.vvv uzantılı dosyaları nasıl açarım?

Kodla Büyü
furkan35' Alıntı:
Haci ben donut istiyorum.adamlar hastayim diyor o kadar.insan soyle demez mi mesela ben sistem geri yukleme yaptim olmadi dese ona gore davranacaz.bazilari virusu sildigini saniyor.sen kayit defterini duzeltin mi malverabytes denedin mi kaspersky rescue diski denedin mi ?donut olmayinca insanlarin basit kullanıcı oldugunu dusunmiyor degilim.donut vermezsen agri nerede nasil anlayacaz?gercekten virusu sildiysen shadow dene...ben geri kesinlikle sistem geri yukleme ile cozulecegini dusunuyorum.kayit defterini duzeltse cozulecek cunku...virusu tamamiyle kaldirmadiginiz icin geri yukleme calismiyor olabilir...

Hocam sanırım anlaşamıyoruz....
Virüsü silsende dosyaları istediğin yere taşısan da dosyalar şifreli olarak kalıyor. Bilmem anlatabildim mi. Ben cryptolocker virüsü ile ilgili 2-3 aydır çalışıyorum. Hakkında da oldukça fazla bilgiye sahibim...

Basitçe truecrypt programı ile bir dosyayı şifrelediğinde şifreyi bilmeden çözme ihtimalin varmı ? Bu virüste bu şekilde çalışıyor. Zaten bulaştığı makinada nasıl how_to_recovery isimli dosyada ne yaptığını anlatıyor.Adam orada boşuna uğraşma çözmek için diyor :) .Daha 256 bitlik şifrelemeler henuz tam çözülmemişken. Virüs rsa-2048 bit ile şifreliyor.

Bir yıl öncesine kadar tubitak kendi sitesi üzerinden bu virüse atahtar üretebiliyordu. Artık onlarda yapamadığı için sistem kapatıldı. Benzer anahtar üreten sitelerde 3.0 ve sonraki sürümü için anahtar üretemiyorlar.....

Son olarak ingilizceniz iyi ise alttaki linkteki sayfadaki makaleleri biraz okuyunuz
http://www.bleepingcomputer.com/
 
hocalarım konuyu okuyunca dehşete düştüm bu ne pis bir virüsmüş. çok şükür henüz karşılaşmadım. bundan korunmanın kesin bir yol var mı acaba? varsa önceden önlem alalım. Bilen varsa söylesin ALLAH aşkına :D
 
Virüsün nasıl bulaştığından bahsetseniz. Normal flash disk ile mi bulaşıyor yoksa internet üzerinden mi?
 
gelecek' Alıntı:
Virüsün nasıl bulaştığından bahsetseniz. Normal flash disk ile mi bulaşıyor yoksa internet üzerinden mi?

Genelde mail üzerinden bulaşıyor. Mail ile gelen ekteki dosya çalıştırıldığında bulaşıyor. Fatura , abonelik tarzı mail ile geliyor.
Daha da enterasan bir durumdan bahsedeyim. Virüs ağ üzerinden ki bir bilgisayara bulaştığında bulunan ağ üzerindeki paylaşılmış tüm klasörlerdeki dosyaları da şifrelemektedir.

En kolay çözüm Linux kullanmak...
 
vlk4n' Alıntı:
furkan35' Alıntı:
Haci ben donut istiyorum.adamlar hastayim diyor o kadar.insan soyle demez mi mesela ben sistem geri yukleme yaptim olmadi dese ona gore davranacaz.bazilari virusu sildigini saniyor.sen kayit defterini duzeltin mi malverabytes denedin mi kaspersky rescue diski denedin mi ?donut olmayinca insanlarin basit kullanıcı oldugunu dusunmiyor degilim.donut vermezsen agri nerede nasil anlayacaz?gercekten virusu sildiysen shadow dene...ben geri kesinlikle sistem geri yukleme ile cozulecegini dusunuyorum.kayit defterini duzeltse cozulecek cunku...virusu tamamiyle kaldirmadiginiz icin geri yukleme calismiyor olabilir...

Hocam sanırım anlaşamıyoruz....
Virüsü silsende dosyaları istediğin yere taşısan da dosyalar şifreli olarak kalıyor. Bilmem anlatabildim mi. Ben cryptolocker virüsü ile ilgili 2-3 aydır çalışıyorum. Hakkında da oldukça fazla bilgiye sahibim...

Basitçe truecrypt programı ile bir dosyayı şifrelediğinde şifreyi bilmeden çözme ihtimalin varmı ? Bu virüste bu şekilde çalışıyor. Zaten bulaştığı makinada nasıl how_to_recovery isimli dosyada ne yaptığını anlatıyor.Adam orada boşuna uğraşma çözmek için diyor :) .Daha 256 bitlik şifrelemeler henuz tam çözülmemişken. Virüs rsa-2048 bit ile şifreliyor.

Bir yıl öncesine kadar tubitak kendi sitesi üzerinden bu virüse atahtar üretebiliyordu. Artık onlarda yapamadığı için sistem kapatıldı. Benzer anahtar üreten sitelerde 3.0 ve sonraki sürümü için anahtar üretemiyorlar.....

Son olarak ingilizceniz iyi ise alttaki linkteki sayfadaki makaleleri biraz okuyunuz
http://www.bleepingcomputer.com/

Bilgilendirme için teşekkürler.
 
During the encryption process, the Radamant ransomware will also issue a WMIC command to clear the Shadow Volume Copies on the infected computer. This is done to prevent the user from using them to recover their files. The command that it uses to delete the copies is:

process call create "cmd.exe /c vssadmin delete shadows /all /quiet"

keyleri o komutla siliyormuş.o yuzden geri kurtarma şansı yok diyorsunuz.dayanak burası...anladım shadow volum kopyalarını siliyor...
iste ilk bulaşmada sen virüsü öldürüp kurtarma programları ile copyaları geri getirseydin kurtarma şansın vardı.sanırım silinen kopyaları rendelememiştir.onları kurtarman gerek...neyse bu virüsü babayigitler anca çözer.ilk mudahalede silenen kopyalar zarar gördüğü için kullanıcı tarafından bence o yuzden çözülmesi artık bu virüsü çözecek firmalara kaldı gibi.parayı kıracaklar.
 
neyse vlk4n hoca bana olayı idrak edememişsin diyorduda onun bana gösterdiği kaynak da (bilgilendirdigi için hocaya teşekkur ediyorum...) benim dediklerimi dogruluyor.hiç bir kaynakta şifrelenmiş dosyaların çözülmesi ile ilgili bilgi verilmiyor.daha çok virusun silinmesi,shadow volum copyalarının kurtarılması, ve geri yukleme ile ayarların bir öncekine döndürülmesi var.yani beni destekliyor....Anlattıgı tubitak çalışması bana karadeniz fıkrasını hatırlattı.Amerikalılar aya çıktıysa ha bizde güneşe çıkacaz uşağum demişler..tubitak da tuhaf dogrusu.

neyse korunmak için adamlar vssadmin.exe adının değiştirilmesi gerekir diyor.aklına yatan varsa anlatmı ingilizce :http://www.bleepingcomputer.com/news/security/why-everyone-should-disable-vssadmin-exe-now/

başka bir sitede adam program sunuyor önlem almak için :dikkat edin yinede...antivurus ve malwarebytes ınız calısır vaziyette indirin...
https://www.foolishit.com/cryptoprevent-malware-prevention/
 
forumda bazı akla takılan soruların cevapları aşağıdaki gibidir;
+ kurtarma yazılımları kurtarmaz çünkü dosya silinmiyor, ya da versiyonlanmıyor. dosyalar bulunduğu yerde şifrelendiği için kurtarma yazılımları ile elde edemezsiniz.
+ shadow copy vssadmin ile silindiği için geri getirilemiyor. vssadmin'in adının değiştirilmesi iyi bir yöntem. ama bunun için öncelikle bilgisayarın shadow copy alıyor olması lazım ki, shadowlar silinemesin. XP'de böyle bir özellikle yerleşik olarak gelmiyor. Vista ve üstü işletim sistemlerinde shadow copy sadece c:\ sürücüsü için yerleşik gelir. Diğer sürücüler içinde açılmış olmalı ki, bu özellikten faydalanarak dosyalarını geri alabilseniz.
Bu durumda şimdiden shadow copy'i her sürücü için açmak ve vssadmin 'in adını değiştirmek mantıklı bir korunma yöntemi olabilir.
+ Korunmak için en mantıklı yollardan birisi de; %appdata% ve %temp% klasörlerinden uygulama çalıştırmayı yasaklamak olamalı. Yerel/Domain Grorup Policy yardımıyla rahatça yapabilirsiniz. Zira prevention yazılımları da bu işi yapmakta.

Ayrıca şu makaleyi de izlemenizi öneririm : http://www.cozumpark.com/blogs/gvenlik/ ... ocker.aspx

Saygılarıma.
 
mehmetyayla' Alıntı:
forumda bazı akla takılan soruların cevapları aşağıdaki gibidir;
+ kurtarma yazılımları kurtarmaz çünkü dosya silinmiyor, ya da versiyonlanmıyor. dosyalar bulunduğu yerde şifrelendiği için kurtarma yazılımları ile elde edemezsiniz.
+ shadow copy vssadmin ile silindiği için geri getirilemiyor. vssadmin'in adının değiştirilmesi iyi bir yöntem. ama bunun için öncelikle bilgisayarın shadow copy alıyor olması lazım ki, shadowlar silinemesin. XP'de böyle bir özellikle yerleşik olarak gelmiyor. Vista ve üstü işletim sistemlerinde shadow copy sadece c:\ sürücüsü için yerleşik gelir. Diğer sürücüler içinde açılmış olmalı ki, bu özellikten faydalanarak dosyalarını geri alabilseniz.
Bu durumda şimdiden shadow copy'i her sürücü için açmak ve vssadmin 'in adını değiştirmek mantıklı bir korunma yöntemi olabilir.
+ Korunmak için en mantıklı yollardan birisi de; %appdata% ve %temp% klasörlerinden uygulama çalıştırmayı yasaklamak olamalı. Yerel/Domain Grorup Policy yardımıyla rahatça yapabilirsiniz. Zira prevention yazılımları da bu işi yapmakta.

Saygılarıma.

Cevabınız için teşekkürler. Söyledikleriniz mantıklı.
 
mehmetyayla' Alıntı:
forumda bazı akla takılan soruların cevapları aşağıdaki gibidir;
+ kurtarma yazılımları kurtarmaz çünkü dosya silinmiyor, ya da versiyonlanmıyor. dosyalar bulunduğu yerde şifrelendiği için kurtarma yazılımları ile elde edemezsiniz.
+ shadow copy vssadmin ile silindiği için geri getirilemiyor. vssadmin'in adının değiştirilmesi iyi bir yöntem. ama bunun için öncelikle bilgisayarın shadow copy alıyor olması lazım ki, shadowlar silinemesin. XP'de böyle bir özellikle yerleşik olarak gelmiyor. Vista ve üstü işletim sistemlerinde shadow copy sadece c:\ sürücüsü için yerleşik gelir. Diğer sürücüler içinde açılmış olmalı ki, bu özellikten faydalanarak dosyalarını geri alabilseniz.
Bu durumda şimdiden shadow copy'i her sürücü için açmak ve vssadmin 'in adını değiştirmek mantıklı bir korunma yöntemi olabilir.
+ Korunmak için en mantıklı yollardan birisi de; %appdata% ve %temp% klasörlerinden uygulama çalıştırmayı yasaklamak olamalı. Yerel/Domain Grorup Policy yardımıyla rahatça yapabilirsiniz. Zira prevention yazılımları da bu işi yapmakta.

Saygılarıma.
furkan35' Alıntı:
neyse vlk4n hoca bana olayı idrak edememişsin diyorduda onun bana gösterdiği kaynak da (bilgilendirdigi için hocaya teşekkur ediyorum...) benim dediklerimi dogruluyor.hiç bir kaynakta şifrelenmiş dosyaların çözülmesi ile ilgili bilgi verilmiyor.daha çok virusun silinmesi,shadow volum copyalarının kurtarılması, ve geri yukleme ile ayarların bir öncekine döndürülmesi var.yani beni destekliyor....Anlattıgı tubitak çalışması bana karadeniz fıkrasını hatırlattı.Amerikalılar aya çıktıysa ha bizde güneşe çıkacaz uşağum demişler..tubitak da tuhaf dogrusu.

neyse korunmak için adamlar vssadmin.exe adının değiştirilmesi gerekir diyor.aklına yatan varsa anlatmı ingilizce :http://www.bleepingcomputer.com/news/security/why-everyone-should-disable-vssadmin-exe-now/

başka bir sitede adam program sunuyor önlem almak için :dikkat edin yinede...antivurus ve malwarebytes ınız calısır vaziyette indirin...
https://www.foolishit.com/cryptoprevent-malware-prevention/

furkan35 sayemde öğrenmişsin ama hala tam öğrenememişsin. Bak şifreleri çözen mehmet bey bizden çok çok tecrübeli... Dosyaların geri kurtarmayla çözülemeyceğini söylüyor.
Siz hala dosyaları geri getirmekten bahsediyorsun. Dosyalar silinmiyorki geri getirilsin...

Artık bu konuda daha cevap yazmayacağım....
 
CryptoLocker virüsü...:) Elinde bu virüs bulaşmış pc'si olan birisi varsa söyleyeceğim yöntemi deneyebilir mi? Bir arkadaşımın başına gelmişti bu, izlediğim yöntemle şifrelenmiş dosyasını kurtarmıştım fakat sistem koruması açık bir bilgisayardı... Bendeki uzantı .jpg/pdf/doc.encrypted'dı...
 
Görevlendirme gittiğim okuldaki müdür bilgisayarına bulaşmış arkadaşlar.
Tüm belgelerin uzantısı .vvv ekleniyor.
Örneğin kurum net yedeğini flash belleğe alıyorsun onun da dosyalarını .vvv ekliyor.Müdürün dosyalarını unuttuk zaten bir çoğu flashta başka bilgisayarda yedekliymiş.
İlçeden yedekleme alıp bilgisayara format atacağım galiba,başka çözümünü bulan varsa güzel olur.
Müdüre fatura maili diye gönderilmiş.Mail yoluyla bulaşmış yani.
 
Hocam sistem koruması açık olan bilgisayara bulaşmışsa çözüm şu: Her dosya, klasör için ayrı ayrı yapıyosun dediğim işlemi... Dosyanın üzerine sağ tuş, önceki sürümleri geri yükle... Dosyanın şifrelenmediği bir tarihteki yedeğini kaydediyosun sorun çözülüyor... Ben bu şekilde çözmüştüm ve açılmıştı dosyalar... Umarım sizde de çözüm olur da vesile olmuş oluruz...:)
 
sırasıyla anlatılanları yapmanız lazım hepsi 1 yöntem sadece vvv için :)

factor işlemi bazen 2dk bazen saatler sürebiliyor.
 
1 2 adet vvv uzantılı dosya gönderir misiniz bana bende denemek isterim sevdim bu işi:)
 
tcoalngsau' Alıntı:
mehmetyayla' Alıntı:
tcoalngsau' Alıntı:
:oops: encrypted uzantılı fidye virüsünü nasıl temizleriz

encrypted için geliştirilen "şimdilik" bir çözüm bulunmamaktadır

var hocam Konyada bir vatandaş yaptı.Para ile tabiki..

dr.web antivrüs firması bu hizmeti parayla veriyor çünkü... ordan alıp müşteriye satıyor :) dr.web %60 başarıya sahip olduğunu söylüyor. örnek gönderiyorsunuz çözerlerse sizden Dr.Web Rescue Pack satın almanızı istiyorlar

http://antifraud.drweb.com/encryption_trojs/?lng=en
https://support.drweb.com/new/free_unlo ... de/?lng=en
 
Geri
Üst