Thursday, March 6, 2014

Zemana FatmalDecrypter ile ".sifreli" uzantılı dosyalarınızı kurtabilirsiniz

Geçtiğimiz günlerde, sahte Turkcell faturası şeklinde gönderilen bir zararlı yazılım Türkiye’de bir çok kullanıcının bilgisayarına bulaşarak önemli verilerini şifreledi ve alttaki notu bıraktı.



Konu hakkında, TÜBİTAK tarafından çok detaylı bir inceleme yazısı yayınlandı. Bir çok kullanıcı, dosyalarını kurtarabilmek istiyordu fakat hackera para vermek dışında dosyaları kurtarabilmenin mümkün olmadığı düşünülüyordu. Lakin, hacker'a para vermek ne kadar mantıklı olabilirdi?

Saldırıdan etkilenen bir çok kullanıcımızın gönderdiği destek talepleri neticesinde konuyu derinlemesine inceledik ve şifrelenen dosyaları (.sifreli uzantılı) kurtarabilen bir araç geliştirdik. FatmalDecrypter adını verdiğimiz bu aracı buradan download edip sisteminizdeki bütün dosyalarınızı kurtarabilirsiniz.


NOT: Bu araç sadece enfekte olmuş sistem üzerinde çalıştırıldığında dosyalarınızı kurtarabilir, bu nedenle ".sifreli" uzantılı dosyaları başka bir bilgisayara kopyalayıp kurtarma işlemi yapmak bu sürümde mümkün değildir.

Bu araç, sadece şifrelenen veri dosyalarını kurtarmaya yarıyor ve virüsü bilgisayardan kaldırmıyor. Bu nedenle, dosyalarınızı kurtardıktan sonra Zemana Anti-Malware'in ücretsiz sürümünü download edip sisteminizi bu virüsten temizliyebilirsiniz.

Bu tip saldırıları zararsız atlatmak için tüm bilgisayar kullanıcılarına, harici bir diske düzenli olarak yedek almalarını öneririz.



56 comments:

  1. 2048 RSA'ya brute-force mu yaptınız yoksa private key an baştan beri sizdemiydi? umarım açık bulduk demezsiniz çünkü decrypter.exe'de private key'i görüyorum.
    Bunu nasıl yaptığınızı açıklamassanız üzerinize kalır!

    ReplyDelete
    Replies
    1. 2048 RSA ile kriptolanmış bir dosyanın çözülme ihtimali ya da yolu var mı acaba..?

      Delete
    2. Bruteforce dışında bilinen bir yolu yok.

      Delete
    3. http://forum.donanimhaber.com/m_107794753/f_//tm.htm#108100775 kesin sonuç.

      Delete
  2. Merhaba Kerim Bey,

    Çözüm ile ilgili detayları kapsamlı bir şekilde CypSec Güvenlik Konferansı'nda bizzat ben sunacağım. Sizi de bekliyoruz konferansa, çok keyifli bir sunum olacak. Güvenlik camiasında bu tip çözümler üretmenin bu gibi riskleri var tabii ki. Virüsleri de AntiVirüs firmaları yapıyor zaten biliyorsunuz :) http://www.teakolik.com/virusleri-antivirus-firmalari-mi-yapiyor/

    Konferansta görüşmek üzere :)
    http://www.cypsec.org/home/

    ReplyDelete
    Replies
    1. Emre bey merhaba, bu konferans Türkiyede de yapılacak mı ?

      Delete
  3. Olur tabi yazsınlar, sonra adam gidip V2'yi çıkartıp, tekrar piyasaya sürsün!

    ReplyDelete
  4. Sadece 64 bit olan işletim sistemleri için çalışıyor. Benim işletim sistemim XP32 bit. :(

    ReplyDelete
    Replies
    1. Araç maalesef XP'de çalışmıyor. 64 veya 32 bit ayrımı yapmıyoruz.

      Delete
    2. Aracın XP de çalışır bir versiyonunun geliştirilmesi mümkünmü? Ayni virüsten muzdarip durumda olan birçok XP kullanıcısı arkadaşım var.

      Delete
    3. İleriki günlerde XP'yi destekleyen sürümde yayınlayacağız inş.
      Yeni sürüm gelene kadar .şifreli uzantılı dosyalarınızı silmeyin ama virüs'i bilgisayardan silebilirsiniz çünkü FatmalDecrypter'in, dosyaları kurtarmak için virüs'ün hafıza dökümüne vs ihtiyacı yok.

      Delete
    4. Çok teşekkür ediyorum. Dört gözle bekliyoruz. Elinize ve emeğinize sağlık.

      Delete
  5. Verileri encrypt eden çok zeki coder private key'i kendi koduna çakarsa veya crypt-tool gibi bir tool ile çok kısa zamanda key'ini tahmin edilebilir kılarsa , zemana'nın da decrypter.exe si ne bu keyi koymasında herhangi bir beis yoktur diye düşünüyorum!

    ReplyDelete
  6. Sizin build ettiğiniz program .sifreli uzantıları decrypt ediyor sanırım. Fakat bendeki sifrelenmiş dosyalarım .ecrypted yani ingilizcesi ve işe yaramıyor sanırım. Bunun için bir çözümünüz varmdır?

    ReplyDelete
    Replies
    1. Sizin de dediğiniz gibi, size bulaşan malesef farklı bir ransomcrypt, support@zemana.com adresinden bize ulaşırsanız yardımcı olmaya çalışırız.

      Delete
  7. Bu aracın ne kadar başarılı olduğu konusunda şüpheliyim. 1 ay öncesine ait bir virüs örneğini temiz bir makinede çalıştırdım ve dosyaların uzantısını .sifreli olarak değiştirip şifreledi. bu toolu çalıştırdıktan sonra dosyaları decrypt edemediğini gördüm

    ReplyDelete
    Replies
    1. Merhabalar, araç iki variant için (MD5 97FB2DFD447C5C6DBE0FC76EE0EFEB67
      , 2B3C9700435CEA2F2315255272E35ABD) hazırlandı. Test ettiğiniz zararlı bunlardan farklı bir dosya ise ya da aynı olmasına rağmen sonuç alamadıysanız support@zemana.com adresine durumu açıklayan bir mail atabilir misiniz? Aracın tarama sonucunu gösteren ekran görüntüsü ve listbox üzerine sağ tıkladığınızda çıkan "Save as" butonu ile alabileceğiniz log inceleme sürecini kısaltacaktır.

      Delete
  8. Merhaba .yıllardır uğraşıp yaptığım tüm video ve photoshop çalışmalarım şuan kilitli durumda.format çare olmadı yeni sistem kurulumu yaptım nafile.Bu lanet şeyden kurtulmanın bi çaresi varmı ? sistemim xp

    ReplyDelete
  9. Merhaba,
    Maalesef XP sistemlerde çalışan bir aracımız mevcut değil :(

    ReplyDelete
  10. Merhaba,
    BitCrypt v2.0 virusu bulaşmış dosyaların kurtarılması için uygulanabilecek yöntem var mıdır.Sevgi ve Saygılarımla

    ReplyDelete
  11. Merhabalar,

    Maalesef söz konusu zararlı için yazdığımız bir araç yok, gördüğüm kadarıyla ilk versiyonundaki bir hatadan dolayı dosyalar çözülebiliyormuş fakat v2.0'da bu tip bir hata yok gibi görünüyor :(

    ReplyDelete
  12. Merhabalar,
    .sifreli bu programın windows xp destekleyeni çıktımı acaba ?

    ReplyDelete
  13. TÜBİTAK tarafından XP dahil tüm sistemler için decryptor tool yayınlandı assağıdaki linkten indirebilirsiniz.
    https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kriptokilit-icin-kriptoanahtar.html

    Bu durumda, yeni bir sürüm yayınlamayı düşünmüyoruz.

    ReplyDelete
  14. Benım dosyalarım da btrcyp ile sifrelenmiş. yardım edebılırsenız sevınırım..

    ReplyDelete
  15. Bende de xp var ve dosyalarım brytcp ıle sıfrelmıs.ne yapmam lazım dosyalarımı kurtarmak ıcın. yardım edersenız sevınırım.

    ReplyDelete
  16. Benim makinamda dosya uzantıları şifreli değil ve açamıyorum. Virüsü temizledim. Fakat, programı çalıştırdığımda no infect mesajı alıyorum.

    ReplyDelete
  17. Arkadaşlar benim de dosyalarımaa Bitcrypt diye bir şifreleme yapılmış. Windows 7 ve 32 bit. Hiçbir yerde birşey bulamadım. Yardıcı olacak kimse var mı? Yardımcı olacak kişi veya kişilere şimdiden teşekkür ederim.

    ReplyDelete
  18. Merhaba ,
    Benim Flash belleğime bulaştı.Netteki her yolu denedim ama açamadım dosyalarımı.FatmalDecrypter programını açtığımda tarama yapmadan direk virüslü bilgisayara takın uyarısı veriyor.TAkılı olduğu halde işlem yapmıyor.Lütfen yardımcı olurmusunuz.Bir yol gösterirseniz sevinirim

    ReplyDelete
  19. yeni ttnet fatmal virüsü için çözüm var mı ? dosyaları .encrypted yapıyor.... yardımlarınızı bekliyoruz..

    ReplyDelete
  20. Merhabalar,

    Yayınladığımız araç mağdur sayısının fazla olması dolayısıyla takımımızın kendi inisiyatifi ile geliştirdiği bir araçtır fakat konu ile ilgili şu anda bir çalışma yapılmamaktadır.

    Teşekkürler.

    ReplyDelete
  21. Emre Bey,
    ücret karşılığı yeni ttnet fatmal (.encrypted) için çözüm sağlayabiliyor musunuz?
    Saygılarımla

    ReplyDelete
    Replies
    1. Konu ile ilgili tubitak bir yazi yayinladi.. Zemana dan Sifre cozucu bekliyoruz...:)

      http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/guncel-cryptolocker-saldirisina-dikkat.html

      Delete
    2. Konu ile ilgili tubitak bir yazi yayinladi.. Zemana dan Sifre cozucu bekliyoruz...:)

      http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/guncel-cryptolocker-saldirisina-dikkat.html

      Delete
    3. Konu ile ilgili tubitak bir yazi yayinladi.. Zemana dan Sifre cozucu bekliyoruz...:)

      http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/guncel-cryptolocker-saldirisina-dikkat.html

      Delete
  22. Merhaba,

    Üzülerek söylüyorum, maalesef bu gibi bir hizmet sağlamıyoruz :(

    Teşekkürler.

    ReplyDelete
    Replies
    1. Merhaba Emre Bey
      (.encrypted) için öneriniz nedir?Dosyaları nasıl decrypted edebiliriz?

      tşk.ler

      Delete
  23. Hafta içi Fatmal Decrypter'ın yeni versiyonu için araştırma yapacağız. Deşifre işlemi mümkünse bir güncelleme yayınlamayı düşünüyoruz.

    ReplyDelete
  24. inşallah bir çözümü vardır. size güveniyoruz.

    ReplyDelete
  25. Merhabalar,

    Maalesef saldırganlar bir önceki saldırıya ilişkin blog yazısından alınması gereken dersi çıkarmışlar ve AES 128 - CBC mod kullanmışlar. Anahtar da public key ile şifrelendiği için çözüme ulaşmamız mümkün görünmüyor.

    Saygılar.

    ReplyDelete
  26. selamlar emre bey. ben bir bilgisayar firma sahibiyim ve .encrypted yani hack virusu bulaşmış bilgisayarlarıma ve şifrelenmiş dosyaları var. sizin verdiğiniz 2 dosyayı da indirdim fakat yedek alabilmek için virusun girdiği bilgisayarda tarama için verdiğiniz programı actığımda "sizin bilgisayarınızda bu virüs bulunmamaktadır" uyarısı alıyorum ve program kapanıyor. yardımcı olabilirseniz cok mutlu olurum

    ReplyDelete
  27. selamlar emre bey. ben bir bilgisayar firma sahibiyim ve .encrypted yani hack virusu bulaşmış bilgisayarlarıma ve şifrelenmiş dosyaları var. sizin verdiğiniz 2 dosyayı da indirdim fakat yedek alabilmek için virusun girdiği bilgisayarda tarama için verdiğiniz programı actığımda "sizin bilgisayarınızda bu virüs bulunmamaktadır" uyarısı alıyorum ve program kapanıyor. yardımcı olabilirseniz cok mutlu olurum

    ReplyDelete
  28. program çalışmadı enfekte olmadığını söylüyor bütün dosyalarım gitti

    ReplyDelete
  29. arkadaşlar malum virüs bana da bulaştı fakat çok şükür kesin ve net çözümü buldum
    sizi kurtarmak için 1.000tl istiyorum şaka şaka o kadar fırsatcı değilim tamamen bedava bi paylaşım olacak
    tam 1 gün uğraş ara tara derken sonuca ulaştım hatta hata bile yaptım diyebilirim
    öncelikle kesinlikle format felan atmayın sadece virüsü temileyin ama kalıcı olabilme ihtimali varmı derseniz fikrim yok virüs bulaşan kilitli dosyalarınızı kopyalayın derim.
    ben önemli dosyalarımı tuttuğum bir flaş belleğim vardı virüs buradakilerin tamamına değil ama bir coğuna bulaşmıştı
    SHADOWEXPLORER-0.9 programını indirin virüs bulaşan dosyaları burada açın ve üzerine sağ kilik yapıp export deyin önemli olan bu işlemde ilgili programda dosyaları yeniden cıkarmadan önce programın sol üst kçşesinde disk seceneğinin yanındaki kutuyu tklayın ve aşağıda geri yükleme tarihlerinden virüsün bulaşmasından önceki en yakın tarihi seçmeyi unutmayın dosyaları transfer ettiğiniz klasörde en son ki kayıtlı haliyle açıp rahatlıkla kullanabiliyorsunuz
    ben format attığım için sabit diskte olanları kopyalamıştım şuan onlarla ilgili birşey henüz yapmadım bakalım sonuç verecekmi bulduğum en kesin yol bu lütfen paylaşalım ve yayalım

    ReplyDelete
  30. TorrentLocker isimli Cryptolockerin CopyCati olan versiyon bilgisayardan Ger Yükleme Noktalarını da sildiği için ShadowCopy de deva olmuyor ne yazık ki.. Key ortaya çıkarsa şansımıza yoksa emekler boşa gidecek..

    ReplyDelete
  31. TorrentLocker isimli Cryptolocker Sistem Geri Yükleme Noktalarını da sildiği için deva olmadı :\

    ReplyDelete
  32. Cryptolocker arşivimi şifreledi bir çalışma varmı kaç haftadır bekliyorum yardım....

    ReplyDelete
  33. Bugün şirket bilgisayarlarına zararlının bugün çıkan yeni sürümü geldi (VirusTotal'de ilk tarama bugün.). Bir çok kişinin öve öve bitiremediği ve kampanyadan heyecanla aldığım 1 yıllık EmsiSoft tespit edemedi ve büyük hayal kırıklığı yarattı. AntiVir'de tespit edemedi. Deneme süresinin bitimine 8 gün kalan ve bittiğinde kaldırırım diye düşündüğüm Zemana buluta yükleyerek tespiti gerçekleştirdi (Sanırım ilk tarayanlardanım). Bende diğer Anti-Malware yazılımları da bu sıcak sıcak teste tabi tutmaya karar verdim. Hitman Pro tespit EDEMEDİ. MalwareBytes tespit EDEMEDİ.
    Bir zararlıyı yayınından çok kısa sürede tespit edebilmek çok önemli ve Zemana'yı burada başarılı gördüm ve emsiyi yüklediğimde kaldırmamakla doğru karar verdiğimi gördüm.

    https://www.virustotal.com/tr/file/d1c44effc9abef275efb68dcc107f18c27a649bfe1125481f86ed840f6e137ba/analysis/1437562916/

    ReplyDelete
  34. arakadaş benim dosyalarıda winrarla exe yapım şifrelemiş bu konuda bilgisi olanlardan yardımbekliyorum şimdiden teşekkürler

    ReplyDelete
  35. önemli belgelere bulaşmış. trend micro var ama engelleyememiş. doc uzantılı belgeler encrypted uzantılı olmuş. çözüm yok mu ?

    ReplyDelete
  36. bende sürekli You PC is not infected! This utulity must be run only on the infected computer diyor neden olabilir acaba

    ReplyDelete
  37. ben zemana antimalvere ilede temizledim bilgisayarı şifreli dosyalar duruyor programı açtığımda you pc is not infected! this utility must be run only on the infected computer diyor neden acaba

    ReplyDelete
  38. s.a kardeşim ccc uzantılı kriptolu bir virüs bulastı makineme bunun için bir çözüm arıyorum programı calıstıramıyorum calıstırmıyor buna çözüm gösterecek biri var mı

    ReplyDelete
  39. Merhaba, .vvv, .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc uzantılı dosyalarınızın çözümü için yardımcı olabilirim.

    ReplyDelete
  40. ben benim dosyalarımın şifrelerini çözdüm yardıma ihtiyacı olana yardım edebilirim

    ReplyDelete
  41. SHADOWEXPLORER proğramı işe yarıyo ama SHADOWEXPLORER proğramında d sürücüne giremiyorum

    ReplyDelete
  42. programı çalıştırdığımda no infect mesajı alıyorum.

    ReplyDelete