Fidye Yazılımı (ransomware) bulaşmış oldukları sistemlerde dosyaları şifreleyerek çözmek için sistem sahibinden fidye isteyen zararlı yazılımlardır.
Çalışma mantığı olarak farklı sürümleri bulunmaktadır. Fidye yazılımları dosyaları tek tek şifreleye bileceği gibi disk sürücüsünü de şifreleyebilmektedir. Kurbanın verilerini açıklamakla tehdit eden Fidye Yazılım türleri de vardır. Bu tür saldırılar genellikle kapalı kaynak kod geliştiren şirketlere yönelik yapılmaktadır. Örneğin çok özel bir yazılım geliştiren şirketin kaynak kodlarının yayınlanması ile ilgili şirketler tehdit edilebilmektedir. Diğer bir Fidye Yazılım türü de otomasyon sistemlerinin gelişmiş olduğu şirketlere yönelik yapılan saldırılardır. Önceki senelerde Otomotiv devlerine yapılan saldırı sonucu bir çok üretici, üretimi durdurma kararı almıştı.
Fidye Yazılımlarının ortak yanı kişi yada kurum, şirket olsun kurbanlarından fidye istemesidir. Genel anlamda sistem dosyaları şifrelenir ve Bilgisayarın Disk veya Masaüstüne iletişime geçilmesi için bir Not bırakılır. Ödemenin Kripto para ile yapılması durumunda şifreleri çözmek için bir anahtar verileceği belirtilir.
Fidye Yazılımları Nasıl Bulaşır?
Fidye Yazılımlar genellikle kimden geldiği belli olmayan ve ya iş birliği yaptığınız bir firmayı taklit eden e postalardan bulaşmaktadır. Bunun dışında USB belleğe yerleşip sisteme USB belleğin takılması sonrası da kendini tetikleyen Fidye Yazılımları da vardır. Ayrıca Bilgisayara kurulan bir programın açmış olduğu PORT dan da virüs bulaşabilmektedir.
Fidye Yazılımlarından Nasıl Korunabiliriz?
Güncel bir işletim sistemi kullanın. Kimden geldiği belli olmayan e postaları açmayın. Bilgisayarın güvenlik duvarı ayarlarından “Denetimli Klasör Erişimi” ayarını açın. Bu ayarı nasıl yapacağınıza dair yazımıza BURADAN bakabilirsiniz. Lisanslı bir Antivirüs programı kullanın. USB bellek ve harici veri depolama birimlerini taramadan Bilgisayarınıza takmayın. Verilerinizi yedekleyin. Unutmayın yedeklenen verilere de virüs bulaşabilmektedir. Bu yüzden yedeklerinizi harici bir depolama biriminde barındırın. Sistemde yer alan dosyalarınızı sık sık kontrol edin. .RAR, .ZİP gibi kaynağını bilmediğiniz dosyaları açmayın.
Yine dikkat edilmesi gereken bir diğer konuda Bulut sunucu kullanımı konusu. Dosyalarınızı Bulut sunucuda barındırmanız virüsün bu dosyalara bulaşmayacağı anlamına gelmemektedir. Bulut sunucu bu konuda kesin bir çözüm değildir.
Fdiye Yazılımlarının yapmış olduğu saldırı son beş yılda Amerika ve AB ülkelerinde büyük sorunlar ortaya çıkardı ve ülkeler Micrasoft ve diğer güvenlik yazılımı geliştiren firmalara çözüm bulunması konusunda baskı yapmaya başladı. Günümüzde bilinen bazı Fidye Yazılımlarına karşı Anahtar üretilmiş olsa da her geçen gün yeni bir türü ortaya çıkmakta ve kesin bir çözüm bulunamamaktadır. Burada en büyük sorumluluk kullanıcıların dikkatine kalmaktadır.
Fidye Yazılımlarına karşı geliştirilen ücretsiz şifre çözme araçlarını indirmeniz için aşağıda sunuyoruz. Bulaşan Fidye Yazılımlarının uzantısına göre ilgili anahtarı aşağıdan bulup deneyebilirsiniz.
AES_NI
Dosya adı değişiklikleri:
Fidye yazılımı, şifrelenmiş dosyalara aşağıdaki uzantılardan birini ekler:
.aes_ni
.aes256
.aes_ni_0day
Çözüm Anahtarını buradan indir.
Alcatraz Locker
Dosya adı değişiklikleri:
Şifrelenmiş dosyalar “.Alcatraz” uzantısına sahiptir.
Çözüm Anahtarını buradan indir.
Apocalypse
Dosya adı değişiklikleri:
Apocalypse, dosya adlarının sonuna .encrypted, .FuckYourData, .locked, .Encryptedfile veya .SecureCrypted uzantılarını ekler. (örneğin, Tez.doc = Tez.doc.locked)
Çözüm Anahtarını buradan indir.
Bu anahtarın başarısız olması durumunda bunu deneyin.
BadBlock
Dosya adı değişiklikleri:
BadBlock dosyalarınızı yeniden adlandırmaz.
Çözüm Anahtarını buradan indir.
Bart
Dosya adı değişiklikleri:
Bart, dosya adlarının sonuna .bart.zip uzantısını ekler. (örneğin, Tez.doc = Tez.docx.bart.zip) Bunlar, orijinal dosyaları içeren şifreli ZIP arşivleridir.
Çözüm Anahtarını buradan indir.
BigBobRoss
Dosya adı değişiklikleri:
Fidye yazılımı, aşağıdaki uzantıları ekler:
.obfuscated
foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated
Çözüm Anahtarını buradan indir.
BTCWare
Dosya adı değişiklikleri:
Şifrelenmiş dosya adları aşağıdaki gibidir:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon
Çözüm Anahtarını buradan indir.
Crypt888
Dosya adı değişiklikleri:
Crypt888, dosya adlarının başına Lock. ibaresini ekler. (örneğin Tez.doc = Lock.Tez.doc)
Çözüm Anahtarını buradan indir.
CryptoMix (Çevrim dışı)
Dosya adı değişiklikleri:
Şifrelenen dosyalar aşağıdaki uzantılardan birine sahiptir: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl veya .MOLE.
Çözüm Anahtarını buradan indir.
CrySiS
Dosya adı değişiklikleri:
Şifrelenen dosyalar çeşitli uzantılara sahiptir. Örneğin:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet
Çözüm Anahtarını buradan indir.
Delta
Dosya adı değişiklikleri:
Bu fidye yazılımı mevcut dosya adına yeni bir dosya uzantısı eklemektedir. Uzantı “[Delta]” sözcüğüyle başlar ve rastgele birkaç harf ile devam eder. Örnek:
foobar.bmp -> foobar.bmp.[Delta]qYZvqWVg
Çözüm Anahtarını buradan indir.
EncrypTile
Dosya adı değişiklikleri:
Fidye yazılımı, dosya adına “encrypTile” kelimesini ekler:
foobar.doc -> foobar.docEncrypTile.doc
foobar3 -> foobar3EncrypTile
Çözüm Anahtarını buradan indir.
FindZip
Dosya adı değişiklikleri:
Şifrelenmiş dosyalar “.crypt” uzantısına sahiptir.
Çözüm Anahtarını buradan indir.
Fonix
Dosya adı değişiklikleri:
Şifrelenmiş dosyalar şu uzantılardan birine sahiptir:
.FONIX,
.XINOF
Çözüm Anahtarını buradan indir.
GandCrab
Dosya adı değişiklikleri:
Fidye yazılımı olası birden fazla uzantı ekler:
.GDCB,
.CRAB,
.KRAB
Çözüm Anahtarını buradan indir.
Globe
Dosya adı değişiklikleri:
Globe, dosya adına şu uzantılardan birini ekler: “.ACRYPT”, “.GSupport[0-9]”, “.blackblock”, “.dll555”, “.duhust”, “.exploit”, “.frozen”, “.globe”, “.gsupport”, “.kyra”, “.purged”, “.raid[0-9]”, “.siri-down@india.com”, “.xtbl”, “.zendrz”, “.zendr[0-9]” veya “.hnyear”. Ayrıca bazı sürümleri dosya adını da şifreler.
Çözüm Anahtarını buradan indir.
HiddenTear
Dosya adı değişiklikleri:
Şifreli dosyalar aşağıdaki uzantılardan birine sahiptir (ancak uzantılar bunlarla sınırlı değildir): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.
Çözüm Anahtarını buradan indir.
Jigsaw
Dosya adı değişiklikleri:
Şifreli dosyalar aşağıdaki uzantılardan birine sahiptir: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org veya .gefickt.
Çözüm Anahtarını buradan indir.
LambdaLocker
Dosya adı değişiklikleri:
Fidye yazılımı, dosya adına “.MyChemicalRomance4EVER” kelimesini ekler:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER
Çözüm Anahtarını buradan indir.
Legion
Dosya adı değişiklikleri:
Legion, dosya adlarının sonuna ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion veya .$centurion_legion@aol.com$.cbf uzantısı ekler. (örneğin Tez.doc = Tez.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)
Çözüm Anahtarını buradan indir.
NoobCrypt
Dosya adı değişiklikleri:
NoobCrypt dosya adını değiştirmez. Ancak şifrelenen dosyalar ilgili uygulamalarıyla da açılamaz.
Çözüm Anahtarını buradan indir.
Stampado
Dosya adı değişiklikleri:
Stampado şifrelenmiş dosyalara .locked uzantısını ekler. Ayrıca bazı türevleri dosya adını şifrelemektedir, bu nedenle şifreli dosya adı document.docx.locked veya 85451F3CCCE348256B549378804965CD8564065FC3F8.locked olarak görünebilir.
Çözüm Anahtarını buradan indir.
SZFLocker
Dosya adı değişiklikleri:
SZFLocker, dosya adlarının sonuna .szf uzantısını ekler. (örneğin, Tez.doc = Tez.doc.szf)
Çözüm Anahtarını buradan indir.
TeslaCrypt
Dosya adı değişiklikleri:
TeslaCrypt yazılımının en son sürümü dosyalarınızı yeniden adlandırmaz.
Çözüm Anahtarını buradan indir.
Troldesh / Shade
Dosya adı değişiklikleri:
Şifrelenmiş dosyalar şu uzantılardan birine sahiptir:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california
Çözüm Anahtarını buradan indir.
XData
Dosya adı değişiklikleri:
Fidye yazılımı, şifrelenmiş dosyalara “.~xdata~” uzantısını ekler.
Çözüm Anahtarını buradan indir.
Domn
Dosya adı değişiklikleri:
Şifrelenmiş dosyaların uzantısı .domn şeklinde dir.
Yeni türünde dosya sonuna .shariz, .gero, .hese, .geno, .seto, .peta, .moka, .kvag, .domn uzantısını ekliyor.
Şu an için bir anahtar geliştirilmemiş fakat bazı kaynaklarda büyük dosyaları virüs tam şifreleyemediği için dosyanın sonundaki uzantı silindiğinde dosyanın açıldığı belirtilmiş. Bu yöntem tarafımızca denenmemiştir.
MIG3
Şu an için bir anahtar geliştirilmemiştir.
Fidye Yazılımlarına karşı virüsün uzantısına göre yukarıda sunulan anahtarları deneyebilirsiniz. Yorumlardan bize ulaşarak karşılaştığınız sorunları bize iletebilirsiniz.
iyi beyendim
diğer fidye virüslerinden domn uzantılı virüs için çözüm nedir
*
Merhaba maalesef bir anahtar geliştirilmemiş fakat bazı kaynakların belirttiğine göre büyük boyutlu bazı dosyaları virüs tam şifreleyemediği için dosyanın sonunda ki .domn uzantısı silinince dosyanın kurtarılabildiği belirtilmiş.