CryptoLocker NEDİR? CryptoLocker NASIL TEMİZLENİR?

CryptoLocker NEDİR? CryptoLocker NASIL TEMİZLENİR? Tarih : 12.3.2015 Okunma Sayısı : 44115
IDS Bilişim ve İnternet Teknolojileri San. Tic. Ltd. Şti.

CryptoLocker NEDİR? CryptoLocker NASIL TEMİZLENİR?CryptoLocker Hakkında Bilmemiz Gerekenler

Şuan bu yazıyı okuyorsanız büyük bir olasılıkla PTT Kargo, Turkcell, TTNet veya diğer sahte e-fatura CryptoLocker virüsleri ile başınıza belada demektir. Değilse de mutlaka bu mailler size de ulaşmış yada ulaşacaktır. Bu konuya bu zararlı virüsün ilk çıktığı 2014/12 tarihinde "Sahte Efaturalara-Dikkat!" ve "Türkiye Cyrptolocker Saldırısı Altında" başlıklı yazılarımızda da değinmiştik fakat halen farklı versiyonları ile sürekli karşımıza çıkmakta ve en güvenli mail sunuculardan bile  süzülerek size ulaşan bu postaların zararı her geçen gün dahada artmakta. Bilgisayar korsanlarının yeni hedefi posta ve kargo hizmetleri. Fatura veya Kargo bilgilendirmesi ya da formu görünümü verilen kötü amaçlı yazılımlar ile doğrudan kullanıcıların verileri hedef alınıyor.
 
Bilgisayar korsanları aboneleri kandırmak için bilgilendirme formlarını gerçek kurum ve kuruluşlardan geliyormuş gibi göstermeye çalışıyorlar. Uzun süredir, hemen hemen her gün farklı türevleriyle, bir takım firmaların e-fatura şablonları taklit edilerek kullanıcıları yanıltan sahte e-postalar gönderilmektedir. Özellikle truva atı türevlerinin devamlı değişmesi, kısa sürede bir çok kullanıcıya aynı anda ulaşabiliyor olması ve yerel olarak (sadece Türkiye’de) yayılması dikkat çekiyor.
 

CryptoLocker NEDİR? CryptoLocker NASIL TEMİZLENİR?

Siz gelen mail ve içindeki dosyayı çalıştırdığınızda masaüstüne SIFRE_COZME_TALIMATI.html adında bir dosya geliyor ve dosyayı açtığınızda; Uyarı Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir gibi bir dosya çıkmaktadır.
 
Öncelikle belirtmek gerekirse gerçektende bilgisayardaki dosyalarınıza erişmenizi engelleyen bu virüs çok can sıkıcı ve kurtulmakta bir okadar meşakatli diyebilirim. Eğer kaybettiğiniz datalar öyle çok çok önemli değilsa hiç temizlemekle vs.. uğraşma zahmetine girmeden basın formatı gitsin diyebilirim. 

CryptoLocker NEDİR?

CryptoLocker; FBI Virus, Police Central e-crime Unit Virüs, Department of Justice Virüs ve  buna benzer tehlikeli virüsleri çıkartan gruba ait oldukça tehlikeli bir virüstur. CryptoLocker  kullanıcıların kişisel dosyalarını şifreleyerek kilitler ve şekilde de görmüş olduğunuz gibi fidye  istediklerini belirten bir ekran gelir ekrana. Görmüş olduğunuz gibi belli bir müddet verir  kullanıcılara. Ödeme yapılması durumunda açacaklarını, aksi durumda zaman dolduktan  sonra imha edileceğini belirtir. Peki ne kadar güvenilir parayı yatırdıktan sonra açacaklarına,  bu da şüphelidir.

CryptoLocker NASIL ÇALIŞIR?

Uzmanlara göre bu virus resmi yazışmaları kullanmaktadır. Kullanıcıların kolayça açmasını sağlayacak türden mailler gönderir. Bankanıza ait borç, ödemeler, kargo şirketinizden gelen mail, satın aldığınız siteler vs gibi. Kullanıcı dosyayı açtığı anda dosyaları kilitlenir. Uzman araştırmalarına göre genellikle şu uzantıları etkiler; 
 
3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx. Yani Microsoft ürünlerinin dosyaları (word, excel vb), Adobe ürünlerinin dosyaları (ai, eps, psd vb), resim/fotoğrafları (jpg, raw vb), ve çok farklı uzantılarda dosyaları etkilemektedir.
 
Genellikle pdf görünümlü exe dosyalarından gelmektedir. Eğer uzantı, kurulum sırasında default olarak görünmeyecek şekilde ayarlı ise pdf mi exe mi ayırt edilemeyecektir ve görünümü pdf olduğundan exe olma ihtimali aklımıza bile gelmeyecektir. Pdf zannettiğimiz dosyayı açtığımızda sistemi kilitleyecektir, cryptolocker fidye isteyecektir. Bilgisayarı baştan başlatmak, pdf’i silmek ya da benzeri hareketler işe yaramayacaktır. Bu sırada kesinlikle, harici aparatlar kullanmayın (usb, telefon, harici harddisk vb..)
 CryptoLocker Dünyada Yayılma Hızı

CryptoLocker virüsü NASIL TEMİZLENİR?  CryptoLocker’dan NASIL KURTULURSUNUZ?

Çok riskli olan ilk yöntem PARAYI ver kurtul ama burada bir garanti yok hem dosyalardan hemde paradan olma ihtimaliniz büyük desemde yakınımda yaşanan bir tecrübeden hareketle (şirket çalışanlarımızdan biri üzerinde denemiş olduk) parayı verince Crypto'yu çözen dosyanın gönderidiğine şahit oldum diyebilirim ama yinede tercih sizin.
 
Diğer yönteme gelince, kesin çözüm yolu diyerek sizleri heyecanlandırmak istemeyiz ancak işe yaradığını da deneyerek öğrendik;
 
Windows’u “Güvenli Mod”da çalıştırın
İnternetten StopZilla, SpyHunter, Malwarebytes AntiMalware programlarından birini indirin (tavsiyem Malwarebytes AntiMalware)
Muhtemelen güncelleme yapacaktır (her virüsün ilacı için güncelleme gereklidir)
Güncelleme bittikten sonra detaylı tarama yapın
Zararlı bulduklarını silin
Bilgisayarı sistem geri yükleme noktasında eski bir tarihe çekin
Diğer bir çözüm ise ki üstteki yolla benzerliği vardır;
 
Bilgisayarı “Güvenli Mod”da açın
Regedit’i çalıştırın (windows tuşu R kombinosyonu ile açılan yere regedit yazın)
WinLogon Entries bölümünde explorer.exe olmayan ya da blank olmayan dosyaları bulup explorer.exe ile değiştirin. (ya blank olacak ya da explorer.exe olacak. 
 
Başka ihtimal yoktur)
Yazdığınız dosyaların kayıt bilgilerini (log) bulup silin
StopZilla, SpyHunter, Malwarebytes AntiMalware programlarından biri ile tarama yapın.

CryptoLocker şifreli dosyaları NASIL ACARSINIZ?

Not: Bu yöntemde Dosyalarınızı ele geçiren CryptoLocker virüsünün temizliği için RogueKillerX64_old ve EmsisoftAntiMalwareSetup ile temizleme yapılmıştır. Sonrasında ise Shadowexplorer yazılımını kurup sürücülerinizi seçin. Sürücülerinizdeki gölge dosyaları görüp geri alabilirsiniz.

Dosyalarınızı ele geçiren CryptoLocker virüsünün temizliği için

RogueKillerX64_old ve EmsisoftAntiMalwareSetup ile temizleme yapın.
Sonrasında ise Shadowexplorer yazılımını kurup sürücülerinizi seçin.
Sürücülerinizdeki gölge dosyaları görüp geri alabilirsiniz.
Bu işlem Windows XP işletim sisteminde çalışmaz. Sadece Vista, Windows 7, Windows 8 sürümlerinde çalışır. Windows XP kullanıyorsanız sisteminize format atıp Recovery programları ile eski dosyalarınızı kurtarma şansını elde edebilirsiniz.

 



CryptoLocker NEDİR? CryptoLocker NASIL TEMİZLENİR?