Forum
arkadaşlar,
internetten turkcell adında bir email geldi ve dosyayı açtık , tüm excel word dosyalarının uzantıları .sifreli olarak oldu.
uzantıyı değiştirdiğimde dosyalar açılmıyor bu virusu dosyalardan nasıl temizlerim sizden acil bilgi bekliyorum.
http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/fatura-zararli-yazilimi-fatmal.html
umarım işinize yarar
Size gelen email ekinde dosya mevcut mudur? Bu dosyayı virustotal gibi online taramalarda tarattığınızda bir bilgi var mı? Öncelikle bizi şifreleyen şey hakkında el de bilgi var mı bunu anlıyor olmamız gerekiyor sanırım.
Not : Sistem güvenli kip olarak açıldığında durum nedir?
Size gelen email ekinde dosya mevcut mudur? Bu dosyayı virustotal gibi online taramalarda tarattığınızda bir bilgi var mı? Öncelikle bizi şifreleyen şey hakkında el de bilgi var mı bunu anlıyor olmamız gerekiyor sanırım.Not : Sistem güvenli kip olarak açıldığında durum nedir?
hocam selam, tarama programı ile tarattığımızda hiç bir virus bulamıyor. tüm word excel pdf datalarının uzantılarının sonuna logo.doc.sifreli şeklinde değiştirdi , uzantıyı elle değiştirdiğimizde açılmıyor. dosyaları bozulmuş gibi açılıyor. bu dosyaları nasıl düzeltebilirim ?
Dosyalara ne olduğunu anlamadan çözüm yoluna gitmek gerçekten güç olacağa benziyor.
Kısa senaryo;
Size email geliyor.
Siz email ekini çalıştırıyorsunuz.
Döküman dosyalarınız şifreli bir hale geliyor.
Bu durumdayız doğru mudur?
dökümanlarımın uzantisi sifreli olarak oluyor. yani örnej dokuman.pdf dokuman.pdf.sifreli olarak düzenlenmiş bunu tekrar düzeltiriyorum açılmıyor dosya.
aynı sorun bendede var 🙁
dosya isimlerine baktığın zaman öncede hesap.xls olan dosya sımdı hesap.xls.sifreli gözüküyor.
maalesef daha doğru duzgun bı makale bulamadım.
dosya ısmını degıstırıp eskısı gıbı hesap.xls yaptığım zamanda dosya excel de açılmaya çalışıyor ama maalesef açılmıyor bozulduğu ıcın.
bir kaç arkadaşlar görüştüm müşterilerinede bulaşmış bu yeni çıkan bir virus ama çözümü bulmak gerekiyor.
bir kaç arkadaşlar görüştüm müşterilerinede bulaşmış bu yeni çıkan bir virus ama çözümü bulmak gerekiyor.
maalesef ortalıkta pek net bır bılgı bulamadım ben , yazılan bıkac bısey vardı denedim vırus belkı temızlendı ama onemlı olan dosyaları(offıce,pdf)kurtarabilmek bısey bulursam paylaşırım burdada
Crypto Locker gibi davranan farklı bir program olduğunu düşünüyorum ancak çözüm olarak bir şey ortaya koyamıyorum. Bulaşma yaşayanlar bulaşan programı inceleme fırsatları olmamış anladığım kadarıyla. yani bu olayı yapan programın nasıl bir şifreleme yaptığının anlaşılması ona göre decode yapılabilmesi gerek ancak yazışmalar genellikle dataların kurtarılamadığı virüsün temizlendiği yönünde.
Dikkatli olmak gerekiyor.
bendeki sorun sole.
turkcell den gelen bır maıl sonrasında pc dekı butun dosya uzantıları ( .doc , .pdf , .xls ) iken ( .doc.sifreli , .pdf.sifreli , .xls.sifreli ) oldu.
malwarebyte ile fln ag destegıyle guvenlı modda tarama yaptım ama herhangı bır vırus bulamadı.
regedit ayarlarını fıx leyen bazı dosyalar yukledım (link leri .exe ceviriyorsa diye) onlarda fayda etmedi.
bılgısayara format atıp yenıden kurulum yapabılırım o sorun deıl ama dosyaların uzantıları degısmeyecegı ıcın bosuna yapmıyorum.
cunku dosyaları baska pc ye aldıgımdada uzantılar hala aynı .doc.sifreli olarak gozukuyor
el ile uzantıyı degıstırıp .doc yaptıgım zamanda bu sefer dosya ıcerıgı cop oluyor
içinden cıkamadıgım ilk sorun oldu bu aksilik hiçbi makale vs de yok ınternette
winrar ile açmayı dener misiniz. Muhtemelen şifreli rar dosyalarına çevrilmişlerdir.
Selamlar,
Bir çok firmam aynı virüsten nasibini almış bulunmakta. Virüs dediğim bir crypto aslında. Altında linux yatıyor sanırım. 1 gecedir uğraşıyorum. Bazı clientların masaüstüne script ile bir yazı duvar kağıdı yapılmış. Ben yazılım mühendisiyim, dosyalarını ele geçirdim. Bu mail ile bana ulaşabilirsiniz, ulaşmadığınız takdirde dosyalarınız yayınlanacaktır şeklinde uzun bir yazı.
Dosyalar .sifreli uzantılı olarak script ile değiştiriliyor. Windows klasörü altına Default.pif diye bir kısayol atıyor. Kısayol bir ip ile haberleşiyor sanırım. Belirli kodları dışarıdan çekiyorlar diye düşünüyorum. Ben işin içinden çıkamadım. Uzantılar değiştirildiğinde dosya tamamen kullanılamaz hale geliyor. Windows'un kendi dosya şiflreleme izleri çalışmıyor. Firmaların ticari zararları çok büyük. Varsa bir duayen yardımcı olsun. Hiçbir fix işe yaramıyor. Olaki diski başka bir sistemde açarsanız dosyalara ulaşmanız imkansız hale geliyor. Kesinlikle işlemin gerçekleştiği bilgisayar üzerinde, o işletim sisteminde reg kayıtlarını düzenlemeniz gerekiyor.
Bilginize.
Küçük bir ekran görüntüsü
Masaüstüne bırakılan not
Arkadaşlar,
aynı şekilde olayları bizde yaşadık ama hiç bir yerde çözümü yok nasıl çözülecek bilmiyoruz . dosyaların nasıl şifrelendiğide çok ilginç dosyanın boyutlarıda aynı şekilde kalıyor farklı bir şekilde kilitlenmiş.
Yukarıda da belirttiğim gibi cryptolocker tarzı bir revizyon var karşımızda. Okuduğum makalelerde temizle yapılıyor ancak verilere erişim mümkün görünmüyor. Size ulaşan email görüntüsü vb. bilgileri çevreniz ile paylaşarak bu konuda acil bir bilinçlendirme oluşturarak bir nebze olsun frenleme sağlanabilir. Eğer aramızda deassebbly yapabilecek olanlar varsa size bulaşmış olan exe dosyaların işlevini anlamaya çalışarak tersine mühendislik ile sonuca ulaşılması denenebilir. Benim okuduğum anladığım kadarıyla yedekleriniz varsa yedeklerinizden geriye dönün. Yoksa şifrelenen veriler için yapılacak fazla bir şey yok.
Geçmiş olsun.
Evet jpg şifreleniyor ancak bmp lere dokunmamış mesela.
Bir dönem win98, wk2 nın olduğu dönemlerde dosya uzantısı bir programla ilişkilendirilerek o programla ve istenirse şifre sorarak açılması sağlanıyordu. Bende vb6 ile istek üzerine öyle bişey yapmıştım. Ancak klasörünün uzantısının { ve sonrası silindiğinde normal olarak açılabilir oluyordu. Bu malesef farklı birşey dosyanın içeriğini en basit txt dosyasının içeriği bile kodlanmış görünüyor.
Belki çözüm olarak sifreli uzantılı dosyaları açabilmek yada sadece deneme amaçlı resim dosyalarını açmak için küçük bir program yapılarak bilinen şifreleme türleri ile decrypt denenebilir. Tabi bunu yapan muhtemelen kendine has bir şifreleme metodu kullanmıştır. Mail ile gelen dosyayı silmeyen muhafaza eden varsa ve sıkıştırıp paylaşa bilirse (mail vs) test etme şansımız olabilir.
maalesef maile ulasamıyorum
Windows xp üzerinde betik ile temizlemek mümkün fakat sadece sistemi kurtarabiliyorum. Dosyalara yine ulaşamıyorum. Dosyalara tek erişim yolumuz bu işi yapan arkadaşa mail atmak diye düşünüyorum. Durumun hukuki aşaması için bir heyet oluşturulabilir. Dosyaları ücret karşılığı teslim edeceklerini söylüyorlar. Böyle durumlara zeval vermemek adına, lütfen yönetimini yaptığınız sistem kullanıcılarını bilgilendirin. Mailler hala aktif. Farklı banka isimlerinde gönderilmeye devam ediliyor.
Herkese geçmiş olsun.
Cryptolocker olarak incelerseniz. RSA çift yönlü bir şifrelemeden söz ediliyor. A anahtarı sizin bilgisayarınızda şifreleme yapılırken oluşturuluyor. Problem ise B anahtarının karşı tarafın elinde olması. Bu sebepten bilgisayarda bulaşmadaki şifreleme anahtarının biliniyor olması gerekiyor ki B anahtarı elde edildiğinde şifreler geri çözülebilsin şu aşamada bulaşma olmadan engellenmesine çalışılmalı aksi durumda çözümsüz kalınacak gibi görülüyor. Söz konusu emaillerden örnek var mı? Emailin kendisi olmasa bile örnek teşkil edecek ekran görüntüsü vb.. ile bilgilendirme emailleri başlatılabilir.
Herkese tekrar geçmiş olsun kolay gelsin.