CryptoLocker Virüsü

[polleme]

Çalışanlardan birinin uyarılara rağmen yaptığı büyük hata sonucu bağlı olduğu bilgisayardan dosya sunucusunun bir klasörüne CryptoLocker bulaştı ve o klasördeki tüm dosyalar şirelenmiş durumda. Word, Excel ve PDF dosyalarının uzantıları .encrypted olarak görünüyor ve hiç birine erişilemiyor. Virüsü bulaştıran kişiler panzehir için para istiyorlar, para ödenirse açacak olan key'i göndereceklerini belirtiyorlar. Bunu yaşayan veya çözümü için bir öneri getirebilecek bir arkadaşımız var mıdır?

Dikkatli olun; virus, TTNET'ten bir online fatura veya duyuru mesajı şeklinde e-maille geliyor. Sizler de avlanmayın.

[MC_Skywalker]

https://www.decryptcryptolocker.com/

bu site yardımcı oluyordu. bir ara BBC de bir haberde bu siteden bahsedilmişti.

[polleme]

O linki enfekte olmuş en az 5-6 dosyada denedim. Şu mesajı veriyor:

The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.

Daha sonra bunu araştırdım, şifreleme metodu değişmeden önce saldırılan dosyalarda bu yöntem işe yarıyormuş ama farklı bir yöntem kullanıldığı zaman o linkteki yazılım da şifrelemeyi algılamıyor görünüyor.

[galenga]

hocam pek vaktim yok derse gidicem ama şöyle birşey buldum ,

https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html ,

belki yararı dokunur size tam okuyamadım devamıda var yanılmıyorsam yazının umarım yararı dokunur ...

[t2]

Peki bu kişi ile iletişime geçilerek yakalanması mümkün olmamış mı?
Para nereye gönderilecek? çöpün yanına mı bırakılacak? illa ki kendisi veya anlaştığı biri parayı almak isteyecek bu sayede  yakalanabileceklerdir.

[polleme]

Virüsü bulaştıran kişi, ödeme için Bitcoin sistemini kullanıyor. Önümüzdeki iki gün içinde Bitcoin sitesinden onların belirttiği 20 küsür haneli Bitcoin hesabına parayı gönderirseniz size bir dosyayı indirmeniz için link gönderiyorlar ve o dosya da dosyaları eski haline getiriyor. En azından anlatılan böyle ama bir garantisi yok tabi ki. Bitcoin'de kendiniz için yaratacağınız hesaba da bir bankadan EFT ile para gönderiyorsunuz. Paypal mantığına benziyor aslında. Alıcının hiç bir iletişim bilgisi yok, o da Bitcoin hesabına gelen parayı kendi banka hesabına havale ediyor ve işlem bitiyor.

[MC_Skywalker]

elimde son bu link var ttp://www.remove-pcvirus.com/tr/cryptolocker-kaldir/

[t2]

Peki  ne kadar ücret talep ediliyor?  Dosya içeriğine ve değerine bakmadan sabit ücret istiyor olsa gerek.

Bu sayfadaki açıklamalardan anlaşıldığı kadarıyla sadece şifreleme yapıyor, gönderilecek diye bildirmesine rağmen  dosyaları bir yere göndermiyormuş.

[mistek]

Sadece firmalara mı gidiyormuş bu virüs?

[kutahyaspor]

ev kullanıcısı formatlayıp geçiyor da, işyeri için sıkıntı.

[polleme]

İstenen para 900 TL. Denildiği gibi bu makina bir dosya sunucusu olunca ve yedek olmayınca büyük problem.

[kantirici]

TTNET nasıl böyle bir dosya gönderiyor peki? Bu durumda sorumlu TTNET değil mi?

[FEHMİ_ASM]

TTNET nasıl böyle bir dosya gönderiyor peki? Bu durumda sorumlu TTNET değil mi?

  Gönderen ttnet değil zaten. TTnet sayfası görünümlü sahte bir link.

[polleme]

Aynen. Sayfa o kadar güzel dizayn edilmiş ki tecrübeli olmayan biri kolaylıkla TTNet'ten fatura geliyor sanıp açabiliyor. Gelen dosya bir pdf gibi görünüyor ama gizli .exe uzantısı var.

[gergy]

Hocam, bu virüsün çeşitli varyantları çıkmış durumda, eğer şansınız varsa ilk cryptolocker varyantlarından ise TorrentUnlocker.exe diye bir program ile dosyalarınızı kurtarma ihtimaliniz oluyor. Bizim işyerinde de benzer virüs bulaşışı olmuştu sözde TTNET sitesinden gönderilen bir e-posta aracılığı ile ben bu programla bir takım (bazı resim dosyaları) dosyaları kurtarabildim, ancak en az 2 MB'lık dosyalar gerekiyor şifrelenmiş ve şifrelenmemiş hali olan ki bu da yedek almadı iseniz çözüm olmuyor. Bizim çözümümüz birkaç ay önce alınmış olan komple yedeğe geri dönmek olmuştu. Ancak Cryptolocker 2 veya cryptowall varyantları bulaşmışsa işiniz oldukça zor, hatta cryptowall için henüz bir çare bulunmuyor.

Linkini verdiğiniz site https://www.decryptcryptolocker.com/ sadece ilk cryptolocker virüsüne karşı etkili, keza diğer varyantlarda virüsün sahibi/sahipleri açıkları kapatmışlar.