Cryptolocker virüsü

Virüsü sistemden  temizleyebilirsiniz.
Muhtemelen combofix ya da , avira rescue cd ile başlatarak sistemi taratırsanız zararlı temizlenecektir.
Ama şifrelenen dosyalara erişemeyeceksiniz.

Çünkü ikisi ayrı şeyler.
Sistemden zararlıyı temizleseniz dahi dosyalarınız şifreli olarak durmaya devam edecek.

Yedeğiniz yoksa, xp sistem kullanıyorsanız, dosyaların geri getirilmesi çok zor. Ya da çok çok pahalı 

firmamda 5 bilgisayara kadar yayıldı ETA7 kullanna bir bilgisayarda ETA nın *.idx  dosyaları  şifreli kaldı bunu çözmemiz bizim için çok önemli  bu konuda yardımcı olacak arkadaşlar irtibata gecebilirler shadow yapamıyoruz XP sistem birde böyle bir problem var.

windows 7 ve üstü sürümlerde shadowcopy işe yarıyor çünkü dosyaları önceki sürümlere çevirebiliyorsunuz.

Benim gibi win xp 32 bit makinalarda böyle bir şans yok.

Tek çözüm encrypt edilmiş dosyaların decrypt edilmesi için bir tool bulabilmek.

Herhangi bir bilgi sahibi olan arkadaşlar paylaşırsa çok memnun olacağım. 

Şu an için çözüm yolu yok gibi. Bazı çözdüğünü anlatan yerler var ama işe yaramıyor. Bunun önüne geçecek en etkili silah yedek. Hele ki bu aralar, tekrardan dolaşmaya başladığını düşünürsek. Kesinlikle muhakkak yedek alınmalı. 

Ayın 10'da bizim sistemde 4 kişiye geldi. Sonuç yedekten yarım günde bilgileri döndürme ile eski halde.

Belki istediğiniz tool ileride piyasaya çıkabilir ama güvencesi ne olur bilmek güç.  

2 Bilgisayarda test etme imkanım oldu. Yaptığım işlemler ise şunlar;

*Sistem geri yükleme yaparak virüs öncesi bir tarihe dönmek

*Shadow Explorer ile şifrelenmiş dosyaların, şifrelenmeden önceki halini almak.

Sonuç başarılı. 

2 Bilgisayarda test etme imkanım oldu. Yaptığım işlemler ise şunlar;

*Sistem geri yükleme yaparak virüs öncesi bir tarihe dönmek

*Shadow Explorer ile şifrelenmiş dosyaların, şifrelenmeden önceki halini almak.

Sonuç başarılı. 

Torrentlocker bilgisayardaki geri yükleme noktalarını da siliyor yalnız. 

firmamda 5 bilgisayara kadar yayıldı ETA7 kullanna bir bilgisayarda ETA nın *.idx  dosyaları  şifreli kaldı bunu çözmemiz bizim için çok önemli  bu konuda yardımcı olacak arkadaşlar irtibata gecebilirler shadow yapamıyoruz XP sistem birde böyle bir problem var.

windows 7 ve üstü sürümlerde shadowcopy işe yarıyor çünkü dosyaları önceki sürümlere çevirebiliyorsunuz.

Benim gibi win xp 32 bit makinalarda böyle bir şans yok.

Tek çözüm encrypt edilmiş dosyaların decrypt edilmesi için bir tool bulabilmek.

Herhangi bir bilgi sahibi olan arkadaşlar paylaşırsa çok memnun olacağım. 

Merhabalar,

Bu sorun için şuanda tubitak çalışma yapıyor. Bu probleminizin bir çözümü var. Şuanda Geçici olarak hizmet vermesede, site kısa bir süre sonra aktif olacaktır, https://zar.sge.gov.tr/Decrypter/FileUpload üzerinden dosya kurtarma yapabilirsiniz.. Yanlız burada günde 5 adet dosyanızı kurtarabiliyorsunuz. Daha kapsamlı bir çözüm bulunduğu taktirde sizinle iletişime geçerim.

Ayrıca bu virüs Test olarak kullanılan Windows 10 üzerinde etkisiz kalıyor. 

Problemin çözümünde destek isteyen arkadaşlar benimle iletişime geçebilir.
xp işletim sistemleri için çok zor olsa da...

Daha güncel işletim sistemlerinde virüs shadow copy yedeklerinizi ve geri yükleme noktalarınızı siliyor.
Bu geri yükleme noktaları ve gölge kopyalarınızı geri çağırarak kurtardığımız bilgiler var.

Yine TUBİTAK'tan Osman bey ile yaptığımız yazışmada kendilerinin de dosyalarınızı decrypt edebileceğiniz servisi tekrar aktif hale getirmek için ciddi uğraş sarfetmekte olduğunu söyledi.

Bu zararlı kendini sürekli geliştirdiği için sisteminize bulaşmamış olsa da, ders alınması açısından ciddi bir imkan sağlıyor.

https://www.decryptcryptolocker.com/Decryptolocker.exe

Şu yazılımı kimse denenemiş anlaşılan

Bu adresler virüsün ilk varyantı içi geçerli.
şimdi çalışmazlar.

şu makleler okunabilir.

https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/guncel-cryptolocker-saldirisina-dikkat.html

https://www.bilgiguvenligi.gov.tr/siniflandirilmamis/crytolocker-analizine-devam.html

ayrıca

ulaştırma denizcilik ve haberleşme bakanlığıyla tubitakın ortaklaşa yaptığı bir site var.dosyaları tek tek şifrelerini kırıyor.umarım işinize yarar

https://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle

Tubitak'ın bu servisi maalesef şuan aktif değil. 

Bilgisayarda siz yedek almamışsanız, bilgisayarın kendisinin aldığı yedeklerden dönülmeye çalışılıyor.

Başkaca da bir çözümü maalesef yok.

Geliştirilir mi? evet ama private key'lerin, kullanıcı adı ve şifrelerinin tutulduğu db bir sunucu sisteminde çalışıyor sonuçta. Bu db ele geçirildiğinde private key'ler dağıtılır.

Farklı yöntemleri denemeden önce,
şurayı okuyunuz : http://mehmetyayla.com/cryptolocker-v2