Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız. |
Fidye virüsü olarak adlandırılan CryptoLocker virüsü ile karşı karşıya kaldıysanız, bu virüsü temizlemek için yapmanız gerekenleri anlattığımız rehberimize mutlaka göz atmalısınız.
CryptoLocker virüsüne maruz kaldığınızda, dosyalarınız AES-256 bit ile oldukça güçlü ve çözülmesi imkansız diyebileceğimiz bir şifreleme algoritması ile şifreleniyor. Eğer şanslıysanız; form değiştirmemiş CryptoLocker virüsü ile karşılaştıysanız işiniz biraz daha kolay diyebilirim. İsterseniz çözüm yollarımıza geçelim.
CryptoLocker virüsü artık pek çok antivirüs programı tarafından tespit edilerek temizlenebiliyor. Biz de ilk olarak bilgisayarımızı virüs taramasından geçireceğiz. Bunun için aşağıdaki antivirüs programlarını kullanabilirsiniz.
NNorton Power Eraser Ücretsiz Güvenlik Programı
NDr.Web CureIT
Zararlı Yazılım Tarayıcı
NMalwarebytes Anti-Malware Zararlı Yazılım Temizleme Programı
Norton Power Eraser ile bilgisayarınızı tarattıktan sonra, Dr.Web CureIT! İle bilgisayarınızı taratın. Bunun ardından Malwarebytes ile tekrar tarama gerçekleştirin. Farklı programlarla tarama yaparak, virüsün form değiştirmiş olma ihtimaline karşı önlem almak. İlk adımda Norton Power Eraser virüsü bulup, temizlerse diğer programlarla sadece tarama yapmanız yeterli olacaktır. Bu adımlardan sonra virüsün şifrelediği dosyalardaki şifrelemeyi kaldırmamız gerekiyor.
CryptoLocker virüsü, dosyaları AES-256 bit algoritmasıyla şifreliyor. Bu algoritmayla şifrelenen dosyalar, anahtar dosya olmadan (KEY) açılamıyor. Öncelikle bu KEY’i edinmemiz gerekiyor. Bu bağlantıya tıklayarak Decryptolocker web sitesini açıyoruz ve formu dolduruyoruz. Şifreyi çözmek için gerekli olan KEY dosyası mail adresinize gönderilecektir.
Sitedeki Choose File butonuna tıklıyoruz ve .encrypted uzantılı şifreli dosyayı seçiyoruz. Güvenlik resmini de alana girdikten sonra Decrypt it! Butonuna tıklıyoruz. CryptoLocker File Upload Success mesajını gördükten sonra, mail adresimizi kontrol ediyoruz. İlgili mailde yer alan Private Key, aşağıdakine benzer bir yapıda olacaktır.
Kod:
13.z7Z4FPPna7RAHkWepEPIgl/+hhYVO6V6rX9dSFHBLg7T+Fx2E/soTsx0+T677v8X
14.wQtf0MMCQQCNeQ78LjYQgn5TXJyxxSvofJpMAcsPaa3vLwFyF2f7KQuElzgiXkHJ
15.llUzBad2PEAvmq5JpM4bx7/hlf6hfjbDAkAQM/dicVJLLT5vNOPF69GM/zeVDT0L
16.PrQy1ZcrGssg56nW6Q8Bs4KJnosDkoOxXE9rA5Jp4EenmkeYo7xvEGDXAkEAid2h
17.Zsu50Bj69k3YPb1B7swOqWdN9XUtFVufcwmwQShcmxeqkoN8ZPDlklU+PpC0lC+P
18.DSFX4eak7Td47vPKdQJASaalvGHNgwm6HsnxUgz6jT2dmiPBXwY+TfIU1EzbOpJp
19.PMiN7YMTmPaAWS6Ldm4Reb4XOc/lMPeWolQflCRisQ==
-----END RSA PRIVATE KEY-----
Şimdi de Windows Komut İstemi’ni yönetici olarak çalıştırmamız gerekiyor. Windows 7’de Başlat butonuna tıkladıktan sonra arama bölümüne cmd yazıyoruz ve çıkan sonuca sağ tıklayarak Yönetici olarak çalıştır seçeneğine gidiyoruz. Windows 8 ve üzeri sistemlerde ise Başlat butonuna sağ tıklayarak Komut İstemi (Yönetici) seçeneğine tıklıyoruz. (Windows 8’de başlangıç ekranında cmd şeklinde arama yaparak aynı adımları uygulayabilirsiniz.)
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız. |
Komut İstemi’ni açtıktan sonra şifreli dosyanın bulunduğu klasöre gideceğiz. İlgili kısımları kendinize göre düzenledikten sonra Enter tuşuna basıyoruz ve o klasöre gidiyoruz.
cd C:\Users\Volkan\Desktop\Yeni klasör
Bu komutu uyguladıktan sonra hemen ardından aşağıdaki komutu da uyguluyoruz.
Decryptolocker.exe –key “E-mail’deki KEY” şifrelidosya.xls
(Bir klasördeki tüm şifrelemeden kurtulmak istiyorsanız şifrelidosya.xls bölümüne C:\Klasör Adı\* şeklinde kullanabilirsiniz. Eğer bir sürücüdeki tüm şifreli dosyalardan kurtulmak istiyorsanız, Key bölümünden sonra –r C:\ eklemesini yaparak kullanabilirsiniz.)
Yukarıdaki kodu aynı şekilde yazıyoruz. E-mailinize gönderilen KEY’i çift tırnak içine yazıyoruz. Daha pratik olması için komutu herhangi bir metin editöründe hazırlayarak kopyala-yapıştır yöntemiyle kullanabilirsiniz.
Uzun bir metnin yer aldığı ekranla karşılaşmanız gerekiyor. Burada komut olarak Yes yazıp Enter tuşuna basıyoruz. Successfully decrypted file: şifrelidosya.xls şeklinde bir mesajı görüyorsanız rahat bir nefes alabilirsiniz, dosyanız kurtulmuş demektir.
CryptoLocker şifre çözme yazılımı satın aldığınızda dosyalarınız kesin olarak kurtulmayabilir. Fidyeyi ödediği halde dosyalarını kurtaranlar olduğu gibi kurtaramayanlar bile mevcut. Bu virüs her bilgisayar için özel olarak üretildiği için başka birinin satın aldığı şifre çözme yazılımı sizde çalışmayacaktır. Ayrıca; para karşılığı şifreli dosyaları çözdüğünü iddia eden kişilere asla güvenmeyin. Çünkü; AES-256 bit şifreleme algoritması çok güçlü bir algoritma olduğu için henüz kırılabilmiş değil. Bu yüzden dikkatli olmanızda fayda var.