Uzantı Değiştirici Fidye Virüsü : ccc'ye Karşı Önlem Alma Adımları [Sistem Enfekteyse]

ccc Fidye Virüslü Dosyalarınızı Geri Getirin....​

İnternette gezinirken indiridiğiniz bir dosya, mailinize gelen bir eki açtığınızda yada hatırlayamadığınız bir sebepten ötürü bilgisayarınızdaki fotoğraf, video, office vb. dosyalarınızı kullanamıyorsanız ve dosyalarınızın formatları .ccc yada .vvv olmuşsa bir fidye virüsü ile karşı karşıyasınız demektir. Bugün sizlere baş belası bir fidye virüsünden nasıl kurtulacağınızı ve dosyalarınızın şifrelerini nasıl kıracağınızı anlatacağım.

Yukarıdaki resimde de gördüğünüz gibi dosya formatları değiştikten sonra “How to recorder file” adlı dosyaları da göreceksiniz. Bu dosyalar fidye virüsü sahibi ile iletişime geçip gerekli ücreti ödeyip dosyalarınıza geri alabileceğinizi anlatır. Bahsedilen ücretin ne kadar olduğunu bilmiyorum ama 3-5 lira gibi bir şey de değildir. Herneyse biz gelelim bu sinir bozucu, tüm foto ve videoları hatta word-excel gibi office dosyalarını bile ele geçiren virüsü temizlemeye....

İlk olarak gerekli olan programları indireceğiz.

TeslaDecoder-> Yafu->
Programları indirdikten tek bir klasörde ikisinide ayrı ayrı klasörlere çıkartın. TeslaDecoder klasörünün içerisine de .ccc formatlı bir tane dosyanızı kopyalayın.

İlk iş TeslaViewer programını açıyoruz. Browse bölümünden TeslaDecoder’in içine attığımız .ccc formatlı dosyamızı programa ekliyoruz ve aşağıdaki görüntüyü elde ediyoruz. Sonra “Create word.txt“ye tıklıyoruz.



TeslaDecoder klasöründe bir txt dosyası beliriyor. Aslında buna yapmamıza gerek yok ama bütün o kodları kafa karışmadan görmeniz için yapıyoruz yoksa pek bi esprisi yok. Her neyse şimdi o work.txt dosyasını açıyoruz ve SharedSecret1*PrivateKeyBCin decimal yani dec bölümünün altındaki sayıların tamamını kopyalıyoruz. Bu kopyalanan bölümüm Yafu programında kullanacağız.



Şimdi Yafu klasöründen RunYafu’ya tıklayıp çalıştırıyoruz.



a) Tune Yafu yapacağımız işlem öncesi sistemi hazırlıyor
b) Yapılacak olan işlemde işlemciden kaç çekirdek kullanmak istiyorsanız seçiyorsunuz. Arkaplanda başka şeyler yaparım beklerken diyorsanız 3’ü seçin.
c) Hatırlayacağınız üzere SharedSecret1*PrivateKeyBC’nin dec değerini kopyalamıştık. O kopyalanan değeri bu bölüme yapıştırıyoruz.
d) Bu seçeneğe tıklayarak işlemi başlatıyoruz ve ms-dos ekranı açılıyor.



İşlemci hızının gücüne göre yada seçeceğiniz çekirdek sayısına göre bazen 5 dk bazen 1 saat yada saatlerce sürebilir. Devamında yukarıdaki sonuç ekranı ile karşılacaksınız. Sonrasında yapmanız gereken sonuc içerisinde p ile olan ifadeleri kopyalamak.


Not: Reklam olmaması için yukarıdaki ekran görüntüsünde, filiganın bir bölümü Paint.Net ile silinmiştir.

Yukarıda gösterilen şekilde kopyaladıktan sonra boş bir word dosyası açıp içine kopyalayalım. Sonrasında TeslaRefactor programının açıyoruz. Sonrasında görsellerden de göreceksiniz az önce p ile başlayan sonuç faktörümüzü ekranda görünen yere kopyalayacağız.



Sağ üst taraftaki filteredbölümüne tıkladığımızda p’li ifadeler siliniyor sadece değerler kalıyor.



Not:

Forum mesaj bölümünde 10 adet resim sınırı olduğundan konuyu bölüyorum, yani DEVAMI VAR....!

lk başta oluşturulan word.txt dosyasına geri dönüyoruz ve oradaki PublicKeyBCdeki değerleri kopyalıyoruz. TeslaRefactor’daki Public Key (hex) satırına yapıştırıyoruz.


Sonra Find Private Key bölümüne tıklıyoruz. İşlemleri eksiksiz yapmış isek aşağıdaki resimde de ördüğünüz gibi şifre çözen kodu edinmiş oluyoruz.

Resimde de gördüğünüz gibi Private Key (hex) değerini kopyalıyoruz ve son programımız olan TeslaDecoder’i açıyoruz.

Set Key bölümüne tıklayıp kopyaladğımız kod çözücü değeri buraya yapıştırıyoruz.

Sonra hemen altından bu kodun hangi dosya formatlarına uygulanmak istediğimizi seçiyoruz ve set key’e tıklıyoruz.

Daha sonra Decrypt folder bölümüne tıklıyoruz .ccc dosyanızın bulunduğu klasörü seçiyorsunuz ve tamam diyorsunuz.


Evet yada Hayır seçenekli bir uyarı mesajı ekranda beliriyor. İşlem sonrasında .ccc’li dosyaları sileyim mi diye soruyor. Size tavsiyem hayır‘ı işaretlemeniz. Eğer sıkıntısız dosyanıza kavuştuysanız o zaman .ccc yada .vvv leri silersiniz.

Mutlu son.


Hata yapmayın diye aşamaları bol bol görsellerle destekledim, faydalı olması dileğiyle.Bu yöntem test edilmiştir, geçtiğimiz günlerde bir arkadaşımın fotoğraf arşivini böyle kurtardık.

Kaynak :