Forum

.sifreli uzantısı h...
 
Bildirimler
Hepsini Temizle

.sifreli uzantısı hk.

49 Yazılar
18 Üyeler
0 Reactions
6,053 Görüntüleme
(@aykutersoy)
Gönderiler: 208
Reputable Member
Konu başlatıcı
 

arkadaşlar,

internetten turkcell adında bir email geldi ve dosyayı açtık , tüm excel word dosyalarının uzantıları .sifreli olarak oldu.

uzantıyı değiştirdiğimde dosyalar açılmıyor bu virusu dosyalardan nasıl temizlerim sizden acil bilgi bekliyorum. 

 
Gönderildi : 13/02/2014 12:47

(@vasviuysal)
Gönderiler: 7889
Üye

(@DoganYildiz)
Gönderiler: 83
Trusted Member
 

Size gelen email ekinde dosya mevcut mudur? Bu dosyayı virustotal gibi online taramalarda tarattığınızda bir bilgi var mı? Öncelikle bizi şifreleyen şey hakkında el de bilgi var mı bunu anlıyor olmamız gerekiyor sanırım.

Not : Sistem güvenli kip olarak açıldığında durum nedir?

 
Gönderildi : 13/02/2014 13:40

(@aykutersoy)
Gönderiler: 208
Reputable Member
Konu başlatıcı
 

Size gelen email ekinde dosya mevcut mudur? Bu dosyayı virustotal gibi online taramalarda tarattığınızda bir bilgi var mı? Öncelikle bizi şifreleyen şey hakkında el de bilgi var mı bunu anlıyor olmamız gerekiyor sanırım.

Not : Sistem güvenli kip olarak açıldığında durum nedir?

 

hocam selam, tarama programı ile tarattığımızda hiç bir virus bulamıyor. tüm word excel pdf datalarının uzantılarının sonuna logo.doc.sifreli şeklinde değiştirdi , uzantıyı elle değiştirdiğimizde açılmıyor. dosyaları bozulmuş gibi açılıyor. bu dosyaları nasıl düzeltebilirim ?

 

 
Gönderildi : 13/02/2014 13:56

(@DoganYildiz)
Gönderiler: 83
Trusted Member
 

Dosyalara ne olduğunu anlamadan çözüm yoluna gitmek gerçekten güç olacağa benziyor.
Kısa senaryo;
Size email geliyor.
Siz email ekini çalıştırıyorsunuz.
Döküman dosyalarınız şifreli bir hale geliyor.

Bu durumdayız doğru mudur?

 
Gönderildi : 13/02/2014 15:05

(@aykutersoy)
Gönderiler: 208
Reputable Member
Konu başlatıcı
 

dökümanlarımın uzantisi sifreli olarak oluyor. yani örnej dokuman.pdf dokuman.pdf.sifreli olarak düzenlenmiş bunu tekrar düzeltiriyorum açılmıyor dosya.

 
Gönderildi : 13/02/2014 15:24

(@erkutkurt)
Gönderiler: 6
Active Member
 

aynı sorun bendede var 🙁


dosya isimlerine baktığın zaman  öncede hesap.xls olan dosya sımdı hesap.xls.sifreli gözüküyor.


maalesef daha doğru duzgun bı makale bulamadım.


dosya ısmını degıstırıp eskısı gıbı hesap.xls yaptığım zamanda dosya excel de açılmaya çalışıyor ama maalesef açılmıyor bozulduğu ıcın.


 


 

 
Gönderildi : 13/02/2014 16:26

(@aykutersoy)
Gönderiler: 208
Reputable Member
Konu başlatıcı
 

bir kaç arkadaşlar görüştüm müşterilerinede bulaşmış bu yeni çıkan bir virus ama çözümü bulmak gerekiyor.

 
Gönderildi : 13/02/2014 17:27

(@erkutkurt)
Gönderiler: 6
Active Member
 

bir kaç arkadaşlar görüştüm müşterilerinede bulaşmış bu yeni çıkan bir virus ama çözümü bulmak gerekiyor.


 


maalesef ortalıkta pek net bır bılgı bulamadım ben , yazılan bıkac bısey vardı denedim vırus belkı temızlendı ama onemlı olan dosyaları(offıce,pdf)kurtarabilmek bısey bulursam paylaşırım burdada

 
Gönderildi : 13/02/2014 17:38

(@DoganYildiz)
Gönderiler: 83
Trusted Member
 

Crypto Locker gibi davranan farklı bir program olduğunu düşünüyorum ancak çözüm olarak bir şey ortaya koyamıyorum. Bulaşma yaşayanlar bulaşan programı inceleme fırsatları olmamış anladığım kadarıyla. yani bu olayı yapan programın nasıl bir şifreleme yaptığının anlaşılması ona göre decode yapılabilmesi gerek ancak yazışmalar genellikle dataların kurtarılamadığı virüsün temizlendiği yönünde.

Dikkatli olmak gerekiyor.

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2945

 
Gönderildi : 13/02/2014 20:03

(@erkutkurt)
Gönderiler: 6
Active Member
 

bendeki sorun sole.


turkcell den gelen bır maıl sonrasında pc dekı butun dosya uzantıları ( .doc , .pdf , .xls ) iken ( .doc.sifreli , .pdf.sifreli , .xls.sifreli ) oldu.


malwarebyte ile fln ag destegıyle guvenlı modda tarama yaptım ama herhangı bır vırus bulamadı.


regedit ayarlarını fıx leyen bazı dosyalar yukledım (link leri .exe ceviriyorsa diye) onlarda fayda etmedi.


bılgısayara format atıp yenıden kurulum yapabılırım o sorun deıl ama dosyaların uzantıları degısmeyecegı ıcın bosuna yapmıyorum.


cunku dosyaları baska pc ye aldıgımdada uzantılar hala aynı  .doc.sifreli  olarak gozukuyor


el ile uzantıyı degıstırıp .doc yaptıgım zamanda bu sefer dosya ıcerıgı cop oluyor


içinden cıkamadıgım ilk sorun oldu bu aksilik hiçbi makale vs de yok ınternette

 
Gönderildi : 13/02/2014 22:16

(@FarukGUL)
Gönderiler: 83
Estimable Member
 

winrar ile açmayı dener misiniz. Muhtemelen şifreli rar dosyalarına çevrilmişlerdir.

 
Gönderildi : 14/02/2014 00:27

(@tunconur)
Gönderiler: 62
Estimable Member
 

Selamlar,

Bir çok firmam aynı virüsten nasibini almış bulunmakta. Virüs dediğim bir crypto aslında. Altında linux yatıyor sanırım. 1 gecedir uğraşıyorum. Bazı clientların masaüstüne script ile bir yazı duvar kağıdı yapılmış. Ben yazılım mühendisiyim, dosyalarını ele geçirdim. Bu mail ile bana ulaşabilirsiniz, ulaşmadığınız takdirde dosyalarınız yayınlanacaktır şeklinde uzun bir yazı.

Dosyalar .sifreli uzantılı olarak script ile değiştiriliyor. Windows klasörü altına Default.pif diye bir kısayol atıyor. Kısayol bir ip ile haberleşiyor sanırım. Belirli kodları dışarıdan çekiyorlar diye düşünüyorum. Ben işin içinden çıkamadım. Uzantılar değiştirildiğinde dosya tamamen kullanılamaz hale geliyor. Windows'un kendi dosya şiflreleme izleri çalışmıyor. Firmaların ticari zararları çok büyük. Varsa bir duayen yardımcı olsun. Hiçbir fix işe yaramıyor. Olaki diski başka bir sistemde açarsanız dosyalara ulaşmanız imkansız hale geliyor. Kesinlikle işlemin gerçekleştiği bilgisayar üzerinde, o işletim sisteminde reg kayıtlarını düzenlemeniz gerekiyor.

Bilginize. 

Küçük bir ekran görüntüsü

 

Masaüstüne bırakılan not

 

 

 
Gönderildi : 14/02/2014 04:01

(@aykutersoy)
Gönderiler: 208
Reputable Member
Konu başlatıcı
 

Arkadaşlar,

 aynı şekilde olayları bizde yaşadık ama hiç bir yerde çözümü yok nasıl çözülecek bilmiyoruz . dosyaların nasıl şifrelendiğide çok ilginç dosyanın boyutlarıda aynı şekilde kalıyor farklı bir şekilde kilitlenmiş. 

 
Gönderildi : 14/02/2014 11:46

(@DoganYildiz)
Gönderiler: 83
Trusted Member
 

Yukarıda da belirttiğim gibi cryptolocker tarzı bir revizyon var karşımızda. Okuduğum makalelerde temizle yapılıyor ancak verilere erişim mümkün görünmüyor. Size ulaşan email görüntüsü vb. bilgileri çevreniz ile paylaşarak bu konuda acil bir bilinçlendirme oluşturarak bir nebze olsun frenleme sağlanabilir. Eğer aramızda deassebbly yapabilecek olanlar varsa size bulaşmış olan exe dosyaların işlevini anlamaya çalışarak tersine mühendislik ile sonuca ulaşılması denenebilir. Benim okuduğum anladığım kadarıyla yedekleriniz varsa yedeklerinizden geriye dönün. Yoksa şifrelenen veriler için yapılacak fazla bir şey yok.

Geçmiş olsun.

 
Gönderildi : 14/02/2014 12:25

(@VeliKAYA)
Gönderiler: 6
Active Member
 

Evet jpg şifreleniyor ancak bmp lere dokunmamış mesela.

Bir dönem win98, wk2 nın olduğu dönemlerde dosya uzantısı bir programla ilişkilendirilerek o programla ve istenirse şifre sorarak açılması sağlanıyordu. Bende vb6 ile istek üzerine öyle bişey yapmıştım. Ancak klasörünün uzantısının { ve sonrası silindiğinde normal olarak açılabilir oluyordu. Bu malesef farklı birşey dosyanın içeriğini en basit txt dosyasının içeriği bile kodlanmış görünüyor.

Belki çözüm olarak sifreli uzantılı dosyaları açabilmek yada sadece deneme amaçlı resim dosyalarını açmak için küçük bir program yapılarak bilinen şifreleme türleri ile decrypt denenebilir. Tabi bunu yapan muhtemelen kendine has bir şifreleme metodu kullanmıştır. Mail ile gelen dosyayı silmeyen muhafaza eden varsa ve sıkıştırıp paylaşa bilirse (mail vs) test etme şansımız olabilir.

 
Gönderildi : 14/02/2014 12:58

(@erkutkurt)
Gönderiler: 6
Active Member
 

maalesef maile ulasamıyorum

 
Gönderildi : 14/02/2014 14:34

(@tunconur)
Gönderiler: 62
Estimable Member
 

Windows xp üzerinde betik ile temizlemek mümkün fakat sadece sistemi kurtarabiliyorum. Dosyalara yine ulaşamıyorum. Dosyalara tek erişim yolumuz bu işi yapan arkadaşa mail atmak diye düşünüyorum. Durumun hukuki aşaması için bir heyet oluşturulabilir. Dosyaları ücret karşılığı teslim edeceklerini söylüyorlar. Böyle durumlara zeval vermemek adına, lütfen yönetimini yaptığınız sistem kullanıcılarını bilgilendirin. Mailler hala aktif. Farklı banka isimlerinde gönderilmeye devam ediliyor. 

Herkese geçmiş olsun. 

 
Gönderildi : 14/02/2014 15:30

(@DoganYildiz)
Gönderiler: 83
Trusted Member
 

Cryptolocker olarak incelerseniz. RSA çift yönlü bir şifrelemeden söz ediliyor. A anahtarı sizin bilgisayarınızda şifreleme yapılırken oluşturuluyor. Problem ise B anahtarının karşı tarafın elinde olması. Bu sebepten bilgisayarda bulaşmadaki şifreleme anahtarının biliniyor olması gerekiyor ki B anahtarı elde edildiğinde şifreler geri çözülebilsin şu aşamada bulaşma olmadan engellenmesine çalışılmalı aksi durumda çözümsüz kalınacak gibi görülüyor. Söz konusu emaillerden örnek var mı? Emailin kendisi olmasa bile örnek teşkil edecek ekran görüntüsü vb.. ile bilgilendirme emailleri başlatılabilir.

Herkese tekrar geçmiş olsun kolay gelsin.

 
Gönderildi : 14/02/2014 15:56

Sayfa 1 / 3
Paylaş: