Dünya üzerinde birçok kullanıcının bilgisayarını etkilenen bilgisayarlardaki şifrelenmiş dosyaların çözümü artık mümkün bununla ilgili yapılması gereken işlemleri aşağıda anlatmaya çalıştım.
Öncelikle çözümleme için birkaç program gerekmektedir. Bunun için aşağıdaki programları indiriniz.
1. Tesladecoder
2. Yafu
Daha sonra virüs bulaşmış bir dosyayı çözüme başlamak için hazırlayınız.
Daha sonra Tesladecoder adındaki sıkıştırılmış dosyayı genişleterek açınız.
Resim – 1
Genişletilen dosya içerisinde TeslaViewer.exe ismindeki uygulamayı çalıştırıp bir sonraki adıma ilerleyiniz.
Resim – 2
Browse.. butonunu kullanarak virüs bulaşmış dosyayı seçiniz ve bir sonraki adıma ilerleyiniz.
Resim – 3
Seçmiş olduğunuz virüslü dosya için yukarıda görünün HEX ve DEC kodları görmeniz gerekiyor eğer bunları göremiyorsanız başka bir dosya için deneyiniz. Daha sonra Create work.txt butonuna basarak çalışma dosyanızı hazırlamasını sağlayıp bir sonraki adıma geçiniz.
Bu adımda artık YAFU kullanmaya başlayacağız. YAFU sıkıştırılmış dosyanızı genişleterek açınız.
Resim – 4
YAFU klasörü içerisinde yer alan “RunYafu.exe” çalıştırıp bir sonraki adıma ilerleyiniz.
Resim – 5
Gelen ekranda “Tune Yafu” butonuna basınız ve bekleyiniz.
Resim – 6
YAFU tune işlemi bittiğinde tekrar ana ekrana geleceğiz. Ana ekrana geldiğinizde “Work.txt” dosyası içerisinde yer alan “SharedSecret1*PrivateKeyBC” bölümündeki “DEC” ile başlayan bölümü kopyalayınız.
Resim – 7
Work.txt dosyası içerisinden kopyaladığınız SharedSecret*PrivateKeyBC Decimal değerini kutucuğun içerisine yapıştırın.
Ekranda bulunan Factoring Threads değeri işlemcinizde bulunan sanal işlemci sayısıdır buna göre değeri arttırıp düşürebilirsiniz. Bu değer şifrenin çözümü için harcanacak zamanı değiştirecektir.
Factor SharedSecret*PrivateKeyBC butonuna basıp işlemi başlatın.
Resim – 8
İşlem bitiminde örnek Resim – 8 deki gibi rakamlar görünecektir. Bunları kopyalayınız ve sıralamasını bozmayınız. (P1, P2, v.b. ibareleri kopyalama işleminden sonra bir text dosyanın içerisinde temizleyiniz)
TeslaDecoder klasöründe yer alana “Teslarefactor.exe” çalıştırın.
Resim – 9
Gelen ekranda YAFU da elde ettiğimiz kodları “Put decimal foctors here.” Yazan alana yapıştırınız. Daha sonra “work.txt” dosyamızdaki “PublicKeyBC =” alanındaki hex kodları “Public key (hex):” alanına yapıştırınız.
Resim – 10
YAFU ile elde ettiğimiz kodu ve work.txt içerisindeki public key ilgili alanlara yerleştirip “Find private key” butona basıp işlemi başlatın. İşlem tamamlandıktan sonra “Private key (hex)” alanında bize yeni bir kod değeri verecektir.
Private key (hex) kodunu kopyalayınız ve Tesladecoder klasöründeki Tesladecoder.exe uygulamasını çalıştırın.
Önemli Not: Private key (hex) kodunu bir yere kayıt ediniz. Bundan sonraki tüm dosyalarınızı bu kod ile çözeceksiniz. Buraya kadar anlatılan işlemler sadece bir kez yapılması yeterlidir.
Bu kodu alıp her şifrelenmiş dosya için kullanamazsınız buna da dikkat ediniz. Aynı bilgisayarda şifrelenmiş dosyalar için geçerlidir. Her yeni vaka yeni bir key demektir.
Resim – 11
Gelen ekranımızda “Set key” butonuna tıklayın ve bir sonraki adıma ilerleyiniz.
Resim – 12
“Key (Hex):” alanına Tesla refactor da elde ettiğimiz kodu yapıştırıyoruz. Extension bölümünden hangi uzantılı dosyaları çözeceğimizi belirtiyoruz ve Set key butonuna basıp hazır duruma getiriyoruz.
Resim – 13
Artık çözme işlemine hazır durumdayız tek bir dosya içerisindeki tüm verilerin şifrelerini çözebileceğimiz gibi tüm sistemdeki dosyaları da çözdürebiliriz bu sizin tercihinize kalmış bir durumdur. İşlemi başlatmadan önce şifrelenmiş dosyaların bir kopyasında deneme yapınız ve mutlaka yedek alınız.
İşlemi başlattığınızda şifreleri çözdükten sonra şifre uzantılı dosyaları silip silmeyeceğini sormaktadır tavsiyem “Hayır” seçeneğini seçmenizdir ki olası sorunlarda dosyalarda tekrar işlem yapma şansınız olsun.
Resim – 14
İşlem bitiminde TeslaDecoder ekranında durumla ilgili bilgi vermektedir. Görüldüğü üzere 1 adet dosyayı çözümlemiştir. Artık dosyayı açtığımda çalışır durumda olduğunu görebilmekteyiz.
Son olarak çözüm için farklı yöntemlerde mevcuttur ancak en basit hali ile ele almaya çalıştım. İhtiyaç durumunda python ve teslacrack.py dosyaları ile referanslardan faydalanabilirsiniz.
Bu durumun tekrar başınıza gelmemesini umut ederek hepinize faydalı olmasını dilerim.
Programı yazıp kullanıma sunan emek harcayan Lawrence Abrams ve ÇözümPark Mail Grubunda bizleri hızlıca bilgilendiren Mehmet YAYLA’ ya, python kullanımını kısaca açıklayan Resul YÜKSEL’ e teşekkür ederiz.
Özel Not: TeslaCrypt yeni versiyonu çıktı yeni uzantı xxx ve ttt olarak adlandırılmaktadır. Şuan için çözümü yok eğer bulunursa paylaşıyor olacağız.
Referanslar:
https://github.com/Googulator/TeslaCrack
http://www.bleepingcomputer.com/
http://sourceforge.net/projects/yafu/