Fidye Yazılımı (ransomware) bulaşmış oldukları sistemlerde dosyaları şifreleyerek çözmek için sistem sahibinden fidye isteyen zararlı yazılımlardır.

Çalışma mantığı olarak farklı sürümleri bulunmaktadır. Fidye yazılımları dosyaları tek tek şifreleye bileceği gibi disk sürücüsünü de şifreleyebilmektedir. Kurbanın verilerini açıklamakla tehdit eden Fidye Yazılım türleri de vardır. Bu tür saldırılar genellikle kapalı kaynak kod geliştiren şirketlere yönelik yapılmaktadır. Örneğin çok özel bir yazılım geliştiren şirketin kaynak kodlarının yayınlanması ile ilgili şirketler tehdit edilebilmektedir. Diğer bir Fidye Yazılım türü de otomasyon sistemlerinin gelişmiş olduğu şirketlere yönelik yapılan saldırılardır. Önceki senelerde Otomotiv devlerine yapılan saldırı sonucu bir çok üretici, üretimi durdurma kararı almıştı.

Fidye Yazılımlarının ortak yanı kişi yada kurum, şirket olsun kurbanlarından fidye istemesidir. Genel anlamda sistem dosyaları şifrelenir ve Bilgisayarın Disk veya Masaüstüne iletişime geçilmesi için bir Not bırakılır. Ödemenin Kripto para ile yapılması durumunda şifreleri çözmek için bir anahtar verileceği belirtilir.

Fidye Yazılımları Nasıl Bulaşır?

Fidye Yazılımlar genellikle kimden geldiği belli olmayan ve ya iş birliği yaptığınız bir firmayı taklit eden e postalardan bulaşmaktadır. Bunun dışında USB belleğe yerleşip sisteme USB belleğin takılması sonrası da kendini tetikleyen Fidye Yazılımları da vardır. Ayrıca Bilgisayara kurulan bir programın açmış olduğu PORT dan da virüs bulaşabilmektedir.

Fidye Yazılımlarından Nasıl Korunabiliriz?

Güncel bir işletim sistemi kullanın. Kimden geldiği belli olmayan e postaları açmayın. Bilgisayarın güvenlik duvarı ayarlarından “Denetimli Klasör Erişimi” ayarını açın. Bu ayarı nasıl yapacağınıza dair yazımıza BURADAN bakabilirsiniz. Lisanslı bir Antivirüs programı kullanın. USB bellek ve harici veri depolama birimlerini taramadan Bilgisayarınıza takmayın. Verilerinizi yedekleyin. Unutmayın yedeklenen verilere de virüs bulaşabilmektedir. Bu yüzden yedeklerinizi harici bir depolama biriminde barındırın. Sistemde yer alan dosyalarınızı sık sık kontrol edin. .RAR, .ZİP gibi kaynağını bilmediğiniz dosyaları açmayın.

Yine dikkat edilmesi gereken bir diğer konuda Bulut sunucu kullanımı konusu. Dosyalarınızı Bulut sunucuda barındırmanız virüsün bu dosyalara bulaşmayacağı anlamına gelmemektedir. Bulut sunucu bu konuda kesin bir çözüm değildir.

Fdiye Yazılımlarının yapmış olduğu saldırı son beş yılda Amerika ve AB ülkelerinde büyük sorunlar ortaya çıkardı ve ülkeler Micrasoft ve diğer güvenlik yazılımı geliştiren firmalara çözüm bulunması konusunda baskı yapmaya başladı. Günümüzde bilinen bazı Fidye Yazılımlarına karşı Anahtar üretilmiş olsa da her geçen gün yeni bir türü ortaya çıkmakta ve kesin bir çözüm bulunamamaktadır. Burada en büyük sorumluluk kullanıcıların dikkatine kalmaktadır.

Fidye Yazılımlarına karşı geliştirilen ücretsiz şifre çözme araçlarını indirmeniz için aşağıda sunuyoruz. Bulaşan Fidye Yazılımlarının uzantısına göre ilgili anahtarı aşağıdan bulup deneyebilirsiniz.

AES_NI

Dosya adı değişiklikleri:
Fidye yazılımı, şifrelenmiş dosyalara aşağıdaki uzantılardan birini ekler:
.aes_ni
.aes256
.aes_ni_0day

Çözüm Anahtarını buradan indir.

Alcatraz Locker

Dosya adı değişiklikleri:
Şifrelenmiş dosyalar “.Alcatraz” uzantısına sahiptir.

Çözüm Anahtarını buradan indir.

Apocalypse

Dosya adı değişiklikleri:
Apocalypse, dosya adlarının sonuna .encrypted, .FuckYourData, .locked, .Encryptedfile veya .SecureCrypted uzantılarını ekler. (örneğin, Tez.doc = Tez.doc.locked)

Çözüm Anahtarını buradan indir.

Bu anahtarın başarısız olması durumunda bunu deneyin.

BadBlock

Dosya adı değişiklikleri:
BadBlock dosyalarınızı yeniden adlandırmaz.

Çözüm Anahtarını buradan indir.

Bart

Dosya adı değişiklikleri:
Bart, dosya adlarının sonuna .bart.zip uzantısını ekler. (örneğin, Tez.doc = Tez.docx.bart.zip) Bunlar, orijinal dosyaları içeren şifreli ZIP arşivleridir.

Çözüm Anahtarını buradan indir.

BigBobRoss

Dosya adı değişiklikleri:
Fidye yazılımı, aşağıdaki uzantıları ekler:

.obfuscated

foobar.doc -> foobar.doc.obfuscated

document.dat -> document.dat.obfuscated

document.xls -> document.xls.obfuscated

foobar.bmp -> foobar.bmp.obfuscated

Çözüm Anahtarını buradan indir.

BTCWare

Dosya adı değişiklikleri:
Şifrelenmiş dosya adları aşağıdaki gibidir:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Çözüm Anahtarını buradan indir.

Crypt888

Dosya adı değişiklikleri:
Crypt888, dosya adlarının başına Lock. ibaresini ekler. (örneğin Tez.doc = Lock.Tez.doc)

Çözüm Anahtarını buradan indir.

CryptoMix (Çevrim dışı)

Dosya adı değişiklikleri:
Şifrelenen dosyalar aşağıdaki uzantılardan birine sahiptir: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl veya .MOLE.

Çözüm Anahtarını buradan indir.

CrySiS

Dosya adı değişiklikleri:
Şifrelenen dosyalar çeşitli uzantılara sahiptir. Örneğin:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Çözüm Anahtarını buradan indir.

Delta

Dosya adı değişiklikleri:
Bu fidye yazılımı mevcut dosya adına yeni bir dosya uzantısı eklemektedir. Uzantı “[Delta]” sözcüğüyle başlar ve rastgele birkaç harf ile devam eder. Örnek:
foobar.bmp -> foobar.bmp.[Delta]qYZvqWVg

Çözüm Anahtarını buradan indir.

EncrypTile

Dosya adı değişiklikleri:
Fidye yazılımı, dosya adına “encrypTile” kelimesini ekler:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Çözüm Anahtarını buradan indir.

FindZip

Dosya adı değişiklikleri:
Şifrelenmiş dosyalar “.crypt” uzantısına sahiptir.

Çözüm Anahtarını buradan indir.

Fonix

Dosya adı değişiklikleri:
Şifrelenmiş dosyalar şu uzantılardan birine sahiptir:
.FONIX,
.XINOF

Çözüm Anahtarını buradan indir.

GandCrab

Dosya adı değişiklikleri:
Fidye yazılımı olası birden fazla uzantı ekler:
.GDCB,
.CRAB,
.KRAB

Çözüm Anahtarını buradan indir.

Globe

Dosya adı değişiklikleri:
Globe, dosya adına şu uzantılardan birini ekler: “.ACRYPT”, “.GSupport[0-9]”, “.blackblock”, “.dll555”, “.duhust”, “.exploit”, “.frozen”, “.globe”, “.gsupport”, “.kyra”, “.purged”, “.raid[0-9]”, “.siri-down@india.com”, “.xtbl”, “.zendrz”, “.zendr[0-9]” veya “.hnyear”. Ayrıca bazı sürümleri dosya adını da şifreler.

Çözüm Anahtarını buradan indir.

HiddenTear

Dosya adı değişiklikleri:
Şifreli dosyalar aşağıdaki uzantılardan birine sahiptir (ancak uzantılar bunlarla sınırlı değildir): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Çözüm Anahtarını buradan indir.

Jigsaw

Dosya adı değişiklikleri:
Şifreli dosyalar aşağıdaki uzantılardan birine sahiptir: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org veya .gefickt.

Çözüm Anahtarını buradan indir.

LambdaLocker

Dosya adı değişiklikleri:
Fidye yazılımı, dosya adına “.MyChemicalRomance4EVER” kelimesini ekler:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Çözüm Anahtarını buradan indir.

Legion

Dosya adı değişiklikleri:
Legion, dosya adlarının sonuna ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion veya .$centurion_legion@aol.com$.cbf uzantısı ekler. (örneğin Tez.doc = Tez.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Çözüm Anahtarını buradan indir.

NoobCrypt

Dosya adı değişiklikleri:
NoobCrypt dosya adını değiştirmez. Ancak şifrelenen dosyalar ilgili uygulamalarıyla da açılamaz.

Çözüm Anahtarını buradan indir.

Stampado

Dosya adı değişiklikleri:
Stampado şifrelenmiş dosyalara .locked uzantısını ekler. Ayrıca bazı türevleri dosya adını şifrelemektedir, bu nedenle şifreli dosya adı document.docx.locked veya 85451F3CCCE348256B549378804965CD8564065FC3F8.locked olarak görünebilir.

Çözüm Anahtarını buradan indir.

SZFLocker

Dosya adı değişiklikleri:
SZFLocker, dosya adlarının sonuna .szf uzantısını ekler. (örneğin, Tez.doc = Tez.doc.szf)

Çözüm Anahtarını buradan indir.

TeslaCrypt

Dosya adı değişiklikleri:
TeslaCrypt yazılımının en son sürümü dosyalarınızı yeniden adlandırmaz.

Çözüm Anahtarını buradan indir.

Troldesh / Shade

Dosya adı değişiklikleri:
Şifrelenmiş dosyalar şu uzantılardan birine sahiptir:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Çözüm Anahtarını buradan indir.

XData

Dosya adı değişiklikleri:
Fidye yazılımı, şifrelenmiş dosyalara “.~xdata~” uzantısını ekler.

Çözüm Anahtarını buradan indir.

Domn

Dosya adı değişiklikleri:

Şifrelenmiş dosyaların uzantısı .domn şeklinde dir.

Yeni türünde dosya sonuna .shariz, .gero, .hese, .geno, .seto, .peta, .moka, .kvag, .domn uzantısını ekliyor.

Şu an için bir anahtar geliştirilmemiş fakat bazı kaynaklarda büyük dosyaları virüs tam şifreleyemediği için dosyanın sonundaki uzantı silindiğinde dosyanın açıldığı belirtilmiş. Bu yöntem tarafımızca denenmemiştir.

MIG3

Şu an için bir anahtar geliştirilmemiştir.

Fidye Yazılımlarına karşı virüsün uzantısına göre yukarıda sunulan anahtarları deneyebilirsiniz. Yorumlardan bize ulaşarak karşılaştığınız sorunları bize iletebilirsiniz.