• info@bysu.com.tr
  • |
  • (0850) 532 2978

TEKNOLOJİ

Cryptolocker - Veri Kurtarma Hizmetleri

CRYPTO ŞİFRE ÇÖZME VE DOSYA KURTARMA HİZMETİ

ÖNCELİKLE SALDIRIYA UĞRADIM? NE YAPMALIYIM?

      Bilgisayarınıza bulaşmış olan fidye virüsünü antivirüs programlarıyla temizleyebilirsiniz, önemli olan bilgisayardan silmek değil, şifrelenmiş dosyalarınızı açılabilir ve kullanılabilir duruma getirmektir.  Virüsü silmiş hatta format atmış dahi olsanız dosyalarınız şifrelenmiş kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü silmek değil, dosyaları kurtarmak olmalıdır.

Yapmamanız gerekenler:

  • Hackerlara kesinlikle ödeme yapmayın,
  • Yazılımsal olarak hiç bir deneme ve girişimde bulunmayı
  • Virüsün oluşturduğu yönerge dosyalarını silmeyin,
  • Veri kurtarma programları yüklemeyin,
  • Asla sistem geri yükleme yapmayın,
  • Format atmayın,
  • Antivirüs ve malware programları ile bulaşan virüsü temizlemeye çalışmayın, bu programlar şifrelenen dosyalarınızı
  • Ödeme ve fidye bilgilerini gösteren dosyaları silmeyin,
  • Şifrelenmiş dosya uzantılarını değiştirmeyin,

Yapmanız gerekenler:

  • Derhal cihazın elektrik ile bağlantısını kesiniz ve çalıştırmayınız,
  • Bizi arayarak şifre çözme, veri kurtarma veya ücretsiz analiz hizmetimizden faydalanın,
  • Benzeri durumla tekrar karşılaşmamak için BYSU Teknoloji'nin tavsiye edeceği desteklerden faydalanın
  • Bazı fidye yazılımlarının bilinen şifre çözümlemesi mevcut olmayabilir. Gelecekte çözüm bulunma ihtimalini gözönüne alarak, şifrelenmiş dosyalarınızı yedeklemeniz tavsiye ederiz.
  • Böyle bir durumla tekrar karşılaşmamak için işletim sistemi dil seçeneklerine Rusça dil ve klavye ekleyin.

İmkansız kesinlikle çözülemez denilen .encrypted, .error, .EnChiPrEd, .cerber ve .crypt uzantılı bir çok çeşidi ve versiyonu bulunan şifrelenmiş dosyalarınız BYSU Teknoloji tarafından çözülebimektedir. 

WannaCrypt, CryptoLocker, CTB-Locker, TeslaCrypt, CryptoWall, Ransomware NEDİR?

 Tüm dosyalarınız Crypt0L0cker virüs tarafından şifrelenmiştir !!!  uyarısı ile kullanıcıların  bilgisayarlarında, sunucu, server, ağ sürücü, NAS  , USB bellek cihazları üzerinde bulunan önemli video, fotoğraf, kişisel bilgiler ve ticari veri tabanı dosyalarınızı şifreleyerek kilitler ve kullanılamaz hale getiren bir Ransomware  fidye virüsüdür. Eğer dosya uzantılarınız .vvv, .ccc, .xyz, .zzz, .aaa, .ecc, .ezz, .exx, .abc, .xxx, .ttt, .micro, .encrypted, .micro, .locky, .mp3,  .magic, .lol, .xtbl, .crypt, .odin, .zepto, .enc, .cerb

er, .cerber3, .aesir, .shit, .ae35 olarak değişmisse virüs bulaşmış anlamına gelmektedir. Virüs şifrelenmiş dosyaların bulunduğu klasörlerin içlerine de_crypt_readme.html, de_crypt_readme.bmp, # DECRYPT MY FILES #.html, # DECRYPT MY FILES #.txt, DOSYALARI_NASIL_GERI_ALIRIM.txt, DOSYALARI_NASIL_GERI_ALIRIM.html, SIFRE_COZME_TALIMATI.txt, SIFRE_COZME_TALIMATI.html, _Locky_recover_instructions.txt, +REcovER+cmwnu+.txt, _HELP_instructions.html,  _HELP_instructions.txt,  _HELP_instructions.bmp, HELP_YOUR_FILES.PNG, HELP_RECOVER_instructions+giy.html, HELP_DECRYPT.HTML HELP_DECRYPT.PNG,  HELP_DECRYPT.TXT, HELP_DECRYPT.URL  gibi ödeme talimat dosyaları oluşturuyor.

Şifrelenmiş olan dosyaların eski haline geri döndürülebilmesi için sizden bunun karşılığında fidye isteklerini belirtirler ve belli bir zaman aralığı vererek bu ödemeyi yapmanızı isterler. Ödeme yapılması durumunda dosyalarınızı geri vereceklerini, aksi halde belirtilen zaman dolduktan  sonra verilerinizin imha edileceğini belirterek sizi tehdit ederler. Kullanıcıların virüs bulaştıktan sonra yapacakları tüm deneme ve girişimler sonucu da bir sonuç alınamayacağını  belirtmek isteriz.Ayrıca hackerların istedikleri parayı ödedikten sonra  dosyalarınızı geri almama ihtimaliniz yüksektir.

WannaCrypt, CryptoLocker, CryptoWall ülkemizde PTT Kargo, PTT Posta, UPS Kargo, TTnet Fatura virüsü, Telekom, Turkcell, Süperonline, THY, Turkish Cargo, Turkish Airlines Cargo , Turkish Kargo, THY Kargo  ve e-Posta fidye virüsü olarak da isimlendirilmektedir.

4rw5w, 777, 7ev3n, 7h9r, 7zipper, 8lock8, ABCLocker, ACCDFISA v2.0, AdamLocker, AES_KEY_GEN_ASSIST, AES-NI, AES256-06, Al-Namrood, Al-Namrood 2.0, Alcatraz, Alfa, Alma Locker, Alpha, AMBA, Amnesia, Amnesia2, AnDROid, AngryDuck, Anubis, Apocalypse, Apocalypse (New Variant), ApocalypseVM, ASN1 Encoder, AutoLocky, AxCrypter, aZaZeL, BadBlock, BadEncript, Bam!, BandarChor, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitKangoroo, Bitpaymer, Bitshifter, BitStak, Black Feather, Black Shades, Blocatto, BlockFile12, Blooper, Booyah, BrainCrypt, Brazilian Ransomware, BrickR, BTCamant, BTCWare, BTCWare Aleta, BTCWare Master, Bubble, Bucbi, BuyUnlockCode, Cancer, Cerber, Cerber 2.0, Cerber 3.0, Cerber 4.0 / 5.0, CerberTear, Chimera, ChinaYunLong, CHIP, Clouded, CockBlocker, Coin Locker, CoinVault, Comrade Circle, Conficker, Coverton, CradleCore, Cripton, Cry128, Cry36, Cry9, Cryakl, CryFile, CryLocker, CrypMic, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt38, CryptConsole, CryptFuck, CryptInfinite, CryptoDefense, CryptoDevil, CryptoFinancial, CryptoFortress, CryptoGod, CryptoHasYou, CryptoHitman, CryptoJacky, CryptoJoker, CryptoLocker3, CryptoLockerEU, CryptoLuck, CryptoMix, CryptoMix Revenge, CryptoMix Wallet, CryptON, Crypton, CryptorBit, CryptoRoger, CryptoShield, CryptoShocker, CryptoTorLocker, CryptoViki, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoWire, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, CTB-Faker, CTB-Locker, Damage, DarkoderCryptor, DCry, Deadly, DEDCryptor, DeriaLock, Dharma (.dharma), Dharma (.onion), Dharma (.wallet), Digisom, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, DMALocker Imposter, Domino, Done, DoNotChange, Dviide, DXXD, DynA-Crypt, ECLR Ransomware, EdgeLocker, EduCrypt, El Polocker, EnCrypt, EncrypTile, EncryptoJJS, Encryptor RaaS, Enigma, Enjey Crypter, EnkripsiPC, Erebus, Evil, Executioner, Exotic, Extractor, Fabiansomware, Fadesoft, Fantom, FartPlz, FenixLocker, Fenrir, FindZip, FireCrypt, Flatcher3, FLKR, Flyper, FrozrLock, FS0ciety, FuckSociety, FunFact, GC47, GhostCrypt, Globe, Globe (Broken), Globe3, GlobeImposter, GlobeImposter 2.0, GOG, GoldenEye, Gomasom, GPAA, GPCode, GX40, HadesLocker, HappyDayzz, Heimdall, Help50, HelpDCFile, Herbst, Hermes, Hermes 2.0, Hi Buddy!, HiddenTear, HollyCrypt, HolyCrypt, Hucky, HydraCrypt, IFN643, ImSorry, iRansom, Ishtar, Jack.Pot, Jaff, Jager, JapanLocker, JeepersCrypt, Jigsaw, Jigsaw (Updated), JobCrypter, JuicyLemon, Kaenlupuf, Karma, Karmen, Karo, Kasiski, KawaiiLocker, Kee Ransomware, KeRanger, KeyBTC, KEYHolder, KillerLocker, KimcilWare, Kirk, Kolobo, Kostya, Kozy.Jozy, Kraken, KratosCrypt, Krider, Kriptovor, KryptoLocker, L33TAF Locker, Lalabitch, LambdaLocker, LeChiffre, LightningCrypt, LLTP, LMAOxUS, Lock2017, Lock93, LockCrypt, Locked-In, LockedByte, LockLock, Lockout, Locky, Lortok, LoveServer, LowLevel04, MafiaWare, Magic, Maktub Locker, Marlboro, MarsJoke, Matrix, Maykolin, Maysomware, Meteoritan, Mikoyan, MirCop, MireWare, Mischa, MNS CryptoLocker, Mobef, MOTD, MoWare, MRCR1, n1n1n1, NanoLocker, NCrypt, NegozI, Nemucod, Nemucod-7z, Nemucod-AES, Netix, NewHT, Nhtnwcuf, NM4, NMoreira, NMoreira 2.0, NotAHero, Nuke, NullByte, NxRansomware, ODCODC, OoPS, OopsLocker, OpenToYou, OzozaLocker, PadCrypt, PayDay, PaySafeGen, PClock, PClock (Updated), PEC 2017, Petna, Philadelphia, Pickles, PopCornTime, Potato, PowerLocky, PowerShell Locker, PowerWare, Pr0tector, PrincessLocker, PrincessLocker 2.0, Project34, Protected Ransomware, PshCrypt, PyL33T, QuakeWay, R980, RAA-SEP, Radamant, Radamant v2.1, Radiation, Random6, RanRan, RanRans, Rans0mLocked, RansomCuck, RansomPlus, RarVault, Razy, REKTLocker, RemindMe, RenLocker, RensenWare, Reyptson, Roga, Rokku, RoshaLock, RotorCrypt, Roza, RSAUtil, Ruby, Russian EDA2, SADStory, Sage 2.0, Salsa, SamSam, Sanction, Sanctions, Satan, Satana, Scarab, SerbRansom, Serpent, ShellLocker, Shifr, Shigo, ShinoLocker, Shujin, Simple_Encoder, Smrss32, SnakeLocker, SNSLocker, Spectre, Spora, Sport, SQ_, Stampado, Striked, Stupid Ransomware, SuperCrypt, Surprise, SZFLocker, Team XRat, Telecrypt, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TeslaWare, TheDarkEncryptor, TowerWeb, ToxCrypt, Trojan.Encoder.6491, Troldesh / Shade, TrueCrypter, TrumpLocker, UCCU, UIWIX, Ukash, UmbreCrypt, UnblockUPC, Ungluk, Unknown Crypted, Unknown Lock, Unknown XTBL, Unlock26, Unlock92, Unlock92 2.0, UserFilesLocker, USR0, Uyari, V8Locker, VaultCrypt, vCrypt, VenisRansomware, VenusLocker, ViACrypt, VindowsLocker, VisionCrypt, VMola, Vortex, VxLock, WannaCry, WannaCry.NET, WannaCryOnClick, WhatAFuck, WildFire Locker, Winnix Cryptor, WinRarer, WonderCrypter, X Locker 5.0, XCrypt, XData, Xorist, Xort, XRTN, XTP Locker 5.0, XYZWare, YouAreFucked, YourRansom, Yyto, zCrypt, Zekwacrypt, ZeroCrypt, ZeroRansom, Zilla, ZimbraCryptor, ZinoCrypt, ZipLocker, Zyklon olmak üzere 445 adet fidye virüsü ve çeşidi vardır.

Ayrıca bitcoin143@india.com, amagnus@india.com, destroed_total@aol.com, enterprise_lost@aol.com, fire.show@aol.com, first_wolf@aol.com, fly_goods@aol.com, gotham_mouse@aol.com, ice_snow@aol.com, joker_lucker@aol.com, mission_inposible@aol.com, nort_dog@aol.com, p_pant@aol.com, power_full@aol.com, war_lost@aol.com, sammer_winter@aol.com, anksfast@aol.com, total_zero@aol.com, warlokold@aol.com, xmen_xmen@aol.com, danger_rush@aol.com, nort_folk@aol.com, support_files@india.com, age_empires@aol.com, amanda_sofost@india.com, ded_pool@aol.com, donald_dak@aol.com, space_rangers@aol.com, mkgoro@india.com, MKKitana@india.com, mkscorpion@india.com, mksubzero@india.com, Mkliukang@india.com, Mkraiden@india.com, spacelocker@post.com, legionfromheaven@india.com, mkjohnny@india.com,mkreptile@india.com, mksektor@india.com, mknoobsaibot@india.com, mkgoro@aol.com, MKKitana@aol.com, mkscorpion@aol.com, mksubzero@aol.com, Mkliukang@aol.com, Mkraiden@aol.com, spacelocker@post.com, legionfromheaven@aol.com, mkjohnny@aol.com, mkreptile@aol.com, mksektor@aol.com, mknoobsaibot@aol.com, mk.baraka@aol.com, mk.jax@aol.com, mk.sonyablade@aol.com, mk.shaokahn@aol.com, mk.smoke@aol.com, Vegclass@aol.com, meldonii@india.com, calipso.god@aol.com, ninja_gaiver@aol.com, alex-king@india.com, checksupport@163.com, grand_car@aol.com, ecovector2@aol.com, donald_dak@aol.com, seven_legion@aol.com, drow_ranger@india.com, centurion_legion@aol.com, batman_good@aol.com, systemdown@india.com, legioner_seven@aol.com, f_tactics@aol.com, last_centurion@aol.com, diablo_diablo2@aol.com, kartn@india.com, martezon@india.com, stopper@india.com, injury@india.com, supermagnet@india.com, magnetvec@india.com, webmafia@asia.com, smartsupport@india.com, interlock@india.com, lavandos@dr.com, mr_lock@mail.com e-mail adresleri aracılığı ile sizden fiyde isteyebiliriler. 

Cryptolockerlar nasıl yayılır?

Cryptolocker virüsleri dünyanın pek çok farklı bölgelerinden büyük saldırı dalgaları şeklinde hızlı bir biçimde yayılırlar. Bu tür yayılmalarda en çok kullanılan yöntemleriden biri olan bulaşma  şekli zararlı eklentilerle birlikte kullanılan oltalama taktikleri içeren e-postalardır. Mesaj kurbanlara göre yerelleştirilmiş, yani kurbanın bulunduğu ülke şartlarına göre özelleştirilmiş olabilir. Örneğin: Türkiye’de hedeflenmiş olan kurbanlar için mail içeriği, telekom firmalarından gelmiş olan yüksek rakamlı faturalarmış gibi görünebiliyor. Potansiyel olarak kurbanın bulunduğu yer, kurbanın e-posta adresinin ülke domaininden tespit edilebilmekte ya da domain’i barındırıyor bulunan servis sağlayıcı kullanılarak da tespit edilebilmektedir. Eğer mesajı alıcı kişi sosyal hilelerin kurbanı olup gönderilmiş olan eki açarsa ve bilgisayarında bulunan antivirus tarafından da bloklanmazsa truva atı sistemde çalışır. Son zamanlardaki bu ek ile gelen truva atı, cryptolocker’ı indirip çalıştıran bir downloader gibi davranmaktadır.. Cryptolocker şifreleme için pek çok dosya tipini arar ve şifreleme işlemini bitirdiğinde kullanıcıya, dosyalarını geri alması için para göndermesi gerektiği mesajını içeren bir uyarı gösterir.

Engelleme ve koruma

Şifrelenmiş olan dosya çeşitleri temel olarak onarılabileceğin ötesinde zarar görmüş olarak kabul edilir. Cryptolocker virüsünün sisteminiz ve önem verdiğiniz verileriniz üzerindeki etkisini en düşük seviyeye indirebilmek için  aşağıdaki adımlara dikkat etmenizi öneriyoruz ve bahsi geçen önerileri  virüs sisteminize bulaşmadan uygulamanızı tavsiye ediyoruz. Eğer sistem doğru bir şekilde güvenli hale getirilmişse veri kaybı riski; korunmaya alınmamış bir sisteme göre  daha az olacaktır.

  1. Verilerinizi Yedekleyin

Fidye yazılımlarını etkisiz kalmasını sağlayacak tek ve en iyi çözüm olarak, düzenli olarak sistemlerinizin güncellenmiş yedeklerini almak olacaktır. Cryptolocker’ın haritalanmış ve sürücü atanmış cihazlar  üzerindeki, hatta bazen haritalanmamış sürücüler üzerindeki dosyalarıda şifreleyebildiklerini unutmayın. Bu USB bellekler gibi harici sürücüleri, pek çok ağ ve bulut dosya depolamasını da içermektedir. Bu nedenle düzenli yedekleme sisteminizde, eğer aktif olarak yedek alınmıyorsa düzenli olarak harici sürücüyü veya yedekleme servisinin bağlantısını kesmeye dikkat etmek gerekir.

  • Gizli Dosya Uzantılarını Gösterin

Bir cryptolocker virüsü sıklıkla .pdf .exe uzantısı olan dosyalar ile birlikte gelir. Bu Windows’un bilinen dosya uzantılarını saklama davranışının aktif olmasından dolayı kaynaklanır.Dosya uzantılarını tam olarak  görüntülemeyi etkinleştirmek şüpheli olabilecek dosyaların kolayca fark edebilmesini kolaylaştırır.

  • E-postalar İçindeki .exe uzantılarını Filtreleyin

Eğer e-posta programınız dosya uzantılarına göre filtreleme özelliğine sahipse , .exe .scr .pif .js dosya uzantılarına sahip maillleri ya da exe ile biten iki dosya uzantısı olan dosyaları (“*.exe” dosyalar gibi) filtreleyin.

  • Tanımadığınız Kişilerden Gelen E-posta ve Mesajların Eklerini Açmayın; İçindeki Linklere Tıklamayın

Crytolocker’ın en yaygın bulaşma şekli, bankalar, kargo firmaları, telekom firmalarından geliyormuş gibi yanıltan e-postaların içeriğindeki eklerin çalıştırılması veya içindeki linklere tıklanması sonucu ile olmaktadır. Kullanıcılar bilmedikleri, ya da şüpheli olduğunu düşündükleri e-posta eklerini açmamaları, linklere tıklamamaları konusunda eğitilmeli ve farkındalıklar oluşturulmalıdır.

  • AppData/LocalAppData Klasörlerinden Dosya Çalıştırmayı Engelleyin

Cryptolocker’ın dikkat çekici ve fark edilen bir özelliği de çalıştırılabilir dosyasını AppData veya Local AppData klasörlerinden çalıştırmasıdır.Windows içinden veya saldırı koruma sistemlerinden bu özelliği engelleyecek kurallar girebilirsiniz. Eğer normal bir program bu lokasyondan çalışmak isterse ilgili kuralda bir ayrıcalık oluşturulabilir.

  • Uzak Masaüstü Özelliğini Kapatın

Cryptolocker fidye virüsü genellikle, Windows makinelere uzaktan bağlanma özelliği kullanılabilen Remote Desktop Protocol (RDP)’u kullanan makineleri hedef alır. Siber suçluların RDP ile saldırı yapmak istedikleri makineye oturum açıp güvenlik yazılımlarını devre dışı bırakabildikleride bilinen olaylardan biridir. Uzaktan erişimi devre dışı bırakmak etkili bir yöntem olacaktır. RDP’yi devre dışı bırakmak için Microsoft Knowledge Base hakkındaki yazıları okuyabilisiniz.

  • Yazılımlarınızın Yamalarını ve Güncellemelerini Yapın

Virüs üreticileri genel olarak bilinen açıklara sahip güncel olmayan yazılımlarla kullanıcıların sistemlerine izinsiz olaralak girerek virüsleri bulaştırabilmektedirler.Kullanmış olduğunuz Yazılımlarınızı sıklıkla güncelliyorsanız fidye yazılımlarının verilerinize bulaşmasına karşı daha korunmalı olduğunuz söylenebilir.

  • Bilinen Bir Güvenlik Yazılımı Kullanın

Virüs yazarları, tespitten kaçabilmek için sıklıkla yeni türevler yayınlarlar. Bu da çok katmanlı güvenliğe sahip olmanın önemini vurgulamaktadır. Sistem içine sızılsa bile pek çok zararlı yazılım,etkilerini gösterebilmek için uzak komutlara ihtiyaç duyar. Eğer antivirüs yazılımlarının algılayamadığı yeni bir fidye yazılımı türevi ile karşılaşırsanız, bu zararlı fidye yazılımı sunucuya bağlanırken tespit edilebilir. 

  •  Windows Shadow Volume Copies özelliğinden yararlanarak dosyaları kurtarma,

Eğer virüs bulaşmış olan bir Windows sistemde Sistem Geri Yükleme özelliği aktifse makinenizi temiz duruma geri getirme ve şifrelenmiş olan dosyaların “Shadow” dosyalarından geri getirilebilme şansı vardır. Ancak zararlı yazılımlar hızlıca elimizde bulunan imkanları düşünerek çözüm üretebilirler. Örneğin güncellenmiş olan fidye yazılımları bu shadow kopyaları da silerek dosyaların bunlardan geri döndürülmesini engelleyebiliyorlar. Cryptolockerlar, shadow dosyaları silme işlemine, ilk çalıştırıldıkları zaman normal bir Windows prosesi gibi başlarlar daha sonra kullanıcılar ve sistem yöneticileri fark etmeden silmeyi bitirir.

  • Yönetici Ayrıcalıklarına Sahip Olan Bir Hesap Yerine Standart Bir Kullanıcı Hesabı Kullanın

Sistem yönetici haklarına sahip olan bir kullanıcı adı kullanmak her zaman bir güvenlik riski oluşturabilmektedir, çünkü zararlı yazılım bu hesap hakları sayesinde en yüksek haklarla kolayca her yere ulaşıp bulaşabilir. Kullanıcıların günlük işleri için her zaman limitli bir kullanıcı hesabı kullandığından emin olunmalı ve sistem yöneticisi hesabı sadece, kesin gerekli olduğu durumlarda kullanılmalıdır.

  • Çalışanların Güvenlik Eğitimine Önem Verin

Yaygın olarak bilinen virüs bulaştırma yöntemi, kullanıcıları farklı metodlarla aldatarak güvenlik açısından yapmamaları gereken şeyleri yaptırmayı sağlayan sosyal mühendislik yöntemidir. Kullanıcıların bu türden sosyal mühendislik hilelerine aldanmamaları için bu yöntemler konusunda kullanıcıya bilgi verilmeli ve bu eğitimlerin içeriği yeni çıkmış olan saldırı metodlarıyla güncellenmelidir.