Ana sayfa » Güvenlik » CryptoLocker türevi PTT kargo virüsü

CryptoLocker türevi PTT kargo virüsü

PTT kargo takip, TTnetfatura , Turkcell, ZiraatBankası, Akbank gibi firmalardan gönderildi gibi gözüken bu sahte mail ile zararlı yazılım içeren virüs Türkiye gündemine oturmaya hazırlanıyor. Yazılımın diğer bir adıda ‘dosyaları şifreleyen virüs‘ olarak halk arasında biliniyor.

Aylar önce kullanılan en büyük pishing yöntemlerinden biri olan TTnet fatura özeti gibi görünen ancak mail ekinde copy.com zip dosyasını indirerek tüm önemli klasör ve dosyaların özel bir teknikle şifreleme yapmasına sebep olan zararlı yazılımın stil değiştirerek karşımıza geldiğini görmekteyiz.

PTT kargo virüsü nedir ?

2014 sonu ve 2015 başlarında tüm Türkiyeyi’yi sarsan TTNet E-fatura zararlısı olan Cryptolocker virüsü , bulaştığı bilgisayarda bulunan tüm dosyaları şifreliyor. Sonrasında ise kullanıcılardan şifreyi çözmek için para talep ediyor. Bu yöntem ile yazılımı yazan kişiler yüzbinlerce dolar parayı cebe indirdiler.

Teknotrik olarak bu zararlı yazılımı nasıl silebilir ve dosyaları nasıl kurtarabilirsiniz bunun üzerinde bir çalışma başlattık. Lütfen sorularınızı ve problemlerinizi yorum olarak bizlere iletin.

[[[ Mail başlığı :

Kargonuz adresinize teslim edilememiştir. ref:7464634673

Mailde gönderen olarak : 

bru@ptt-posta.info adresi gözükmektedir.

Mail içeriği :

EA273182901BE takip numaralı kargonuz xxxx adresinize teslim edilememiştir. Lütfen adres bilgilerinizi güncelleyerek kargonuzu teslim alınız.

Teslimat adresi değiştirmek için PTT Adres Değişikliği Formu indirip dikkatlice ve eksiksiz olarak doldurmanız gerekmektedir.

Adres Değişikliği Formu İndir

Dikkat

Kargonuz 15 iş günü içinde almanız gerekmektedir. Fazladan her gün için PTT sizden 25TL/günlük tazminat talep etme hakkına sahip olacaktır.

Gizlilik Politikası

PTT olarak ilgili kuralların tarafımızca tümü ile eksiksiz bir şekilde yerine getirileceğini teyit etmekteyiz. Böylelikle, aşağıda belirtilen kişisel bilgi toplama ilkelerine bağlı olarak, tüm gayretimizi tarafımızca toplanmış olan her türlü bilgiyi ekibimizce alınan sıkı güvenlik ve gizlilik önlemleri ile saklama hususunda özen göstermekteyiz. Kişisel bilgi toplama ve kullanımını en aza indirgeyerek, toplanan kişisel bilgileri sadece işlemlerin gerçekleşebilmesi için gerekli olan süre kadar tutmakta, öte yandan size en kaliteli hizmeti ve birbirinden güzel fırsatları sunmaktayız. Web sitemiz, gizlilik konusunda yeterince duyarlı olduğunu gösterebilen ve standartlarımıza uygun olan sitelere bağlantılar içermektedir. Ancak ilgili sitelerin içeriği ya da gizlilik uygulamalarından PTT sorumlu tutulamaz.

Bu e-posta xxxx için gönderilmiştir. Eğer artık ilgilenmiyorsanız haber grubu üyeliğinizi iptal edebilirsiniz

ptt-kargo-virusu

Maili ve eklerini kesinlikle açmamanız spam olarak bildirmeniz önemle rica olunur.]]]

Fidyeci şifreleme virüsü nasıl çalışıyor ?

  1. Dikkat çekici bir mail gönderimi ile sizi hedefliyorlar. Örneğin yüksek tutarlı bir ttnet fatura veya Ptt’den adınıza gelen posta durumuyla alakalı gibi
  2. Mail adresinize gelen linke tıkladığınızda güvenlik kodu girmeniz gereken bir sayfaya yönlendiriliyorsunuz
  3. Örnek olaak “EFATURA_291341.PDF.RAR” bir dosyayı sizden indirmenizi istiyorlar.
  4. Sıkıştırılmış dosyayı açıyorsunuz.  Sizin PDF sandığınız dosya aslında bir Uygulama exejoiner ile birleştirilmiş bir EXE dosyası.
  5. Artık fidye virüsü SMS ile cep telefonlarına da bulaştırılıyor. Cep telefonu mesajı ekindeki linke tıklayanların android işletim sistemine de bu zararlı yazılım bulaşarak fotoğraf ve diğer dosyaları şifreliyor.

Tüm bu işlemler sonrasında maalesef bilgisayarınızda bulunan tüm dosyalar özel bir şifreleme yöntemi ile encrypt ediliyor yani şifreleniyor.

ptt-kargo-takibi-virusu

Özellikle muhasebe belgeleri, excel dokümanları, pdf dosyaları, resimler ve ofis dokümanlarını hedef alan bu virüs sizden para koparmayı amaçlıyor. Ve nihai olarak her dosyanızın uzanatısı şu şekilde görünüyor ; ornekbelge.xlsx.encrypted

Utanmadan masaüstünüze birde virüsten nasıl kurtulacağınızı ve dosyaların şifresini nasıl çözeceğinizi anlatan bir mesaj bırakıyorlar. Dosyalar RSA 2048 ve AES 128 – CBC mod ile public RSA şifreleme modeli ile yapıldığından maalesef kırılma olasılığı çok zor bulunuyor. Kesinlikle amcam yapar , bizim teknik işlemci yapar gibi zanlara kapılmayın, daha fazla zarar görürsünüz.

Sponsorlu Bağlantılar

Unutmadan söyleyelim Windows geri yükleme yöntemi bu yazılım için kesinlikle bir çözüm sunmuyor. Tübitak tarafından hazırlamış olan aşağıda tanıttığımız yazılım ile şifreler çözülebiliyor ancak bu programa da herkesin erişimi bulunmamaktadır.

Şifreleme virüsünden nasıl korunurum ?

  • TURKCELL, TTNET, TURKTELEKOM, PTT KARGO TAKİBİ, PTT bilgilendirme ya da fatura maillerini çok dikkatli bir şekilde açın. Güvenmediğiniz mailleri asla açmayın ve ekleri indirmeyin.
  • Hiç bir kurumsal firma faturaları .zip ya da .rar olarak göndermez. ( pdf, doc olarak gönderirler )
  • Şüpheli mail eklerini indirmeyin, çalıştırmayın.
  • Kaliteli ve lisanslı bir antivirüs programı kullanın.
  • Önemle dosyaların yedeklerini harici bir diske alın.
  • avea-fatura.org, bgzirpzprbbnh.mjlqfkwzc.tv, fatura.org, kargo.org, mail15.com, mta2.ttnet-Online.org, ptt-kargo.org, ptt-post.biz, ptt-posta.com, ptt-posta.info, ptt-posta.net, ptt-posta.org, ptt-posta.biz, pttkargo.org, qopnn.kgjigfjvvdsh.org, ttnet-online.org, turkcell-fatura.org, turktelekom24.org, turktelekomonline.info, turktelekomonline.net, turktelekomonline.org, Turktelekomservis.com, vodafone-fatura.org, yfdwpj.lhdhmwekrkr.info sitelerinden gelen mailleri engelleyin.

Şifrelenmiş dosyaları nasıl çözülür ?

Fidye virüsü diye de tabir edilen  CryptoLocker türevi virüs bulaşan dosyaların şifresini tek tek çözmek  ve dosyaları hasar görmeden tekrar açıp kullanabilmek için :

  • decryptcryptolocker sitesi olan FireEye ve Fox IT ‘i açın.
  • Mail adresini ve Captcha kodunu girin.
  • Email adresinizi yazın.
  • Choose File tıklayın .encrypted uzantılı şifreli virüs bulaşmış dosyayı seçin.
  • Decrypt it! butonuna tıklayın.
  • Şifreyi çözmek için RSA Private Key mail adresinize DeCryptoLocker konu başlığı altında gönderilecektir.
  • Begin ile başlayıp End ile biten rsa kodu tüm dosyaları çözmek için gerekli ANAHTARDIR.
  • Son olarak https://www.decryptcryptolocker.com/Decryptolocker.exe adresinden programı indirerek bilgisayar taraması yaptırarak şifreli dosyaların yolunu göstererek aynı işlemi uygulayabilirsiniz.

FireEye-decryptcryptolocker

 

Diğer kaynaklar :

Siber güvenlik enstitüsü web sitesi zararlı yazılım yükleme ve analiz sitesinden dosyaları online olarak analiz ettirebilirsiniz. https://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle

Zemana FatmalDecrpytor ile sisteminizi taratın. http://www.zemana.com/Download/Research/FatmalDecryptor.exe

TÜBİTAK tarafından tüm işletim sistemlerinde çalışan decryptor tool indirebilirsiniz. Bilgisayarında Shadow Copy Özelliği Açık Olanlar ve Virüsün Silemediği Copyleri kullanarak aşağıdaki anlatıldığı gibi dosyalarınızı geri kurtarabilirsiniz:  https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kriptokilit-icin-kriptoanahtar.html

Bilgisayarında Shadow Copy özelliği aktif kullanıcılar  Virüsün Silemediği ve veritabanında kayıtlı olan klasörleri kullanarak dosyalarınızı geri kurtarabilirsiniz. Bunun için kullanmanız gereken programın ismi Shadow Explorer

Emsisoft decrypt yazılımını denemek isterseniz http://tmp.emsisoft.com/fw/decrypt_cryptodefense.zip

CryptoLocker virüsünü nasıl temizlerim ?

  1. Rkill programı ile hali hazırda çalışan malware türü uygulamaları otomatik sonlandırın
  2. Sisteminizi Nod32, Kaspersky, MalwareByte, Dr.Web CureIt, Norton Power Eraser ile ayrı ayrı derinlemesini analiz edin
  3. Regclean pro ile tarama yapın
  4. İşletim sisteminizi güncelleyin.

Not : Bu virüs daha önce bilinen NETSEC fatura virüsü ile aynı kökenlidir. Mail ‘in ptt-posta.biz gibi bir adresten gelmesi bile bilinçli kullanıcıların maili açmaması için yeterlidir. Bilmeyen insanlar için ise lütfen çevremizi uyaralım. Gerçekten çok zararlı bir yazılım ile karşı karşıya kalabilirler.

Nisan 2016 Günceleme

  • BONUS: En önemli bir dosyanızı kurtarmak için şu siteye virüslü dosyanızı yükleyin. https://id-ransomware.malwarehunterteam.com/ size şifreyi çözerek dosyayı indirmenizi sağlayacaktır.
  • https://t.co/wYtQEjS72H sitesindeki dosyayı indirerek Jigsaw Randsomware sürümü virüsünden etklienen dosyaları temizleyebilirsiniz.
  • Virüsün Nemucod varyasyonu için şifrelenen dosyaları şu program ile çözebilirsiniz http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/

İsterseniz bunları okuyun !

Cep telefonu yer tespiti

Amerikan filmlerinde çok fazla telefona bağlanıp nerede olduğunu bulmak ve sonra da suçluyu yakalama sahneleri …

35 yorumlar

  1. merhaba, enc ve encrypted dosyalarınız için yardımcı olabilirim, mcer*****

  2. herkese merhaba, dosyalarınızın çözümü olup olmadığını kontrol edebilmem için 1 adet şifreli dosyanızı email adresime gönderebilirsiniz (mcerdem82@yahoo.com)

  3. Selvi hanım, bana ulaşabilirsiniz (mcerdem82@yahoo.com)

  4. Bilindiği gibi son zamanlarda bilgisayarınızdaki tüm önemli dosyaları (pdf,doc,xls,mp3,mp4,mpeg,avi, vb) “.vvv, .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .xxx, .ttt, .micro, mp3 ve son versiyonda uzantısı değişmeden) şifreleyen ve çözülmesi için virüs yazılımcıları tarafından para talep edilen TESLACRYPT virüsünün son versiyonu 2016 yılı Ocak ayından beri hızla yayılmaktadır, bu virüsten kendisi ya da bir tanıdığı etkilenen kişilere yardımcı olabilirim. Ayrıca .encrypted uzantlı dosyalar için de ücretli çözüm mevcuttur, ilgilenenler mesaj gönderebilir.

  5. eğer yukarıda çözdüğünü iddia eden herkes samimi ise , ki 2048 bit şifrelemeden bahsediyoruz.
    muhtemelen tüm banka hesaplarımız, sosyal medya hesaplarımız tehlike altında demektir :)
    Neyse ki, korkulacak bir durum yok, çünkü çözdüğünü iddia eden birçok kişi fidyecilerden bir miktar fazla ödeme talep ederek buradan komisyon alma peşine düşüyor. Türk işi ticaret :)
    Şu linkte arkadaş çözümlerle ilgili bilgi veriyor, bir göz atabilirsiniz. : http://www.mehmetyayla.com/cryptolocker-v2/

  6. kardeş benim adss isomen at gml-com dosya gonder düzeltelim

  7. Keşke nasıl olacağını da yazsaydınız

  8. çözüm çok kolay benim bilgisayarda oldu ben şifreli dosyaların şifrenin açıgını bulup düzelttim bu tip dosyalarınız bedeva düzeltilir

  9. Selamlar Arkadaslar ;
    Cryptolocker ile Şifrelenmis dosyalarinizin şifresini çözüyoruz.12 yildir Toshiba ve Lenova yetkili servisiyiz.Bizimle iletisime geçiniz.

  10. office dökümanlarıma virüs bulaştı yardımcı olurum diyen arkadaşlar size nasıl ulaşa bilirim.

  11. Bilindiği gibi son zamanlarda bilgisayarınızdaki tüm önemli dosyaları (pdf,doc,xls,mp3,mp4,mpeg,avi, vb) “.vvv, .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc vb uzantılara dönüştüren ve çözülmesi için virüs yazılımcıları tarafından para talep edilen TESLACRYPT virüsünün son versiyonu Aralık ayı başından beri hızla yayılmaktadır, bu virüsten kendisi ya da bir tanıdığı etkilenen kişilere yardımcı olabilirim, bana aşağıdaki şekilde ulaşabilirsiniz.
    M.Cihan

  12. Yardımcı olabilirim diyen arkadaşlar.. Yardımlarınızı bekliyorum

  13. güven yazılım

    Arkadaşlar virüsü temizleyip dosyaları güvenli bir şekilde açmanın yolunu buldum yardımcı olabilirim bana ulaşabilirsiniz.

  14. CryptoWall 3.0

    Merhaba arkadaşlar son zamanların tanınan virüsü crypto locker çözülemiyordu ve ya çok yüksek meblalar ödenip dosyalarımızı alıyorduk yada maaleseki dosyalarımızdan vaz geçiyorduk. .CCC .VVV .ABC .AAA .ACX .ECC .EZZ .EXX .ZZZ .r gibi uzantıların tamamını çözebiliyoruz bunun için bize sadece 1 adet örnek dosya göndermeniz yeterlidir.

    İşlemler 2 – 12 saat arası sürmektedir.

    İletişim: Pm veya mail: sercan@webcaddesi.com – 0505 311 9797

  15. cryptolocker virüsü bulaştı tüm dosyalar şifrelendi ne yapmalıyım bilgisi olan varsa paylaşırsa sevinirim.

  16. Cryptolocker virüsü temizleme

    Öncelikle geçmiş olsun. Cryptolocker virüsünü temizlemek için yardımcı oluyoruz :

    TTNET, TURKCELL, PTT veya KARGO e-posta tıkladığınızda bilgisayara virüs bulaştı ve ENCRYPTED dosyalarınıza erişemiyorsanız bizi arayın

    Cryptolocker virüsü temizleme

  17. Belirtilen bubölüm (decryptcryptolocker sitesi olan FireEye ve Fox IT ‘i açın.
    Mail adresini ve Captcha kodunu girin.
    Email adresinizi yazın.) resimdeki gibi bir türlü gelmiyor, daha ayrıntılı anlatabilirmisiniz

  18. Resimlerim gitti umarım bu işi yapanlar iki dünyada içlerine ateş virüsü enjekte olur dıştan yanmak yetmez..

  19. Bu işi çözebilecek bilgisayar kurtları nerede vampir avcıları lazım :)

  20. Hiç bir sorun olmayacaktır. Rahat olabilirsiniz.

  21. iPhone dan açtım maili ekleri açmadım. Bir problem çıkmaz değil mi hesaplarında log in olurken?

  22. Sorunu çözebilen var mı?

  23. Cevabınızı bekliyoruz.

  24. Sistemi temizlemeden yeni dosyaları atmayın. Bir süre sonra tekrar dosyaları şifreleyecektir.

  25. Merhaba 09.03.2015 tarihinde firma pc sine bulaştı fakat ne yaptıysam şifreli dosyaları kurtaramadım
    ödeme linkinden önemli olan bir exel dosyamı kurtara bildim ücretsiz şifresini kaldırdılar geri kalan tüm programları indirdim shadowexplorer programı da çalışmıyor geri yüklemelerim silinmiş sitede yapılan yardımların hiç biri işe yaramadı çöze bilen varmı ?

  26. aynı sorun dün benim başıma da geldi bir çok teknik servis ile konuştum ve çözüm olmadığını söylediler ve üzerinde çalıştıklarını söylediler, yarın yazdıklarınızı deneceğim, sonucu bildiririm. Umarım çözüm olur.

  27. Ağdaki diger bilgisayarlarada sicradi ve hepsini kitledi. Benim sorum şu yedek usb m den dosyalari virusu sildikten sonra yuklesem. Bu virus yenileride kitler mi ? Ayrica yeni word dosyayi acip kaydettigimde onu sifrelemiyor. Fakat ilerki zamanda kitler mi ?bunu nasil ogrenicez. Birde satin alan var mi ? Satin almak mantikli mi ? Yani ne kadar guvenilir

  28. sürekli aynı Dosya CryptoLocker tarafından enfekte görünmüyor. Bir CryptoLocker virüslü dosyayı gönderin. diyor bu da çözüm değil

  29. Bugünlerde çok fazla etkilenen kişi olduğundan maillerin gelmesi zaman alabiliyordur. Aynı firmanın exe dosyasını indirdiniz mi ?

  30. Tüm yazıyı okuduysanız sorunu da çözmüş olmalısınız. Lütfen yardım gerektiğinde bize yorum olarak yazınız.

  31. BU pislikten kurtulmanın yolunu bir söyleyin lütfen bu yazdıklarınız olayı çözümler mi ?

  32. mail adresi ve uzantılı dosya seçimini yapıyorum ama mail gelmiyor bir türlü çıldırıcam
    başka bir yolu varmı

  33. dosyalarınız şifrelendi mi acaba ?

  34. Merhaba, şu an şirketimizde aynı problem yaşanıyor. Bunu nasıl çözebiliriz? yardımcı olur musunuz? Çok acil!

  35. aynı o.ç ları bugun kurumsal firmamızın e-posta adresine yolladı bu maili elime bi geçirirsem anasını sikecem. 1 saattir uğraştırıyor beni

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir