CryptoLocker

SALDIRIYA UĞRADIM? NE YAPMALIYIM?

Bilgisayarınıza bulaşan fidye virüsünü antivirüs programlarıyla temizleyebilirsiniz, önemli olan bilgisayardan temizlemek değil, şifrelenmiş dosyalarınızı açılabilir ve kullanılabilir duruma getirmektir.  Virüsü temizleseniz, hatta format atsanız dahi dosyalar şifrelenmiş kalmaya devam edecektir. Bu sebeple, önceliğiniz virüsü temizlemek değil, dosyaları kurtarmak olmalıdır. 

Yapmamanız gerekenler:

  • Hackerlara kesinlikle ödeme yapmayın,
  • Antivirüs ve malware programları ile bulaşan virüsü temizlemeye çalışmayın, bu programlar şifrelenen dosyalarınızı silecektirir.
  • Veri kurtarma programları yüklemeyin,
  • Asla sistem geri yükleme yapmayın,
  • Format atmayın,
  • Virüsün oluşturduğu yönerge dosyalarını silmeyin,
  • Ödeme ve fidye bilgilerini gösteren dosyaları silmeyin,
  • Şifrelenmiş dosya uzantılarını değiştirmeyin,
  • Yazılımsal hiç bir deneme ve girişimde bulunmayın.               

Yapmanız gerekenler:

  • Derhal cihazın elektrik ile bağlantısını kesiniz ve çalıştırmayınız,
  • Bizi arayarak şifre çözme, veri kurtarma veya ücretsiz analiz hizmetimizden faydalanın,
  • Böyle bir durumla tekrar karşılaşmamak için işletim sistemi dil seçeneklerine Rusça dil ve klavye ekleyin,
  • Bazı fidye yazılımlarının bilinen şifre çözümlemesi mevcut olmayabilir. Gelecekte çözüm bulunma ihtimalini gözönüne alarak, şifrelenmiş dosyalarınızı yedeklemeniz tavsiye ederiz.
  • Benzeri durumla tekrar karşılaşmamak için MyDISK'in tavsiye edeceği desteklerden faydalanın.                                                                                                   

 

WannaCrypt, CryptoLocker, CTB-Locker, TeslaCrypt, CryptoWall, Ransomware NEDİR?

 

!!! Tüm dosyalarınız Crypt0L0cker virüs tarafından şifrelenmiştir !!!  uyarısı ile kullanıcıların  bilgisayarlarında, server, ağ sürücü, USB bellek ve NAS cihazları üzerinde bulunan önemli fotoğraf, video, kişisel bilgiler ve ticari veri tabanı dosyalarınızı şifreleyerek kilitler ve kullanılamaz hale getiren bir Ransomware  fidye virüsüdür. Eğer dosyalarınızın uzantısı .vvv, .ccc, .xyz, .zzz, .aaa, .ecc, .ezz, .exx, .abc, .xxx, .ttt, .micro, .encrypted, .micro, .locky, .mp3,  .magic, .lol, .xtbl, .crypt, .odin, .zepto, .enc, .cerber, .cerber3, .aesir, .shit, .ae35 olarak değişmisse virüs bulaşmış demektir. Virüs şifrelenmiş dosyaların bulunduğu klasörlerin içlerine de_crypt_readme.html, de_crypt_readme.bmp, # DECRYPT MY FILES #.html, # DECRYPT MY FILES #.txt, DOSYALARI_NASIL_GERI_ALIRIM.txt, DOSYALARI_NASIL_GERI_ALIRIM.html, SIFRE_COZME_TALIMATI.txt, SIFRE_COZME_TALIMATI.html, _Locky_recover_instructions.txt, +REcovER+cmwnu+.txt, _HELP_instructions.html,  _HELP_instructions.txt,  _HELP_instructions.bmp, HELP_YOUR_FILES.PNG, HELP_RECOVER_instructions+giy.html, HELP_DECRYPT.HTML HELP_DECRYPT.PNG,  HELP_DECRYPT.TXT, HELP_DECRYPT.URL  gibi ödeme talimat dosyaları oluşturuyor.

Şifrelenen dosyalarınızın eski haline döndürülebilmesi için sizden bunun karşılığında fidye istediklerini belirtirler ve belli bir zaman verirler. Ödeme yapılması durumunda dosyalarınıza kavuşacağınızı, aksi durumda belirtilen zaman dolduktan  sonra imha edileceğini belirterek sizi tehdit ederler. Kullanıcıların virüs bulaştıktan sonra yapacakları tüm deneme ve girişimlerin  bir işe yaramayacağını da belirtmek isteriz. Hackerların istedikleri parayı ödedikten sonra  dosyalarınızı geri almama ihtimaliniz yüksektir.

WannaCrypt, CryptoLocker, CryptoWall ülkemizde PTT Kargo, PTT Posta, UPS Kargo, TTnet Fatura virüsü, Telekom, Turkcell, Süperonline, THY, Turkish Cargo, Turkish Airlines Cargo , Turkish Kargo, THY Kargo  ve e-Posta fidye virüsü olarak da anılmaktadır.

777, 7ev3n, 7h9r, 7zipper, 8lock8, ACCDFISA v2.0, AdamLocker, AES_KEY_GEN_ASSIST, AES-NI, Al-Namrood, Al-Namrood 2.0, Alcatraz, Alfa, Alma Locker, Alpha, AMBA, Amnesia, AnDROid, AngryDuck, Anubis, Apocalypse, Apocalypse (New Variant), ApocalypseVM, ASN1 Encoder, AutoLocky, AxCrypter, BadBlock, BadEncript, BandarChor, BankAccountSummary, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitKangoroo, BitStak, Black Feather, Black Shades, Blocatto, BlockFile12, Booyah, BrainCrypt, Brazilian Ransomware, BTCamant, BTCWare, Bucbi, BuyUnlockCode, Cancer, Cerber, Cerber 2.0, Cerber 3.0, Cerber 4.0 / 5.0, CerberTear, Chimera, CHIP, Clouded, CockBlocker, Coin Locker, CoinVault, Comrade Circle, Conficker, Coverton, CradleCore, Cripton, Cry128, Cry9, Cryakl, CryFile, CryLocker, CrypMic, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt38, CryptConsole, CryptFuck, CryptInfinite, CryptoDefense, CryptoDevil, CryptoFinancial, CryptoFortress, CryptoHasYou, CryptoHitman, CryptoJacky, CryptoJoker, CryptoLocker3, CryptoLockerEU, CryptoLuck, CryptoMix, CryptoMix Revenge, CryptoMix Wallet, CryptON, Crypton, CryptorBit, CryptoRoger, CryptoShield, CryptoShocker, CryptoTorLocker, CryptoViki, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoWire, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, CTB-Faker, CTB-Locker, Damage, Deadly, DEDCryptor, DeriaLock, Dharma (.dharma), Dharma (.onion), Dharma (.wallet), Digisom, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, DMALocker Imposter, Domino, Done, DoNotChange, DXXD, DynA-Crypt, ECLR Ransomware, EdgeLocker, EduCrypt, El Polocker, EncrypTile, EncryptoJJS, Encryptor RaaS, Enigma, Enjey Crypter, EnkripsiPC, Erebus, Evil, Exotic, Extractor, Fabiansomware, Fadesoft, Fantom, FenixLocker, FindZip, FireCrypt, Flatcher3, FLKR, Flyper, FrozrLock, FS0ciety, FuckSociety, FunFact, GC47, GhostCrypt, Globe, Globe (Broken), Globe3, GlobeImposter, GlobeImposter 2.0, GOG, GoldenEye, Gomasom, GPCode, GX40, HadesLocker, HappyDayzz, Heimdall, Help50, HelpDCFile, Herbst, Hermes, Hermes 2.0, Hi Buddy!, HiddenTear, HollyCrypt, HolyCrypt, Hucky, HydraCrypt, IFN643, iRansom, Ishtar, Jack.Pot, Jaff, Jager, JapanLocker, JeepersCrypt, Jigsaw, Jigsaw (Updated), JobCrypter, JuicyLemon, Kaenlupuf, Karma, Karmen, Kasiski, KawaiiLocker, KeRanger, KeyBTC, KEYHolder, KillerLocker, KimcilWare, Kirk, Kolobo, Kostya, Kozy.Jozy, Kraken, KratosCrypt, Krider, Kriptovor, KryptoLocker, L33TAF Locker, LambdaLocker, LeChiffre, LLTP, LMAOxUS, Lock2017, Lock93, Locked-In, LockLock, Locky, Lortok, LoveServer, LowLevel04, MafiaWare, Magic, Maktub Locker, Marlboro, MarsJoke, Matrix, Maykolin, Meteoritan, Mikoyan, MirCop, MireWare, Mischa, MNS CryptoLocker, Mobef, MOTD, MRCR1, n1n1n1, NanoLocker, NCrypt, NegozI, Nemucod, Nemucod-7z, Netix, NewHT, Nhtnwcuf, NM4, NMoreira, NMoreira 2.0, NotAHero, Nuke, NullByte, NxRansomware, ODCODC, OpenToYou, OzozaLocker, PadCrypt, PayDay, PaySafeGen, PClock, PClock (Updated), PEC 2017, Philadelphia, Pickles, PopCornTime, Potato, PowerLocky, PowerShell Locker, PowerWare, Pr0tector, PrincessLocker, PrincessLocker 2.0, Project34, Protected Ransomware, PshCrypt, PyL33T, R980, RAA-SEP, Radamant, Radamant v2.1, RanRan, Rans0mLocked, RansomCuck, RansomPlus, RarVault, Razy, REKTLocker, RemindMe, RenLocker, RensenWare, Roga, Rokku, RoshaLock, RotorCrypt, Roza, RSAUtil, Ruby, Russian EDA2, SADStory, Sage 2.0, Salsa, SamSam, Sanction, Sanctions, Satan, Satana, SerbRansom, Serpent, ShellLocker, Shigo, ShinoLocker, Shujin, Simple_Encoder, Smrss32, SNSLocker, Spora, Sport, SQ_, Stampado, Stupid Ransomware, SuperCrypt, Surprise, SZFLocker, Team XRat, Telecrypt, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TowerWeb, ToxCrypt, Trojan.Encoder.6491, Troldesh / Shade, TrueCrypter, TrumpLocker, UCCU, UIWIX, Ukash, UmbreCrypt, UnblockUPC, Ungluk, Unknown Crypted, Unknown Lock, Unknown XTBL, Unlock26, Unlock92, Unlock92 2.0, UserFilesLocker, USR0, Uyari, V8Locker, VaultCrypt, vCrypt, VenisRansomware, VenusLocker, VindowsLocker, Vortex, VxLock, WannaCryptor, WildFire Locker, Winnix Cryptor, WinRarer, WonderCrypter, X Locker 5.0, XCrypt, Xorist, Xort, XRTN, XTP Locker 5.0, XYZWare, YouAreFucked, YourRansom, zCrypt, Zekwacrypt, ZeroCrypt, ZimbraCryptor, ZinoCrypt, ZipLocker, Zyklon olmak üzere 386 adet fidye virüsü ve türevi vardır.

Ayrıca bitcoin143@india.com, amagnus@india.com, destroed_total@aol.com, enterprise_lost@aol.com, fire.show@aol.com, first_wolf@aol.com, fly_goods@aol.com, gotham_mouse@aol.com, ice_snow@aol.com, joker_lucker@aol.com, mission_inposible@aol.com, nort_dog@aol.com, p_pant@aol.com, power_full@aol.com, war_lost@aol.com, sammer_winter@aol.com, anksfast@aol.com, total_zero@aol.com, warlokold@aol.com, xmen_xmen@aol.com, danger_rush@aol.com, nort_folk@aol.com, support_files@india.com, age_empires@aol.com, amanda_sofost@india.com, ded_pool@aol.com, donald_dak@aol.com, space_rangers@aol.com, mkgoro@india.com, MKKitana@india.com, mkscorpion@india.com, mksubzero@india.com, Mkliukang@india.com, Mkraiden@india.com, spacelocker@post.com, legionfromheaven@india.com, mkjohnny@india.com,mkreptile@india.com, mksektor@india.com, mknoobsaibot@india.com, mkgoro@aol.com, MKKitana@aol.com, mkscorpion@aol.com, mksubzero@aol.com, Mkliukang@aol.com, Mkraiden@aol.com, spacelocker@post.com, legionfromheaven@aol.com, mkjohnny@aol.com, mkreptile@aol.com, mksektor@aol.com, mknoobsaibot@aol.com, mk.baraka@aol.com, mk.jax@aol.com, mk.sonyablade@aol.com, mk.shaokahn@aol.com, mk.smoke@aol.com, Vegclass@aol.com, meldonii@india.com, calipso.god@aol.com, ninja_gaiver@aol.com, alex-king@india.com, checksupport@163.com, grand_car@aol.com, ecovector2@aol.com, donald_dak@aol.com, seven_legion@aol.com, drow_ranger@india.com, centurion_legion@aol.com, batman_good@aol.com, systemdown@india.com, legioner_seven@aol.com, f_tactics@aol.com, last_centurion@aol.com, diablo_diablo2@aol.com, kartn@india.com, martezon@india.com, stopper@india.com, injury@india.com, supermagnet@india.com, magnetvec@india.com, webmafia@asia.com, smartsupport@india.com, interlock@india.com, lavandos@dr.com, mr_lock@mail.com e-mail adresleri aracılığı ile sizden fiyde isteyebiliriler. 

 
Cryptolockerlar nasıl yayılır?

Cryptolockerlar dünyanın farklı bölgelerinden büyük saldırı dalgaları halinde hızlı bir şekilde yayılırlar. Bu türden yayılmalarda en çok kullanılan bulaşma yöntemi zararlı eklerle oltalama taktikleri içeren e-postalardır. Mesaj kurbanlara göre yerelleştirilmiş, yani kurbanın bulunduğu ülke şartlarına göre özelleştirilmiş olabilir. Örneğin: Türkiye’de hedeflenen kurbanlar için mail içeriği, telekom firmalarından gelen yüksek rakamlı faturalarmış gibi görünebiliyor. Potansiyel kurbanın bulunduğu yer, kurbanın e-posta adresinin ülke domaininden tespit edilebiliyor ya da domain’i barındıran servis sağlayıcı kullanılarak tespit edilebiliyor. Eğer alıcı sosyal güvenlik hilelerinin kurbanı olup eki açarsa ve antivirus tarafından da bloklanmazsa truva atı sistemde çalışır. Son zamanlarda bu ek ile gelen truva atı, cryptolocker’ı indirip çalıştıran bir downloader gibi davranıyor. Cryptolocker şifrelemek için pek çok dosya tipini arar ve şifreleme işlemi bitince kullanıcıya, dosyalarına geri kavuşmak için para göndermesi gerektiği mesajını içeren bir uyarı gösterir.

Engelleme ve koruma

Şifrelenmiş dosyalar temel olarak onarılabileceğin ötesinde zarar görmüş olarak kabul edilir. Cryptolocker’ın sisteminiz ve verileriniz üzerindeki etkisini minimize etmek için aşağıdaki adımlara dikkat etmenizi öneriyoruz ve bahsi geçen adımları virüs sisteminize bulaşmadan uygulamaktır. Eğer sistem doğru bir şekilde hazırlanmış ve güvenli hale getirilmişse veri kaybı riski korunmayan bir sisteme göre ciddi bir şekilde daha az olacaktır.

A. Verilerinizi Yedekleyin

Fidye yazılımlarını etkisiz kılacak tek ve en iyi çözüm, düzenli olarak güncellenmiş yedeklerdir. Cryptolocker’ın maplenmiş ve sürücü harfi atanmış sürücüler üzerindeki, hatta bazen maplenmemiş sürücüler üzerindeki dosyaları şifreleyebildiklerini unutmayın. Bu USB bellekler gibi harici sürücüleri, pek çok ağ ve bulut dosya depolamasını da içermektedir. Bu nedenle düzenli yedekleme yapınızda, eğer aktif yedek alınmıyorsa düzenli olarak harici sürücüyü veya yedekleme servisinin bağlantısını kesmeye de dikkat etmek gerekir.

B. Gizli Dosya Uzantılarını Gösterin

Bir cryptolocker zararlısı sıklıkla .pdf .exe uzantılı bir dosya ile gelir. Bu Windows’un bilinen dosya uzantılarını saklama davranışının aktif olmasına dayanır. Tam dosya uzantılarını görmeyi etkinleştirmek şüpheli dosyaları kolayca fark edebilmeyi kolaylaştırır.

C. E-postalar İçindeki .exe uzantılarını Filtreleyin

Eğer e-posta programınız dosya uzantısına göre filtreleme yeteneğine sahipse , .exe .scr .pif .js dosya uzantısına sahip maillleri veya exe ile biten iki dosya uzantısı olan dosyaları (“*.exe” dosyalar gibi) filtreleyin.

D. Tanımadığınız Kişilerden Gelen E-posta ve Mesajların Eklerini Açmayın; İçindeki Linklere Tıklamayın

Crytolocker’ın en tipik bulaşma şekli, bankalardan, kargo firmalarından, telekom firmalarından gelmiş gibi görünen e-postaların eklerinin çalıştırılması veya içindeki linklere tıklanması ile olmaktadır. Kullanıcılar bilmedikleri, tanımadıkları şüpheli e-posta eklerini açmamaları, linklere tıklamamaları konusunda eğitilmelidirler; farkındalıkları oluşturulmalıdır.

E. AppData/LocalAppData Klasörlerinden Dosya Çalıştırmayı Engelleyin

Cryptolocker’ın dikkat çekici ve fark edilen bir özelliği de çalıştırılabilir dosyasını AppData veya Local AppData klasöründen çalıştırmasıdır. Windows içinden veya saldırı koruma sistemlerinden bunu engelleyecek kurallar girebilirsiniz. Eğer normal bir program bu lokasyondan çalışmak isterse ilgili kuralda bir ayrıcalık oluşturulabilir.

F. Uzak Masaüstü Özelliğini Kapatın

Cryptolocker fidye virüsü sıklıkla, Windows makinelere uzaktan bağlanmaya yarayan Remote Desktop Protocol (RDP)’u kullanan makineleri hedef alır. Siber suçluların RDP ile saldıracakları makineye oturum açıp güvenlik yazılımlarını devre dışı bıraktıkları da bilinen olaylardan biridir. Uzak erişim devre dışı bırakmak etkili bir yöntem olacaktır. RDP’yi devre dışı bırakmak için Microsoft Knowledge Base yazılarına bakabilirsiniz. Yazılara ulaşmak için lütfen buraya tıklayınız.

G. Yazılımlarınızın Yamalarını ve Güncellemelerini Yapın

Virüs yazarları sıklıkla bilinen açıklara sahip güncel olmayan yazılımları kullanan kullanıcıların sistemlerine sessizce sızarak virüsleri bulaştırabilmektedir. Eğer yazılımlarınızı sıklıkla güncelliyorsanız fidye yazılımlarının bulaşmasına karşı daha korumalı olduğunuz söylenebilir. Bazı yazılım üreticileri güncellemelerini düzenli olarak (Microsoft ve Adobe her ayın 2. salı günü) yayınlamaktadır, ancak bazen acil durumlarda bu standart zamanlar dışında da güncelleme yayınlanır.

H. Bilinen Bir Güvenlik Yazılımı Kullanın

Virüs yazarları, tespitten kaçabilmek için sıklıkla yeni türevler yayınlarlar. Bu da çok katmanlı güvenliğe sahip olmanın neden önemli olduğunu gösterir. Sistemin içine sızabilseler bile pek çok zararlı yazılım, zararlı etkilerini gösterebilmek için uzak komutlara ihtiyaç duyarlar. Eğer antivirüs yazılımınızın tanımadığı çok yeni bir fidye yazılımı türevi ile karşılaşırsanız, bu zararlı şifrelemeye başlamak için komuta&kontrol (C&C) sunucusuna bağlanırken tespit edilebilir. 

I.  Windows Shadow Volume Copies özelliğinden yararlanarak dosyaları kurtarma,

Eğer virüs bulaşmış Windows sistemde Sistem Geri Yükleme özelliği aktifse makinenizi temiz duruma döndürme ve şifrelenmiş dosyaların “Shadow” dosyalardan geri döndürülme şansı vardır. Ancak zararlı yazılımlar hızlıca bu imkanları düşünüp çözüm üretebilirler. Örneğin güncel fidye yazılımları bu shadow kopyaları da silip dosyaların bunlardan geri döndürülmesini engelleyebiliyorlar. Cryptolockerlar, shadow dosyaları silme işlemine, ilk çalıştırıldıklarında normal bir Windows prosesi gibi başlar ve kullanıcılar ve sistem yöneticileri fark etmeden silmeyi bitirir.

ShadowExplorer uygulamasını buradan indirin.|Uygulamayı İndir| Kurun ve çalıştırın virüsün bulaşma tarihinden önce bir geri yükleme noktası seçin Kurtarmak istediğiniz dosyayı sağ tuşla tıkayın ve Export'u seçin ve istediğiniz bir yeri seçip oraya kaydedin.

J. Yönetici Ayrıcalıklarına Sahip Olan Bir Hesap Yerine Standart Bir Kullanıcı Hesabı Kullanın

Sistem yönetici haklarına sahip olan bir kullanıcı adı kullanmak her zaman bir güvenlik riski oluşturur, çünkü zararlı yazılım bu hesaplar sayesinde en yüksek haklarla kolayca her yere bulaşabilir. Kullanıcıların günlük işler için her zaman limitli bir kullanıcı hesabı kullandığından emin olun ve sistem yöneticisi hesabını sadece, kesin gerekli olduğu durumlarda kullanın. UAC’yi de devre dışı bırakmayın.

K. Çalışanların Güvenlik Eğitimine Önem Verin

En çok bilinen virüs bulaştırma yöntemi, kullanıcıları çeşitli yöntemlerle kandırarak güvenlik açısından yapmamaları gereken bir şeyler yaptırmayı sağlayan sosyal mühendislik yöntemidir. Kullanıcıların bu türden sosyal mühendislik hilelerine kanmamaları için bu yöntemler hakkında kullanıcıya bilgi verilmeli bu eğitimlerin içeriği yeni çıkan saldırı yöntemleriyle güncellenmelidir.

 

SİZİ ARAYALIM
Bugüne kadar 164974 kişi, müşteri temsilcilerimizden destek almıştır.
Görüşmek istediğiniz temsilcimizi seçiniz.
Aramamızı istediğiniz saati seçiniz.
MyDISK Logo