ve ayrıca her ihtimale karşı lütfen SIFRE_COZME_TALIMATI , HELP_RESTORE_FILES, HELP_DECRYPT dosyalarınızı da silmeyin. (Ta ki, dosyalarınızın üstüne bir bardak su içene dek)

Mail Sunucuları için : 
+ Yazacağınız kural ile mail içeriğinde ve mail gönderen adresinde “ttnet” “turktelekom” gibi adresleri sizin onayınızdan geçerek kullanıcılara yönlendiriniz.

+ Aşağıdaki adresleri spam filtre yazılımlarımlarıyla bloke ediniz. (Yeni saldırı için)

Alan adları her geçen gün değiştiği için şu adresi takip ederek gereken güncellemeyi,
siz de sunucularınızda yapabilirsiniz : Tıklayınız

Virüsün Kronolojisi : 
Güncelleme ( 24.03.2015 ) :
Virüs yeni varyantında kriptolama işlemine başlamadan önce shadow copy yedeklerini silmeye veya bozmaya çalışmaktadır.Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu da yasaklayabilirsiniz.

Güncelleme (23.03.2015) :
Virüsün yeni varyantı; muhtemelen, ki kuvvetli bir ihtimaldir YSK’dan (Yüksek Seçim Kurulu ) geliyormuş gibi gelecek.
Türkiye’de seçim dönemi yaklaşmakta ve herşeyi online halletmeye alışmış olan bizler, seçmen bilgilerimize ulaşmak için her linke tıklayabilir durumdayız.
Seçmen bilgi kartınızı görüntülemek, oy kullanacağınız yere bakmak, oy kullanacağınız yeri değiştirmek için lütfen muhtarlarınıza müracaat ediniz ya da, YSK’nın online işlemler sayfasından bakınız. Bu amaçla size gönderilmiş olan hiçbir iletiyi açmayınız.

Güncelleme 14.03.2015 :
Virüsün son varyantlarında işe yaramıyor olsa da, TTNET, Telekom faturalarından etkilenmiş kişiler bana ulaşabilir. Eski varyantlar için yeni bir kaç çözüm üretildi.

Guncelleme 12.03.2015
Ttnet, türk telekom, turkcell derken sira Ptt kurumundan geliyor gibi gosterilen maillerde.
Bunun bir sonrasi hangi kurum olur bilinmez, lutfen onleminizi simdiden aliniz.

Güncelleme ( cryptowall virüsü )
Cryptolocker yaninda cryptowall virusunun de yaygin olarak bulastigi gorulmustur.
Bu virusun calisma prensibi yukarida anlatilanlardan farkli degildir.
Bu sebeple, panik yapmamaniz günün sonunda dosyalariniza eksiksiz ulasabileceginizin rahatligi icinde olmanizi tavsiye ederim.

Güncelleme 09.03.2015:
Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır.

Güncelleme 25.03.2015:
Üzülerek söylemeliyim ki;
Virüsün farklı kopyaları çok farklı insanların eline geçmiş durumda. Çocuk denebilecek yaşta kişiler bunları deneme amaçlı da olsa göndermekte bir sakınca görmemekteler.
Lütfen bu ve buna benzer saldırılar hakkında çevremizdekileri de uyaralım.

Guncelleme ( 30.03.2015)
Virus artik her gun maillestiginiz ve zombi olmus bir kontaginizdan gelebilir.
Lutfen yukarida belirtildigi gibi, dosya uzantilarini gosteriniz ve exe,bat,msi,vbs gibi uzantilari bulunan mail eklerini kimden gelirse gelsin acmayiniz.

Güncelleme ( 03.04.2015 )
Virüs artık ip yapısını değiştirdi, 46.254.20.32 bloğunu yasaklayın.

Güncelleme ( 25.06.2015 )
Bu sabah itibarıyla sahte fatura virüsü tekrar aktifleştirilmiştir. Türkcell e-fatura şeklinde gelen virüse karşı gereken tedbirleri vakit geçirmeden alınız.
Son varyant Cryptolocker virüsüne karşı detaylı bir analiz :
>Saldırı phishing yapılan marka ile alakasız yeni alınan ter temiz IP
adreslerden yapılıyor. Örnek. xxx@companytutorial.com ,
xxx@mycapitalinbox.net
Phishing epostanın URL nin gövdesinde bulunan linkler saldırganlar
tarafından hacklenmiş konudan bihaber domain adreslerden oluşuyor. Örnek.
xxxx://atamaze.com
Hacklenen web sunucuda saldırganların yönlendirme sistemleri çalışıyor gelen
link talebi belirli aralıklarla değiştirilen phishingi yapılan markanın
adının geçtiği yeni açılan domain adreslere yönlendiriliyor. En son örnek.
xxxx://e-turkcell.net/ohcq59wn.php?id=bmF6QGdva2NlLmF2LnRy

25 Haz 2015 gece 02:00 civarında başlayan saldırıdan bu yana tespit edilen sahte
URL adresleri;

xxxx://turkcell1.com/f7a9qs7o.php?id=bmF6QGdva2NlLmF2LnRy
xxxx://iturkcell.net/u9j7rphw.php?id=Z29ya2VtLmdva2NlQGdva2NlLmF2LnRy
xxxx://turkcell24.net/klqxm94b.php?id=a3VicmEuY2VsaWtAaGl0aXRndW1ydWsuY29t
xxxx://turkcell-efatura.com/dbnugka.php?id=Ym9yYUBnb2tjZS5hdi50cg==

Bu adresler her yeni phising email saldırısından sonra bu şekilde değişicek
gibi görünüyor.
Şuana Kadar Fake URL adresleri barındırdığı sunucuların IP bloğu:
146.185.249.0/24
Zararlı dosya Yandex Disk de barındırılıyor zararlı dosyanın varyantıbelirli aralıklarla değiştiriliyor.( Avira )

Güncelleme ( 01.07.2015 )
Yeni domainler şöyledir :
companytutorial.com
mycapitalinbox.net
e-turkcell.net
turkcell1.com
iturkcell.net
turkcell-efatura.com
turkcell24.net

Güncelleme ( 28.08.2015 )
Yeni mail Turkish Cargo içeriği ile gelmektedir. Adres Değişikliği formu gibi bir mail alırsanız lütfen açmayınız.

Güncelleme ( 02.12.2015 ):
Virüs artık sadece mail ile değil, internetten indireceğiniz herhangi bir dökümandan, online film/dizi izleme platformlarından, torrentlerden indireceğiniz herhangi bir uygulama/oyunlardan, bir web adresinden bulaşabilmektedir. Lütfen dikkatli olunuz.

Amaç nedir ?
+ Öncelikle üreticilerin amacı para kazanmaktır.
+ İkinci olarak virüsün ilk üreticisinin amacı aynı zamanda botnet, yani her zaman kullanabileceği köle bilgisayarlar oluşturmaktı. ( Zeus BOTNET : Tıklayınız )
+ Güç , kişisel tatmin, test vb…

Fidye Ödemeli miyiz?
+ Öncelikle fidyeyi ödemek saldırganlara daha çok motivasyon kazandıracağı için etik ve ahlaki olmayacaktır.
+ Saldırganların hedefi öncelikli olarak para kazanmak olduğu için sizden alabildiği kadar çok para almayı amaçlar
+ Yabancı ve yerli forumlarda ödeyenlerin bir kısmının verilerini geri alabildiği gibi, büyük bir kısmının da alamadığı yazılmaktadır. Benim de kişisel olarak ödeyip alan ve fazla sayıda alamayan insanlara şahitlik etmişliğim bulunmaktadır.

Özel not: 

Çalışma yapması için herhangi birine cihazınızı vermeden önce mutlaka şifreli halleriyle dosyalarınızın yedeğini alınız/aldırınız.

Önemli hatırlatma :
Kişisel tavsiyem, eğer böyle bir olaya maruz kalmışsanız, mutlaka bir suç duyurusunda bulunmanız yönünde olacaktır. Bu işlem belki dosyalarınızın çözülmesinde yardımcı olmayacak ama bu tür zararlı yazılımlarla yasal mücadelede umulur ki sizin de katkınız olur.

Kaynak: www.mehmetyayla.com

İp Adresiniz
3.231.229.89

1 Star2 Stars3 Stars4 Stars5 Stars (2 Kişi oy verdi, 5 üzerinden ortalama puan: 3,00. Bu yazıya oy vermek ister misiniz?)
Loading...
Tayfun KUŞAK

Tayfun KUŞAK

Genç yaşlarda bilgisayar ile tanıştı. Sektörde pek çok farklı pozisyonlarda ve farklı firmada görev aldı. Microsoft System Managment, Active Directory, Virtualization, Disaster Recovery, Mail Server, Security uzmanlık alanlarından sadece birkaç tanesi. Şu anda özel bir kuruluşta “Sistem Yöneticisi” olarak çalışmakta. MCP,MCSA,MCSE

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir