Bilgisayar Onarım

**nomerci** · 05-05-2018

!!! Tüm dosyalarınız Crypt0L0cker virüs tarafından şifrelenmiştir !!! uyarısı ile kullanıcıların bilgisayarlarında, server, ağ sürücü, USB bellek ve NAS cihazları üzerinde bulunan önemli fotoğraf, video, kişisel bilgiler ve ticari dosyalarınızı şifreleyerek kilitler ve kullanılamaz hale getiren bir Ransomware fidye virüsüdür

Eğer dosyalarınızın uzantısı

vvv,

ccc,

xyz,

zzz,

aaa,

ecc,

ezz,

exx,

abc,

xxx,

ttt,

micro,

encrypted,

micro,

locky,

mp3,

magic,

lol,

xtbl,

crypt olarak değişmisse virüs bulaşmış demektir

Virüs şifrelenmiş dosyaların bulunduğu klasörlerin içlerine de_crypt_readme

html, de_crypt_readme

bmp, # DECRYPT MY FILES #

html, # DECRYPT MY FILES #

txt, DOSYALARI_NASIL_GERI_ALIRIM

html, SIFRE_COZME_TALIMATI

txt, SIFRE_COZME_TALIMATI

html, _Locky_recover_instructions

txt, +REcovER+cmwnu+

txt, _HELP_instructions

html, _HELP_instructions

txt, _HELP_instructions

bmp, HELP_YOUR_FILES

PNG, HELP_RECOVER_instructions+giy

html, HELP_DECRYPT

HTML HELP_DECRYPT

PNG, HELP_DECRYPT

TXT, HELP_DECRYPT

URL gibi ödeme talimat dosyaları oluşturuyor

Şifrelenen dosyalarınızın eski haline döndürülebilmesi için sizden bunun karşılığında fidye istediklerini belirtirler ve belli bir zaman verirler

Ödeme yapılması durumunda dosyalarınıza kavuşacağınızı, aksi durumda belirtilen zaman dolduktan sonra imha edileceğini belirterek sizi tehdit ederler

Kullanıcıların virüs bulaştıktan sonra yapacakları tüm deneme ve girişimlerin bir işe yaramayacağını da belirtmek isteriz

İstedikleri parayı ödedikten sonra şifrelenmiş dosyalarınızı geri almama ihtimaliniz yüksektir

CryptoLocker, CryptoWall ülkemizde PTT Kargo, PTT Posta, UPS Kargo, TTnet Fatura virüsü, Telekom, Turkcell, Süperonline, THY ve e-Posta fidye virüsü olarak da anılmaktadır

7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2

0, CryptoWall 3

0, CryptoWall 4

0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0

x, TeslaCrypt 2

x, TeslaCrypt 3

0, TeslaCrypt 4

0, UmbreCrypt, Unknown, VaultCrypt olmak üzere 52 adet fidye virüsü ve türevi vardır

Cryptolockerlar nasıl yayılır?

Cryptolockerlar dünyanın farklı bölgelerinden büyük saldırı dalgaları halinde hızlı bir şekilde yayılırlar

Bu türden yayılmalarda en çok kullanılan bulaşma yöntemi zararlı eklerle oltalama taktikleri içeren e-postalardır

Mesaj kurbanlara göre yerelleştirilmiş, yani kurbanın bulunduğu ülke şartlarına göre özelleştirilmiş olabilir

Örneğin: Türkiye’de hedeflenen kurbanlar için mail içeriği, telekom firmalarından gelen yüksek rakamlı faturalarmış gibi görünebiliyor

Potansiyel kurbanın bulunduğu yer, kurbanın e-posta adresinin ülke domaininden tespit edilebiliyor ya da domain’i barındıran servis sağlayıcı kullanılarak tespit edilebiliyor

Eğer alıcı sosyal güvenlik hilelerinin kurbanı olup eki açarsa ve antivirus tarafından da bloklanmazsa truva atı sistemde çalışır

Son zamanlarda bu ek ile gelen truva atı, cryptolocker’ı indirip çalıştıran bir downloader gibi davranıyor

Cryptolocker şifrelemek için pek çok dosya tipini arar ve şifreleme işlemi bitince kullanıcıya, dosyalarına geri kavuşmak için para göndermesi gerektiği mesajını içeren bir uyarı gösterir

Engelleme ve koruma

Şifrelenmiş dosyalar temel olarak onarılabileceğin ötesinde zarar görmüş olarak kabul edilir

Cryptolocker’ın sisteminiz ve verileriniz üzerindeki etkisini minimize etmek için aşağıdaki adımlara dikkat etmenizi öneriyoruz ve bahsi geçen adımları virüs sisteminize bulaşmadan uygulamaktır

Eğer sistem doğru bir şekilde hazırlanmış ve güvenli hale getirilmişse veri kaybı riski korunmayan bir sisteme göre ciddi bir şekilde daha az olacaktır

A

Verilerinizi Yedekleyin

Fidye yazılımlarını etkisiz kılacak tek ve en iyi çözüm, düzenli olarak güncellenmiş yedeklerdir

Cryptolocker’ın maplenmiş ve sürücü harfi atanmış sürücüler üzerindeki, hatta bazen maplenmemiş sürücüler üzerindeki dosyaları şifreleyebildiklerini unutmayın

Bu USB bellekler gibi harici sürücüleri, pek çok ağ ve bulut dosya depolamasını da içermektedir

Bu nedenle düzenli yedekleme yapınızda, eğer aktif yedek alınmıyorsa düzenli olarak harici sürücüyü veya yedekleme servisinin bağlantısını kesmeye de dikkat etmek gerekir

B

Gizli Dosya Uzantılarını Gösterin

Bir cryptolocker zararlısı sıklıkla

pdf

exe uzantılı bir dosya ile gelir

Bu Windows’un bilinen dosya uzantılarını saklama davranışının aktif olmasına dayanır

Tam dosya uzantılarını görmeyi etkinleştirmek şüpheli dosyaları kolayca fark edebilmeyi kolaylaştırır

C

E-postalar İçindeki

exe uzantılarını Filtreleyin

Eğer e-posta programınız dosya uzantısına göre filtreleme yeteneğine sahipse ,

exe

scr

pif

js dosya uzantısına sahip maillleri veya exe ile biten iki dosya uzantısı olan dosyaları (“*

exe” dosyalar gibi) filtreleyin

D

Tanımadığınız Kişilerden Gelen E-posta ve Mesajların Eklerini Açmayın; İçindeki Linklere Tıklamayın

Crytolocker’ın en tipik bulaşma şekli, bankalardan, kargo firmalarından, telekom firmalarından gelmiş gibi görünen e-postaların eklerinin çalıştırılması veya içindeki linklere tıklanması ile olmaktadır

Kullanıcılar bilmedikleri, tanımadıkları şüpheli e-posta eklerini açmamaları, linklere tıklamamaları konusunda eğitilmelidirler; farkındalıkları oluşturulmalıdır

E

AppData/LocalAppData Klasörlerinden Dosya Çalıştırmayı Engelleyin

Cryptolocker’ın dikkat çekici ve fark edilen bir özelliği de çalıştırılabilir dosyasını AppData veya Local AppData klasöründen çalıştırmasıdır

Windows içinden veya saldırı koruma sistemlerinden bunu engelleyecek kurallar girebilirsiniz

Eğer normal bir program bu lokasyondan çalışmak isterse ilgili kuralda bir ayrıcalık oluşturulabilir

F

Uzak Masaüstü Özelliğini Kapatın

Cryptolocker fidye virüsü sıklıkla, Windows makinelere uzaktan bağlanmaya yarayan Remote Desktop Protocol (RDP)’u kullanan makineleri hedef alır

Siber suçluların RDP ile saldıracakları makineye oturum açıp güvenlik yazılımlarını devre dışı bıraktıkları da bilinen olaylardan biridir

Uzak erişim devre dışı bırakmak etkili bir yöntem olacaktır

RDP’yi devre dışı bırakmak için Microsoft Knowledge Base yazılarına bakabilirsiniz

G

Yazılımlarınızın Yamalarını ve Güncellemelerini Yapın

Virüs yazarları sıklıkla bilinen açıklara sahip güncel olmayan yazılımları kullanan kullanıcıların sistemlerine sessizce sızarak virüsleri bulaştırabilmektedir

Eğer yazılımlarınızı sıklıkla güncelliyorsanız fidye yazılımlarının bulaşmasına karşı daha korumalı olduğunuz söylenebilir

Bazı yazılım üreticileri güncellemelerini düzenli olarak (Microsoft ve Adobe her ayın 2

salı günü) yayınlamaktadır, ancak bazen acil durumlarda bu standart zamanlar dışında da güncelleme yayınlanır

05-05-2018	#1
nomerci	Bilgisayar Onarım !!! Tüm dosyalarınız Crypt0L0cker virüs tarafından şifrelenmiştir !!! uyarısı ile kullanıcıların bilgisayarlarında, server, ağ sürücü, USB bellek ve NAS cihazları üzerinde bulunan önemli fotoğraf, video, kişisel bilgiler ve ticari dosyalarınızı şifreleyerek kilitler ve kullanılamaz hale getiren bir Ransomware fidye virüsüdür Eğer dosyalarınızın uzantısı vvv, ccc, xyz, zzz, aaa, ecc, ezz, exx, abc, xxx, ttt, micro, encrypted, micro, locky, mp3, magic, lol, xtbl, crypt olarak değişmisse virüs bulaşmış demektir Virüs şifrelenmiş dosyaların bulunduğu klasörlerin içlerine de_crypt_readmehtml, de_crypt_readmebmp, # DECRYPT MY FILES #html, # DECRYPT MY FILES #txt, DOSYALARI_NASIL_GERI_ALIRIMtxt, DOSYALARI_NASIL_GERI_ALIRIMhtml, SIFRE_COZME_TALIMATItxt, SIFRE_COZME_TALIMATIhtml, _Locky_recover_instructionstxt, +REcovER+cmwnu+txt, _HELP_instructionshtml, _HELP_instructionstxt, _HELP_instructionsbmp, HELP_YOUR_FILESPNG, HELP_RECOVER_instructions+giyhtml, HELP_DECRYPTHTML HELP_DECRYPTPNG, HELP_DECRYPTTXT, HELP_DECRYPTURL gibi ödeme talimat dosyaları oluşturuyor Şifrelenen dosyalarınızın eski haline döndürülebilmesi için sizden bunun karşılığında fidye istediklerini belirtirler ve belli bir zaman verirler Ödeme yapılması durumunda dosyalarınıza kavuşacağınızı, aksi durumda belirtilen zaman dolduktan sonra imha edileceğini belirterek sizi tehdit ederler Kullanıcıların virüs bulaştıktan sonra yapacakları tüm deneme ve girişimlerin bir işe yaramayacağını da belirtmek isteriz İstedikleri parayı ödedikten sonra şifrelenmiş dosyalarınızı geri almama ihtimaliniz yüksektir CryptoLocker, CryptoWall ülkemizde PTT Kargo, PTT Posta, UPS Kargo, TTnet Fatura virüsü, Telekom, Turkcell, Süperonline, THY ve e-Posta fidye virüsü olarak da anılmaktadır 7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 20, CryptoWall 30, CryptoWall 40, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0x, TeslaCrypt 2x, TeslaCrypt 30, TeslaCrypt 40, UmbreCrypt, Unknown, VaultCrypt olmak üzere 52 adet fidye virüsü ve türevi vardır Cryptolockerlar nasıl yayılır? Cryptolockerlar dünyanın farklı bölgelerinden büyük saldırı dalgaları halinde hızlı bir şekilde yayılırlar Bu türden yayılmalarda en çok kullanılan bulaşma yöntemi zararlı eklerle oltalama taktikleri içeren e-postalardır Mesaj kurbanlara göre yerelleştirilmiş, yani kurbanın bulunduğu ülke şartlarına göre özelleştirilmiş olabilir Örneğin: Türkiye’de hedeflenen kurbanlar için mail içeriği, telekom firmalarından gelen yüksek rakamlı faturalarmış gibi görünebiliyor Potansiyel kurbanın bulunduğu yer, kurbanın e-posta adresinin ülke domaininden tespit edilebiliyor ya da domain’i barındıran servis sağlayıcı kullanılarak tespit edilebiliyor Eğer alıcı sosyal güvenlik hilelerinin kurbanı olup eki açarsa ve antivirus tarafından da bloklanmazsa truva atı sistemde çalışır Son zamanlarda bu ek ile gelen truva atı, cryptolocker’ı indirip çalıştıran bir downloader gibi davranıyor Cryptolocker şifrelemek için pek çok dosya tipini arar ve şifreleme işlemi bitince kullanıcıya, dosyalarına geri kavuşmak için para göndermesi gerektiği mesajını içeren bir uyarı gösterir Engelleme ve koruma Şifrelenmiş dosyalar temel olarak onarılabileceğin ötesinde zarar görmüş olarak kabul edilir Cryptolocker’ın sisteminiz ve verileriniz üzerindeki etkisini minimize etmek için aşağıdaki adımlara dikkat etmenizi öneriyoruz ve bahsi geçen adımları virüs sisteminize bulaşmadan uygulamaktır Eğer sistem doğru bir şekilde hazırlanmış ve güvenli hale getirilmişse veri kaybı riski korunmayan bir sisteme göre ciddi bir şekilde daha az olacaktır A Verilerinizi Yedekleyin Fidye yazılımlarını etkisiz kılacak tek ve en iyi çözüm, düzenli olarak güncellenmiş yedeklerdir Cryptolocker’ın maplenmiş ve sürücü harfi atanmış sürücüler üzerindeki, hatta bazen maplenmemiş sürücüler üzerindeki dosyaları şifreleyebildiklerini unutmayın Bu USB bellekler gibi harici sürücüleri, pek çok ağ ve bulut dosya depolamasını da içermektedir Bu nedenle düzenli yedekleme yapınızda, eğer aktif yedek alınmıyorsa düzenli olarak harici sürücüyü veya yedekleme servisinin bağlantısını kesmeye de dikkat etmek gerekir B Gizli Dosya Uzantılarını Gösterin Bir cryptolocker zararlısı sıklıkla pdf exe uzantılı bir dosya ile gelir Bu Windows’un bilinen dosya uzantılarını saklama davranışının aktif olmasına dayanır Tam dosya uzantılarını görmeyi etkinleştirmek şüpheli dosyaları kolayca fark edebilmeyi kolaylaştırır C E-postalar İçindeki exe uzantılarını Filtreleyin Eğer e-posta programınız dosya uzantısına göre filtreleme yeteneğine sahipse , exe scr pif js dosya uzantısına sahip maillleri veya exe ile biten iki dosya uzantısı olan dosyaları (“*exe” dosyalar gibi) filtreleyin D Tanımadığınız Kişilerden Gelen E-posta ve Mesajların Eklerini Açmayın; İçindeki Linklere Tıklamayın Crytolocker’ın en tipik bulaşma şekli, bankalardan, kargo firmalarından, telekom firmalarından gelmiş gibi görünen e-postaların eklerinin çalıştırılması veya içindeki linklere tıklanması ile olmaktadır Kullanıcılar bilmedikleri, tanımadıkları şüpheli e-posta eklerini açmamaları, linklere tıklamamaları konusunda eğitilmelidirler; farkındalıkları oluşturulmalıdır E AppData/LocalAppData Klasörlerinden Dosya Çalıştırmayı Engelleyin Cryptolocker’ın dikkat çekici ve fark edilen bir özelliği de çalıştırılabilir dosyasını AppData veya Local AppData klasöründen çalıştırmasıdır Windows içinden veya saldırı koruma sistemlerinden bunu engelleyecek kurallar girebilirsiniz Eğer normal bir program bu lokasyondan çalışmak isterse ilgili kuralda bir ayrıcalık oluşturulabilir F Uzak Masaüstü Özelliğini Kapatın Cryptolocker fidye virüsü sıklıkla, Windows makinelere uzaktan bağlanmaya yarayan Remote Desktop Protocol (RDP)’u kullanan makineleri hedef alır Siber suçluların RDP ile saldıracakları makineye oturum açıp güvenlik yazılımlarını devre dışı bıraktıkları da bilinen olaylardan biridir Uzak erişim devre dışı bırakmak etkili bir yöntem olacaktır RDP’yi devre dışı bırakmak için Microsoft Knowledge Base yazılarına bakabilirsiniz G Yazılımlarınızın Yamalarını ve Güncellemelerini Yapın Virüs yazarları sıklıkla bilinen açıklara sahip güncel olmayan yazılımları kullanan kullanıcıların sistemlerine sessizce sızarak virüsleri bulaştırabilmektedir Eğer yazılımlarınızı sıklıkla güncelliyorsanız fidye yazılımlarının bulaşmasına karşı daha korumalı olduğunuz söylenebilir Bazı yazılım üreticileri güncellemelerini düzenli olarak (Microsoft ve Adobe her ayın 2 salı günü) yayınlamaktadır, ancak bazen acil durumlarda bu standart zamanlar dışında da güncelleme yayınlanır __________________ bilgisayar servisi