CryptoLocker v3 (TeslaCrypt / Cryptowall / Fidye )


CryptoLocker v3 (TeslaCrypt / Cryptowall / Fidye) virüsü her geçen gün gelişmekte ve daha fazla kişi ve kurumu etkilemektedir. Virüsün yeni sürümü oyunlardan, online film/dizi izleme platformlarından bulaşma yeteneğine sahip virüs dosyalarinizin uzantısını .ccc , lol , gibi uzantılarla değiştirip şifreliyor. Bu zararlıya karşı basit korunma yolları ve çözüm önerileri aşağıdadaki gibidir.

Bu zararlı v1 ve v2’den çok daha yetenekli, şifreleme işlemine  “vssadmin delete shadows /all” parametresiyle başladığı için önceki açıkları kapatmak için ve yedeklerinizi silmek için uğraşmakta. Bu versiyon genelde mail, video ve oyunlarından bulaştığı için bireysel kullanıcıların etkilenme potansiyeli daha fazladır.
 
Bilgisayarınızdan ;
 
%AppData%\<random>.exe
%AppData%\key.dat
%AppData%\log.html
%Desktop%\CryptoLocker.lnk
%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.bmp
%Desktop%\HELP_TO_DECRYPT_YOUR_FILES.txt
*<random> değişkenlik gösterir.
ve;
 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13   %AppData%\<random>.exe
anahtarını silerek temizleyebilirsiniz ama şifrelenmiş dosyalarınız kullanıma açılamayacaktır.
Virüsün bu sürümü için,
Yukarıda izah ettiğimiz gibi yetkiniz var ise shadow copy yedekleri de silindiği için şu aşamada bundan başka geçerli bir çözüm yok.
 
Fidye konusunda ise yeni versiyonda birkaç değişiklik mevcut. Artık paypal ödemesi de kabul ediliyor. 
 
Önleme yöntemleri yine daha önceki versiyonlar ile aynı sayılır :
 
+Cryptolocker Prevention Kiti; GPO ( Group Policy ) şablonlarını bilgisayarınıza indirip kullanmanızı sağlar. ( Kurulum uzmanlık gerektirebilir, kurulum açıklaması indireceğiniz klasörün içindedir )
+Daha önce virüs için çeşitli çözümler geliştirmiş biri tarafından yazılımış CryptoMonitor Uygulaması ile korunabilirsiniz
+Cryptolocker Prevention uygulaması sizi büyük oranda koruyacaktır. 
 
CryptoPrevent
 
+Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir. Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği bulunmamaktadır. (Kaynak : difose)
+ Mutlaka yedeğiniz olsun, hatta yedeğinizin bilgisayar ortamından bağımsız bir yerde bir yedeğini daha tutun.
+ Mail hizmeti aldığınız yerleri bu virüs ve alınması gereken önlemler hakkında uyarın.
+ Bilgisayarlarınızda dosya uzantılarını gösterin ve sonu .exe , .bat gibi uzantılarla biten fatura veya döküman gibi görünen hiçbir dosyayı açmayın.
Dosya uzantılarını nasıl gösterebilirsiniz (win7) ?  
Xp’de bir klasörde iken klasör seçenekleri ve “Bilinen dosya türleri için uzantıları gizle” kutucuğunun çentiğini kaldırın.
+ Lütfen bilgisayarınıza format attırmayın ve ayrıca her ihtimale karşı lütfen HELP_DECRYPT dosyalarınızı da silmeyin. (Ta ki, dosyalarınızın üstüne bir bardak su içene dek)
+ Hacker’lar ile pazarlık yaptığını iddia eden, ve bunu bir çok medya kanalında reklam eden kişilere kesinlikle itibar etmeyiniz. Zira karşınızda bir hacker değil, bir otomasyon var. Eğer siz bitcoin’den sizin kodunuza denk gelen kod ile karşı tarafa coin gönderirseniz, otomasyon saniyeler içinde decrypt yazılımını hazırlayıp kullanmanız üzere indirmeye sunuyor. Fakat bu işlemleri kesinlikle eksiksiz ve hatasız yapmalısınız. Zira eğer bir yanlışlık yaparsanız gönderdiğiniz paranın çöpe gitme ihtimali yüksek.

 

Geri Dön