CryptoLocker v3 Çözüm Yöntemleri

Merhabalar;
Cryptolocker virüsü her geçen gün gelişmekte ve her geçen gün daha fazla kişiyi etkilemektedir. Virüsün yeni varyantı oyunlardan, online film/dizi izleme platformlarindan , phishing maillerden  bulaşma yeteneğine sahip. Dosyalarinizin uzantısını değişik uzantılarla değiştirip sifreliyor. Bu zararlıya karşı korunma yolları ve çözüm önerileri aşağıdadaki gibidir.

Konu hakkinda daha fazla bilgi sahibi olmak için lütfen şu makalemi inceleyiniz.
(hatta gelişmeleri aşağıda linkini verdiğim makaleden takip etmenizi şiddetle öneririm ) :
Http://www.mehmetyayla.com/cryptolocker-v2/

vvv, ccc, xxx, ttt, micro, mp3 veya uzantısız olarak şifrelenen ( Tesla Ransomware ) dosyalarınız için ücretsiz çözüm üretilmiş  ve erişilebilir durumdadır.
Lütfen makalenin devamındaki “Nasıl Çözülür” kısmını inceleyiniz.

Dosyalarınızı XTBL olarak şifreleyen “CrySis” zararlısına dair ücretsiz çözüm üretilmiş ve erişilebilir durumdadır. Lütfen “Nasıl Çözülür” kısmındaki uygulamayı kullanarak “decrypt” işlemini gerçekleştiriniz.

Diğer sürümler ( Encrypted, Enc, Locky, Zepto, Thor, Axx, Crypted, Crypt, Cerber3, Cerber4, dharma, wallet,  india.com veya dosya uzantılarını rastgele farklı 6 karakter ile değiştiren zararlı ) için, herhangi bir çözüm üretilip üretilmediğine dair sağlıklı bilgiyi aşağıdaki iletişim yöntemlerini kullanarak alabilirsiniz.

Detaylı bilgi ve çözüm önerisi için, mail adresime 1 adet örnek dosya gönderebilirsiniz.
Mail ulaştığında, elimden geldiğince ivedilikle geri dönüş sağlamaya, sizi sorunla ilgili bilgilendirmeye ve çözüme yönlendirmeye çalışıyorum. Ayrıca aşağıdaki iletişim kanallarından da iletişim sağlayabilirsiniz.

Telegram : https://t.me/mehmetyayla ya da @mehmetyayla ile aratarak
Mail : ben@mehmetyayla.com

Önemli not:
An itibarı ile 254 sayısına ulaşmış tüm cryptolocker sürümlerine karşı şuana kadar bilinen en etkili ve basit çözüm “Shadow Explorer” uygulamasıdır.
Lütfen herhangi bir işlem yapmadan önce, eğer gölge kopyalarınız silinmemişse, buradan dosyalarınızı Shadow Explorer ile kurtarma yolunu deneyiniz.
Shadow Explorer için : Tıklayınız

Ayrıca; Eğer dropbox, gdrive, one drive gibi bulut yedekleme platformlarını kullanıyorsanız ve bu platformlarda etkilenmiş ise, lütfen buluttaki bu dosyalar/klasörler üzerine sağ tuş ile tıklayıp önceki sürümler özelliğini kullanarak dosyalarınızın bir önceki sürümünü geri yükleyiniz.

Not: İlgili zararlı sisteminize bulaşmış ise aşağıdaki 2 paragrafı hızlıca geçebilirsiniz. Zira bu 2 paragraf sadece korunma yöntemleri içermektedir.
(15.12.2016 tarihi itibarı ile ) mevcut varyantları tespit eden ve bulaşmasını engelleyen free bir uygulama geliştirilmiş ve kullanıcıların hizmetine sunulmuştur.
Not: bu uygulama zararlı bulaşmış bilgisayarlardaki dosyaları kurtarmaz.
Cybereason Anti-CryptoLocker indirmek için : Tıklayınız

Ayrıca; korunmaya ilişkin diğer makalemi inceleyebilirsiniz :
Makale için :  Tıklayınız 

Bilindiği üzere, bu tür zararlıların şimdilik 200 ‘den fazla farklı çeşidi bulunmaktadır.
( kaynak : id-ransomware )

Bu farklı varyantlardan bazılarına çözüm üretilmiş ve herkesin erişimine sunulmuştur.
Bazı varyantlar ise, sadece belli yurt dışı kaynaklı firmalar tarafından çözüm sağlanmaktadır.
Yine bazı varyantların ise henüz herhangi bir çözümü bulunmamasına rağmen, araştırmalar/testler sürmektedir.

Öncelikle belirtmeliyim ki;
Cryptolocker virüsü bilgsayarınızın isletim sistemine ve calisma prensibine zarar vermez. (yeni tip virüsün bilgisayarı çalışamaz hale getirdiği iddia edilse de, şimdilik böyle bir vaka ile karşılaşılmamıştır.) Virüs (zararlı yazılım ); aslinda sizin de farkli araclarla yapabileceginiz bir sifreleme uygular ve dosyalarınızın uzantısını değiştirerek  .encrypted , ccc , vvv ,  xxx, ttt, micro ,  mp3,  magic, LOL, Locky, Zepto, Cerber / Cerber2 / Cerber3, Cerber4, .XTBL , wallet, dharma, india.com ya da daha farklı uzantılara çevirebilir, ya da dosya ismini tamamen değiştirebilir. çeşitli açık kaynak şifreleme kütüphaneleriyle ve çok güçlü olan bu şifreleme, cesitli yol ve yontemlerle kirilmaya calisilsa dahi, yillar alacak kadar karisik ve uzun bir şifrelemedir.  Çözüm; şifreyi kırmaya yönelik ya da bu yolla değil, zararlı yazılımlardaki geliştirici hataları , algoritma hataları, arka kapılar ve zayıflıklar gibi yöntemlere dayanır.

Şunu ifade etmeliyim ki;
Bu yazılım bilgisayardan kolaylıkla temizlenebilir, asıl sorun bilgisayardan temizlemek değil, şifreli dosyaları açmaktır. Virüsü temizleseniz, hatta format atsanız dahi dosyalar şifreli olarak kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü temizlemek değil, dosyaları kurtarmak olmalı.

Notlar:
+ Bu makale sürekli güncel kalacaktır. Makaleyi takip ederek tüm güncellemelerden haberdar olabilirsiniz.
+ Kronolojik olarak paylaştığım gelişmelerin bazıları zararlının bir sonraki sürümünde geçersiz kılınmış olabilir.
+ Tavsiye edilen yazılımların virüsün her varyantında etkin ve koruyucu olduğunun garantisi yoktur. Bu yazılımları kullandıktan sonra doğabilecek zararlardan dolayı sorumluluk size aittir.
+ Eğer bahsedilen bu simetrik şifrelemenin teoriğini/mantığını öğrenmek isterseniz aşağıdaki video’da şifreleme tekniği anlatılmıştır.
Video için : Tıklayınız  ( link sadece mantığı ihtiva eder, çözüm  içermez)

Nasıl Bulaşır ?
Dünya üzerindeki bilgisayarları tehdit eden çok fazla ransomware çeşidi bulunmaktadır. Bu versiyonların bulaşma yol ve yöntemleri genel olarak şöyledir;
+ Mail ekine ve linkine tıkladığınızda
+ Torrent’lerden ya da farklı bir kaynaktan indirdiğiniz resmi olmayan oyun, film, müzik dosyalarıyla
+ Online film, dizi izleme platformlarında çalıştırdığınız flash/java eklentileriyle
+ Ele geçirilmiş ve resmi olduğunu düşündüğünüz kaynaklardan indirdiğiniz uygulamalar ile
( örnek : ammyy admin )
+ Web tarayıcı eklentileriyle
+ Çeşitli blog ve haber portalları ( istemsiz )
+ Çeşitli ilan siteleri ( istemsiz )

Çalışan zararlı uygulama nasıl temizlenir ?
Aşağıdaki linklerini verdiğim Zemana, Malwarebytes ve Combofix yalnızca dosyaları şifreleyen zararlı uygulamayı bilgisayarınızdan uzaklaştırır. Dosyalarınızın açılmasını sağlamaz.
Dosyalarınızın açılmasını sağlayabilecek ilgili araçlar için Nasıl Çözülür kısmına bakınız.
Zemana Antimalware ile bilgisayarınızı taratarak zararlıdan temizleyebilirsiniz.
Aynı zamanda yerli bir üretici tarafından geliştirilen bu yazılımı isterseniz satınalarak cihazlarınızı daha sonra gelebilecek malware saldırılarına karşı koruyabilirsiniz.
Zemana Antimalware indirmek için : Tıklayınız
İsterseniz Zemana Antimalware uygulamalasına alternatif olabilecek,
Malwarebytes uygulaması ile  bilgisayarınızı zararlıdan temizleyebilirsiniz.
Malwarebytes için :  Tıklayınız
Daha sonra bilgisayarınızda Combofix çalıştırabilirsiniz :
Combofix için (opsiyonel ) : Tıklayınız

İlgili zararlıların sizi farkli zamanlarda tekrar etkilememesi ya da etkilese dahi bundan en az zararla nasıl kurtulabilirsiniz sorusuna yönelik cevaplar ve çözüm önerileri paylaşacağım.

Nasıl Çözülür?

Çözüme dair notlar:
( Genel Tanımlamalar )
+ Bahse konu virüs çok çabuk gelişme sağladığından, kronolojik olarak paylaştığım çözüm önerileri sizin de göreceğiniz üzere virüsün bir sonraki sürümünde geçerliliğini yitirmektedir.
+ İlgili zararlılar eğer çözüm bulunmuşsa bir sonraki sürümü ile yayıldığından, hangi varyant ve hangi sürüm olduğu önemlidir.
+ Paylaştığım araçlar yalnızca bahsedilen sürüm için geçerlidir.
+ Aşağıda versiyon tespiti yapacağınız servisin linki verilmiştir. ( id-ransomare )

Çözüm kronolojisi :

Güncelleme ( 09.01.2017 )
2017 ‘nin ilk Cryptolocker vakalarından birisi, MongoDB açığı sayesinde binlerce veritabanının şifrelenmesi olayıdır. Kendilerini Kraken olarak adlandıran bir grup MongoDB’de bulduğu bir açıkla veritabanlarını şifrelemiştir.
Çözüm için; 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme ( 22.11.2016 )
Yine RDP açıklarından faydalanarak dosyaları şifreleyen yeni bir tür ile karşı karşıyayız. Aşağıdaki algoritmayla dosyaları yeniden isimlendiren virüs ” dharma ” ” wallet ” ya da
” zzzzz ” olarak adlandırılmaktadır.  Örnek dosya algoritması şöyledir :
(dosyaadi.[<mailformatı>].dharma/.wallet/.zzzzz)
örnek mail’lerden bazıları :
[ supermagnet@india.com , webmafia@asia.com , syspoz02@india.com , stopper@india.com , bitcoin143@india.com , support_files@india.com , crypt-helper@india.com ]
Çözüm için; 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme ( 21.12.2016 )
TorrenLocker V4 saldırısı şekil değiştirerek saldırıya devam etmektedir.
Yeni saldırıda mail ” Aras Kargo Teslim Edilemedi ” , “Kargonuz Teslim Edilmedi ” Aras Kargo Adres Güncelleme ” gibi yollarla gelmekte ve kişilerden adres bilgilerini düzenlemesi istenmeketedir. Aksi durumda 30 TL para isteyecekleri tehtidi ile de kullanıcı bu işlemi yapmaya zorlanmaktadır. Veri Düzenleme Formu indirildiğinde bir “.exe” dosyası çalışmakta ve zararlı sisteme enjekte olmaktadır.
Çözüm için; 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme ( 15.11.2016 )
Yeni bir torrentlocker v4 saldırısı başlamış ve yine phishing mail Turkish Airlines Cargo , Turkish Cargo , Turkish Kargo ya da THY Kargo olarak gelmektedir ve dosya uzantılarını rastgele 6 değişik karakterle değiştirmektedir.
Çözüm için; 1 adet dosyanızı mail adresime yollarsanız, çözüm üretilmiş ya da bulunmuşsa sizi bilgilendirmeye, yönlendirmeye çalışırım.
( ben@mehmetyayla.com )

Güncelleme (05.11.2016)
CrySis yani XTBL olarak şifrelenen dosyalarınız için decrypter üretilmiştir.
Aşağıdaki uygulamayı indirerek XTBL olarak şifrelenen dosyalarınızı çözebilirsiniz.
Örneğin : ( systemdown, datalord, vegclass)
Decrypter için : Tıklayınız

Güncelleme (23.11.2016)
Locky olarak bilinen ve daha önce .locky , .thor , zepto gibi uzantılarını gördüğümüz zararlı .aesir veya .zzzzz (5 adet) , osiris, thor, gelmeye başlamıştır. Konusunda “Scanned Images” olan mailler vasıtası ile bulaşan zararlıya karşı dikkatli olunmalı.
Çözümü için; 1 adet dosyanızı mail adresime yollarsanız, varsa/bulunmuşsa sizi bilgilendirmeye çalışırım.
( mail : ben@mehmetyayla.com )

Güncelleme ( 02.11.2016 )
Yeni bir torrentlocker v3 saldırısı başlamış ve bu kez phishing mail Turkish Airlines Cargo , Turkis Cargo  ya da THY Kargo olarak gelmektedir.
Çözüm önerisi için açamadığınız bir örnek dosyayı mailime iletiniz :
( ben@mehmetyayla.com )

Güncelleme ( 01.11.2016)
Son günlerde yoğun XTBL saldırısı olmaktadır. Bu saldırının özellikle RDP ( Remote Desktop ) açığı bulunan sistemleri etkilediği sanılmaktadır. Saldırı sonucunda dosyaların içeriğinde veya sonunda ” vegclass@aol.com , vegclass@aol.com.xtbl, datalord@india.com, JohnyCryptor@india.com , rescuers@india.com, systemdown@india.com ” gibi ve sonu XTBL ile biten dosyalara dönüştürülmektedir. Bu vesile ile RDP’nin mutlaka kapatılması gerekmektedir. Çözüm önerisi için bir örnek dosyayı mailime iletiniz
( ben@mehmetyayla.com )

Güncelleme (30.09.2016 )
TrendMicro; bir çok varyantı decrypt edebilen bir araç yayınladı. Aşağıdaki linkini ve hangi varyantlarda etkili olduğunu açıkladığım uygulama ile işlem sağlayabilirsiniz.
Çözebildiği Türler:
Cerber1-2, CryptXXX V1, V2, V3,V4, SNSLocker, 777, XORIST, XORBAT, Stampado, Chimera, Nemucod, LeCherif, Mircop, Jigsaw, Globe/Purge.
İlgili aracı indirmek için : Tıklayınız
Aracı indirdiğinizde ve zipten çıkardığınızda “Select” butonu yardımıyla varyant seçebilirsiniz.
Diğer varyantlar için lütfen yazıyı okumaya devam ediniz.

Güncelleme ( 02.09.2016 )
Türkiye’de fazla görülmeyen DXXD zararlısı için çözüm üretildi.
Bu varyant dosya isimlerine shellexec@protonmail.com , null_ptr@tutanota.de ifadelerini ekliyordu.
İlgili çözüm aracını indirmek için:  Tıklayınız

Güncelleme ( 21.09.2016 )
Ammyy Admin gibi, Anydesk gibi çok bilinen uygulamaların resmi web siteleri ele geçirilerek zararlı dosya yüklenmesi gibi, Usb disk’lerden otomatik çalıştırma gibi seçenekler aktif ise .cerber3 malware’i bulaşmaktadır. Bu tip fidye virüslerinden korunmak için mutlaka sandbox tarzı yazılımlar kullanılmalıdır. Eğer bu tip bir virüse maruz kalmışsanız, bir örnek dosyanızı
( ben@mehmetyayla.com ) gönderebilirsiniz. Eğer dünya üzerinde bu varyanta dair bir çözüm üretilmiş ise sizinle paylaşabilirim.

Güncelleme ( 31.08.2016 )
Uzun zamandan sonra tekrar Türkcell – Turkcell e-fatura zararlısı yeniden aktif hale geldi. Dosyaların uzantısını .enc ( Enc ) olarak değiştiren bu varyant için mailime örnek dosya göndermeniz halinde çözümle ilgili sizi bilgilendirebilirim. ( ben@mehmetyayla.com )

Güncelleme (05.08.2016)
Chimera, CoinVault, Shade için hazırlanmış çözüm uygulaması linktedir.
Decrypter için : Tıklayınız

Güncelleme ( 10.07.2016)
Mail ekiyle *.js olarak gelen Locky ( dosya uzantısı  : zepto ) ile ilgili çözüm olup olmadığını öğrenmek için lütfen örnek bir dosyayı mail adresime gönderiniz.

Güncelleme (30.06.2016)
Antivirüs üreticisi AVG Türkiye’de çok fazla görülmeyen birkaç farklı varyant için decrypter tool (çözüm aracı ) üretti. Yukarıda belirttiğim gibi, bu varyantlar Türkiye’de fazla görülmedi ama hem bu sayfanın birçok yabancı kaynaktan da ziyaret edilmesi, hem de denemekte fayda olacağı düşüncesiyle ilgili kaynağı paylaşıyorum. Diğer decrypter araçları için yazıyı okumaya devam edebilirsiniz.
AVG Decrypter için :  Tıklayınız

Güncelleme (13.05.2016)
Türkcell faturası görünümünde gelen TorrentLocker v3 daha agresif ve daha aktif.
” Türkcell Fatura Bildirim, Turkcell faturanız sunulmuştur “ gibi konuları içeren ve içeriğinde Turkcell Faturası olduğunu iddia eden mailleri açmadan siliniz ve çevrenizdeki insanları uyarınız. ( uzantı : encrypted )

Güncelleme (25.05.2016)
TorrentLocker V3 olarak adlandırılan zararlı artık Digiturk faturası olarak gelmekte ve dosyaların uzantısını *.encrypted olarak değiştirmektedir.
Lütfen konu alanında DIGITURK, Digiturk, Dijiturk vs… olan mailleri açmadan siliniz.
Bu varyant için çözüm üretilip üretilmediğine dair bilgiye örnek bir dosyayı mail ile göndererek alabilirsiniz.

Güncelleme (19.05.2016)
Daha önce dosyaları vvv, ccc olarak şifreleyen Tesla yazılımı, v3 ile xxx,ttt,micro,mp3 olarak şifreliyordu. V4 ile de uzantı koymadan şifrelemeye başlamıştı. Bugün yaşanan bir gelişme ile Tesla virüsünün tamamına ilişkin çözüm üretildi.
vvv,ccc,xxx, ttt, micro, mp3 veya dosyalarınız uzantısız olarak şifrelenmişse çözüm için aşağıdaki decrypter’ı indirin ve Tesladecoder’ı çalıştırın. Set key butonuna basarak ilgili dosya uzantısını seçiniz, ( sizin sürüm hangisi ise ) daha sonra decrypt all butonuna tıklayarak çözümü gerçeşleştirebilirsiniz.
Decrypter’ı indirmek için : Tıklayınız

Güncelleme (18.05.2016)
Mail ile excel,pdf, js olarak gelen ve random karakterler atayarak dosyaların uzantısını .locky olarak değiştiren Locky Ransomware için yurtdışı kaynaklı bir firma çözüm üretti. Çalışmanın karşılığında belli bir ücret istemekteler .

Güncelleme (27.04.2016)
Antivirüs üreticisi Kaspersky .crypt uzantılı dosyalar için bir çözüm aracı ( rannoh decryptor ) yayınladı. İlgili aracı indirmek ve denemek için  : Tıklayınız

Güncelleme ( 19.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık “PTT Posta Hizmetleri Kargo Bildirimi” olarak gelmektedir. İlgili varyantta, kargonun teslim alınmadığı durumda 25 TL günlük tazminat uygulanacağı bilgisi verilerek, maili alan kişiyi kandırmaya yönelik bir strateji hedeflenmiş. Zararlı çalıştıktan sonra dosyaların uzantısı .encrypted olarak değişmektedir.
( Yukarıda bahsettiğim güvenlik firması; lisans satınalması karşılığında çözüm üretmekte ve ayrıca koruyucu yazılım sağlamaktadır. )

Güncelleme ( 12.04.2016)
Fidye ödenmediği durumda her yeniden başlatmada 1000 dosya silmekle tehdit eden Jigsaw Ransomware çözümü için  : Tıklayınız

Güncelleme ( 11.04.2016)
Petya Ransomware‘i için çözüm üretildi:
Tıklayınız

Güncelleme ( 04.04.2016)
Torrentlocker ( encrypted dosya uzantısı ) artık TTNET Faturası olarak gelmektedir.
Çözüm konusunda bilgi almak için mail ile 1 örnek dosya göndererek bilgi alabilirsiniz.

Güncelleme ( 25.03.2016) – Türkiye’de henüz bu varyant görülmemiştir –
Petya Ransomware sisteminize bulaştığında harddiskinizi tamamen erişilmez hale getiriyor. Sistem enfekte olduğunda öncelikle bilgisayarınızın onarılması için kapatılması gerektiğine dair bir uyarı alıyorsunuz, sistemi yeniden başlattığınızda ise, sistem tamamen kullanılamaz hale gelmekte. Eğer sistemi reboot etmemişseniz, aşağıda Petya için geliştirilmiş bir çözüm bulunmakta : Tıklayınız

Güncelleme ( 23.03.2016)
Crypted uzantılı Nemucod varyantı için üretilen decypter tool’unu kullanabilirsiniz :Tıklayınız

Güncelleme ( 16.03.2016)
TeslaCrypt 4 yayınlandı. Bu varyant dosya uzantılarını değiştirmiyor. Ve halihazırda bu varyant için bilinen veya üretilen bir çözüm bulunmamaktadır.
Aşağıda dizin ve kayıf defteri değişiklikleri verilmiştir: