Bilgisayarı ele geçirip fidye isteyen virüs

[|Ⓢєччαh|]

Bilgisayarı ele geçirip fidye isteyen virüs

Ortaya çıkan yeni bir virüs dalgası önce bilgisayarlardaki dosyaları şifreliyor, ardından bu şifreyi çözmek için kullanıcıdan fidye istiyor!

Özellikle online alışverişlerin hızla arttığı bugünlerde yeni bir virüs dalgası ortaya çıktı. CryptoLocker ismini taşıyan fidyeci virüs önce bilgisayarlara kendini bulaştırıyor. Ardından bilgisayarlardaki kritik önemdeki dosyaları tespit edip bunları şifreliyor. Şifrelenen dosyayı açamayan kullanıcı ise hacker'ın eline düşüyor.


Virüs şifreyi çözme karşılığında kullanıcılardan 100 ila 300 dolar arası bir ücret talep ediyor. Ancak işi abartan virüs, internet üzerinden para akışında iz kalmaması için kullanıcılardan yeni sanal parabirimi Bitcoin de isteyebiliyor. Böylece virüs arkasından iz bırakmadan fidyesini almış oluyor; zira Bitcoin para transflerlerinin internet üzerinden takibi çok daha zor.


Ödeme için MoneyPak gibi para ödeme araçlarını kullanabilen virüs ilk olarak İngiltere'de ortaya çıktı; ardından ABD genelinde milyonlarca bilgisayara saldırdı. Türkiye'de ise henüz bu virüsle ilgili herhangi bir mağdur ortaya çıkmış değil; ancak kısa sürede CryptoLocker'ın ülkemize de ulaşması söz konusu.


Her ne kadar güçlü bir antivirüs bu virüslerin önüne geçebilse de en iyi korunma şekli elbette internet üzerinden gelen her dosyayı açmamaktan geçiyor.


KaynaK

 

[Deleted member 312196]

Format atsak silinmez mi?

 

[IThelp]

Ransomware bildiğimiz FBİ ve Türk polisi virüsü gibi kaldırılır kimse inanıbda parasını kaptırmasın.

- - - Mesaj Güncellendi - - -

Bu kılavuzun amacı,
CryptoLocker hakkında etrafında yüzen yanlış ve tehlikeli birçok bilgi var. BleepingComputer.com bu enfeksiyon bulaşmış olan kullanıcılara yardımcı denemek için ilk destek sitelerinden biri olarak, ben bir yerde bu enfeksiyon hakkında tüm bilinen bilgi göndermek için daha iyi olacağını düşündüm. Bu kılavuz, ya da Sıkça Sorulan Sorular, ne yazık ki bunu yapmak için hiçbir yolu yoktur gibi dosyalarınızı şifresini yardımcı olmayacaktır. Bunun yerine, bu SSS size enfeksiyon anlamak ve muhtemelen diğer yöntemlerle dosyalarınızı geri yüklemek için gereken tüm bilgileri verecektir.
Birçok yönden bu kılavuz beni hasta fidye ödemek için nasıl bir destek konusuna gibi hissediyor. Ne yazık ki, bu enfeksiyon dolambaçlı ve birçok kişi kendi dosyalarını geri almak için fidye ödemek için başka çaremiz yok. Bu aslında benim amacım onlar her ne yapmaya karar ile enfekte kullanıcılara yardımcı olmak için zaman, geliştiriciler yardımcı olarak görülüyor ise peşinen özür dilerim.
Tüm bu bilgiler Fabian Wosar gelen bu enfeksiyon ile benim kendi deney derlenmiştir Emsisoft önce bu enfeksiyonu analiz, ve bizim 48 sayfa tüm emeği danışmanları ve ziyaretçiler aracılığıyla CryptoLocker destek konusuna . Bu enfeksiyon hakkında bilgi emeği geçen herkese çok teşekkürler. Bu kılavuz, yeni bilgiler veya yaklaşımlar toplanmış olarak güncellenmeye devam edecektir. Eğer düşündüğünüz bir şey varsa, ilave açıklık, ya da bize yukarıda bağlantılı destek konusuna iletebilirsiniz revize edilmelidir.
Bilgi: tartışma ve IT danışmanları, son kullanıcılar ve CryptoLocker etkilenen şirketlerin çeşitli deneyimlerini içeren bir çok aktif CryptoLocker destek konu vardır. Eğer bu enfeksiyon ile ilgilenen veya bu konuda soru sormak istiyorsanız, bu ziyaret edin CryptoLocker destek konusuna . Eğer üye iseniz kez konu olarak, ve, birisi konuda daha fazla bilgi eklediğinde bildirim almak için abone olabilirsiniz.



CryptoLocker nedir
CryptoLocker , Windows XP, Windows Vista, Windows 7 ve Windows 8 dahil tüm Windows sürümlerini hedefleyen Eylül 2013 başlarında yayımlanan bir ransomware programdır. Bu ransomware RSA ve AES şifreleme bir karışımını kullanarak belirli dosyaları şifrelemek olacaktır.Bu dosyalarınızı şifreleyerek tamamlandığında, bu şifresini dosyaları için 100 $ veya 300 $ ya da bir fidye göndermek isteyen bir CryptoLocker ödeme programı gösterecektir. Bu ekran aynı zamanda fidye ödemek için veya sizin şifreleme anahtarını siler ve dosyaları şifresini çözmek için herhangi bir şekilde olmaz, sen 72 saat veya 4 gün var olduğunu belirten bir zamanlayıcı gösterecektir. Bu fidye MoneyPak kuponları veya Bitcoins kullanılarak ödenmelidir. Eğer ödeme göndermek ve doğrulandıktan sonra, program şifreli dosyaların şifresini olacaktır.

CryptoLocker ödeme ekranı
bu enfeksiyonun daha fazla ekran görüntüleri için yukarıdaki resmin üzerine tıklayın.
görüntüleyebilir 3 görüntülerin toplam vardır.​

Ilk CryptoLocker ile enfekte olduğunda, bu% AppData% veya% LocalAppData% yolu köküne rastgele adlandırılmış dosya olarak kendini kurtaracak. Giriş yaptığınızda o zaman CryptoLocker başlamak için kayıt defterinde aşağıdaki otomatik kayıtları birini yaratacak:

KEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "CryptoLocker"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce "* CryptoLocker"
KEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "CryptoLocker_ <version_number>"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce "* CryptoLocker_ <version_number"
​

RunOnce değeri önünde * Güvenli Modda başlatmak için CryptoLocker neden olduğunu unutmayınız.


Eğer bir yürütülebilir başlatmak zaman etkilenen bilgisayar üzerinde Gölge Volume Kopya silmeye çalışacak, böylece enfeksiyon da. EXE uzantıları kaçırmak olacaktır. Eğer şifrelenmiş dosyaları geri gölge hacim kopyalarını da kullanabilirsiniz, çünkü bu yok. Bir yürütülebilir tıkladığınızda çalıştırılan komut:

"C: \ Windows \ SysWoW64 \ cmd.exe" / C "C: \ Windows \ Sysnative \ vssadmin.exe" Gölgeler Sil / Hepsi / Sessiz
​

Kayıt Defteri'nde. EXE kaçırmak aşağıdakine benzer olacaktır. Kayıt defteri anahtarı isimleri rastgele olacaktır unutmayın.

[HKEY_CLASSES_ROOT \. Exe]
@ = "Myjiaabodehhltdr"
"İçerik Türü" = "application / x-msdownload"
[HKEY_CLASSES_ROOT \. Exe \ PersistentHandler]
@ = "{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT \ Myjiaabodehhltdr]
[HKEY_CLASSES_ROOT \ Myjiaabodehhltdr \ DefaultIcon]
@ = "% 1"
[HKEY_CLASSES_ROOT \ Myjiaabodehhltdr \ shell]
[HKEY_CLASSES_ROOT \ Myjiaabodehhltdr \ \ open shell]

- \ "% 1 \"% * "
​

Enfeksiyon başarıyla gölge hacmi kopyaları sildi sonra, geri, Windows varsayılan exe uzantıları geri olacaktır.
Enfeksiyon sonra tarafından oluşturulan etki bağlanarak canlı Komuta ve Kontrol sunucusu bulmak için çalışacaktır Domain Nesil Algoritma. DGA üretecektir alan adlarının bazı örnekler lcxgidtthdjje.org, kdavymybmdrew.biz, dhlfdoukwrhjc.co.uk, ve xodeaxjmnxvpv.ru. Canlı C & C server keşfedildi sonra onunla iletişim kurmak ve veri dosyalarınızı şifrelemek için kullanılan bir ortak şifreleme anahtarı alacaksınız. Daha sonra altındaki kayıt defteri anahtarının altında değerleri diğer bilgilerle birlikte bu anahtarı depolayacak HKEY_CURRENT_USER \ Software \ CryptoLocker_0388 . Ne yazık ki, virüslü dosyaların şifresini çözmek için kullanılan özel anahtar bilgisayardan değil Command & Control sunucusunda kaydedilmiş değildir.
, * Odt, * ods, odp *, * ODM, * odc * odb, * doc:....... CryptoLocker sonra aşağıdaki uzantılara sahip dosyaları bilgisayarınızda tüm fiziksel veya eşlenen ağ sürücüleri taramak başlayacak *. docx, *. *, docm. WPS *. xls, *. xlsx, *. xlsm, *. xlsb, *. XLK, *. ppt, *. pptx, *. pptm, *. mdb, *. accdb, *. pst, *. dwg, *. dxf, *. DXG, *. wpd, *. rtf, *. wb2, *. mdf, *. dbf, *. psd, *. pdd, *. pdf, *. eps, *. ai, *. indd, *. cdr, *. jpg, *. jpe, *. jpg, *. dng, * .3 FR, *. arw, *. BAV, *. sr2, *. defne, *. crw, *. CR2, *. dcr, *. KDC, *. erf, *. MEF, *. mrw *. nef, *. nrw, *. orf, *. raf, *. çiğ, *. RWL, *. RW2, *. r3d, *. ptx, *. pef, *. SRw, *. x3f, *. der, *. cer *. crt, *. pem, *. pfx, *. p12, *. p7b, *. p7c. Bu türlerinden birini uyan dosyaları bulduğunda, ortak şifreleme anahtarını kullanarak dosya şifrelemek ve altında bir değer olarak dosya ve dosya için tam yolu katacak HKEY_CURRENT_USER \ Software \ CryptoLocker_0388 \ Files kayıt defteri anahtarı.
Tamamlandığında verileri şifreleyerek o zaman yukarıda gösterildiği gibi CryptoLocker ekranını göstermek ve şifresini dosyaları için 100 $ veya 300 $ dolar ya fidye talep edecek dosyaları. Bu fidye Bitcoin veya MoneyPak kuponları kullanarak ödenmelidir. Ayrıca 96 saat veya özel şifreleme anahtarı geliştirici sunucularında imha edilecek olan bu fidye ödemek gerektiğini belirtiyor.
Uyarı: Yanlış bir ödeme kodunu girerseniz, bu sizin şifresini dosyaları için kullanılabilir olması süreyi azaltacaktır. Yani fidye ödemeye ilişkin planlıyorsanız, kod yazarken lütfen dikkatli olun.

Bu enfeksiyon hakkında daha fazla teknik bilgi bu da olabilir blog yazısı Emsisoft tarafından.

CryptoLocker tarafından kullanılan, bilinen dosya yolları ve kayıt defteri anahtarları
Bu bölüm CryptoLocker tarafından kullanılan, bilinen tüm dosya yolları ve kayıt defteri anahtarlarını listeler. Şu anda CryptoLocker tarafından kullanılmakta olan dosya yolları ve kayıt defteri anahtarlarını vurgulanır mavi.
Şu anda ve tarihsel CryptoLocker tarafından kullanılmakta olan dosya yolları şunlardır:

% AppData% \ <random.exe> &#8203;&#8203;ve % AppData% \ {<8 karakter> - <4 karakter -> <4 karakter -> <4 karakter -> <12 karakter>}. exe

Bu yolu kullanarak dosya örnekleri şunlardır: Rlatviomorjzlefba.exe ve {34285B07-372F-121d-311F-030FAAD0CEF3} exe. .Windows XP'de,% AppData% C gelir: \ Documents and Settings \ <Login Adı> \ Application Data.
, Windows Vista, 7 ve 8 ise,% AppData% C: \ Users <Login \ AppData \ Roaming \.
​

% LocalAppData% \ <random.exe>

Bu yolu kullanarak dosya örnekleri: Rlatviomorjzlefba.exe .
Windows XP'de,% LocalAppData% C gelir: \ Documents and Settings \ <Login Adı> \ Local Settings \ Application Data \.
, Windows Vista, 7, ve 8,% LocalAppData% C gelir: \ Users \ <Giriş İsim > \ AppData \ Local.
​

Windows giriş otomatik CryptoLocker başlatmak için kullanılan kayıt defteri anahtarı altında bulunur.

KEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "CryptoLocker_ <version_number>"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce "* CryptoLocker_ <version_number"
​

Yukarıdaki kayıt defteri değerleri için geçerli sürüm 0388 . Lütfen dikkat * RunOnce girişi bile Windows Güvenli Mod CryptoLocker başlatmak için Windows söyler.
CryptoLocker ayrıca yapılandırma bilgilerini ve şifrelenmiş dosyaları saklamak için bir kayıt defteri anahtarı oluşturur. Geçmişte kullanılan kayıt defteri anahtarı HKEY_CURRENT_USER \ Software \ CryptoLocker oldu. Yeni sürüm artık anahtar adı, şu anda 0388 olan malware sürümü içerir.
Şu anda yapılandırma bilgilerini depolamak için kullanılan kayıt defteri anahtarı HKEY_CURRENT_USER \ Software \ CryptoLocker_0388. Bu anahtar altında aşağıda açıklanan 3 kayıt defteri değerleri şunlardır:

Değer Adı	Tanım
PublicKey	PublicKey değer dosyalarınızı şifrelemek için kullanılan ortak anahtarını içerir. Bu anahtar bilgisayarınızda şifreli dosyaların şifresini yardımcı olmayacaktır.
VersionInfo	VersionInfo değer malware geçerli sürümü, Komuta ve Kontrol sunucusunun IP adresini ve kurulum damgası içeren bilgiler içermektedir.
Duvar Kağıdı	Duvar kağıdı değeri enfekte bilgisayarın masaüstünde arka plan olarak gösterilir duvar kağıdı ile ilgili bilgileri içerir.

Altında HKEY_CURRENT_USER \ Software \ CryptoLocker_0388 \ Files anahtarla CryptoLocker tarafından şifrelenmiş olan tüm dosyaları bir liste olacaktır. Bu liste daha sonra fidye ödenmiş eğer dosyaların şifresini çözme aracı tarafından işlenir. Şifrelenmiş her dosya için, yeni bir REG_DWORD değeri şifreli dosyanın tam yolunu kullanarak adında olduğu oluşturulur. Değerleri adlandırırken, CryptoLocker eğik çizgi karakteri (tüm tekrarlarını değiştirmek olacak \ bir soru işareti ile). Şifreli bir dosyanın değer girdisi adlı olacağını nasıl bir örnekC:??? Kullanıcılar Kamu Resimleri Örnek Resimler Penguins.jpg . Sen kullanabilirsiniz ListCrilock bir metin dosyasına kayıt defterinden bu şifreli dosyaların bir insan okunabilir listesini vermek programı.
Sunulduğundan beri CryptoLocker çözme hizmeti bu kayıt defteri anahtarı mevcut olmadan dosyaların şifresini mümkündür. Bu hizmet tarafından sağlanan yeni tırmalamak yerine dosyaları tarama ve gömülü özel şifre çözme anahtarını kullanarak şifresini dener.

​

Eğer keşfetmek zaman ne yapmalıyım bilgisayar CryptoLocker ile enfekte
Bir bilgisayar CryptoLocker ile enfekte olduğunu keşfetmek zaman, yapmanız gereken ilk şey, kablosuz veya kablolu ağ bağlantısını kesin değildir. Bu da herhangi bir dosya şifreleyerek engellemek olacaktır. Bazı insanlar ağ bağlantısı kesilir kez, o CryptoLocker ekranını edeceğini bildirdi.
Bu fidyeyi ödemek istiyorsanız karar kadar% AppData% klasöründen enfeksiyonu temizlemek tavsiye edilmez. Eğer fidye ödemek gerekmez, sadece kayıt defteri değerleri ve dosyaları silmek ve programı artık yük olmayacak. Daha sonra diğer yöntemlerle verilerinizi geri yükleyebilirsiniz.
Bu CryptoLocker enfeksiyon kendisi iki süreçlerini çoğaltılır dikkat etmek önemlidir. Eğer tek bir süreci sonlandırmak durumunda, diğer işlem otomatik olarak tekrar ikinci bir başlatacak. Bunun yerine böyle bir programı kullanmak Process Explorer ve sağ ilk süreci tıklayın ve öldür Ağacı . Bu aynı anda hem sonlandırılacak.


Bu CryptoLocker tarafından şifrelenen dosyaların şifresini mümkün mü?
Ne yazık ki şu anda fidye ödemeden şifresini dosyaları için kullanılabilir özel anahtarı almak için hiçbir yolu yoktur. Şifre çözme anahtarı ısınmaya kaba nedeniyle anahtar kırmak için gereken zaman uzunluğuna gerçekçi değildir. Ayrıca çeşitli firmalar tarafından piyasaya sürülmüştür herhangi bir şifre çözme araçları bu enfeksiyon ile çalışmaz. Sistem etkin Restore varsa dosyalarınızı geri yükleme sahip tek yöntem, bir yedekleme veya Gölge Cilt Kopya değil. CryptoLocker yeni türevleri gölge kopyaları silmek girişimi, ama her zaman başarılı değildir. Gölge Ses Kopyaları ile dosyalarınızı geri yükleme hakkında daha fazla bilgi bulunabilir bu bölümde aşağıda.
Sistem bilgisayarınıza veya güvenilir yedekleme etkin geri yükleme yoksa, o zaman dosyalarınızı geri almak için fidye ödemek zorunda olacak.

Fidye ödeyen aslında dosyaların şifresini olacak?
Fidye ödeyerek CryptoLocker enfeksiyon şifre çözme işlemi başlar. Eğer fidyeyi ödeme yaparken ödeme doğrulandı edildiğini belirten bir ekran gösterilir. Bu doğrulama işlemi tamamlamak için 3-4 saat sürebilir bu fidye durumu ödemiş insanlardan raporlar. Ödeme doğrulandıktan sonra, enfeksiyon dosyaları şifresini başlayacak. Bir kez daha, bu şifre çözme işlemi zaman biraz alabilir bildirilmiştir.
Şifre çözme işlemi belirli bir dosyanın şifresini edemez belirten bir hata verebilir bazı raporlar olmuştur ki, uyarılmalıdır. Bu noktada biz bu sorunu çözmek için ne gibi bir bilgi yok. Ziyaretçiler enfeksiyon belirli dosyaları ile ilgili bir sorun olsa bile dosyaları geri kalanını deşifre etmeye devam edeceğini bildirdi.

Nasıl CryptoLocker ile enfekte olabilirim
Bu enfeksiyon genellikle Bu e-postalar açıldığında bilgisayarı enfekte olacağı bir zip eki içerecek vb Fedex, UPS, DHS, müşteri desteği ile ilgili konularda taklit şirket e-posta adreslerine gönderilen e-posta yoluyla yayılır. Bu zip dosyaları bir PDF simgesi var ve tipik FORM_101513.exe veya FORM_101513.pdf.exe gibi bir şey adlandırılır gibi PDF dosyaları kılığında yürütülebilir içerir. Microsoft varsayılan uzantıları görünmüyor çünkü, onlar normal bir PDF dosyaları gibi bakmak ve insanlar onları açın.
CryptoLocker ilk yayımlandığında, kendisi tarafından dağıtılan ediliyordu. Yeni kötü amaçlı yazılım ekleri sonra CryptoLocker enfeksiyon yüklemek Zbot enfeksiyonları gibi görünür. Sen şeklinde bir kayıt defteri anahtarı olacak gibi Zbot bulaşmış bilecek:

HKCU \ Software \ Microsoft \ <random>
​

Bu tuşların altında çöp veri olarak görünmektedir veri (şifreli bilgi) ile Değer isimlerini görürsünüz. Damlalık da% Temp% klasöründe bulunan ve ana yürütülebilir altında rastgele bir klasörde saklanır % AppData% . Son ama en azından bir başlangıç &#8203;&#8203;altında oluşturulur değil HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run başlatmak için.
Bir örnek Zbot / CryptoLocker e-posta mesajı:

----- Original Message -----
Gönderen: John Doe [mailto: [email protected] ]
Sent: Salı Ekim 15, 2013 10:34
Jane Doe: To
Konu: Yıllık Formu - Yetki Şahıslara kullanın Devlet İş ile ilgili el araç
Tüm çalışanlar dosyası üzerinde bu formu STD 261 (ekli) olması gerekir. Orijinal danışmanı tarafından korunur ve kopya Muhasebe gider. Muhasebe kilometre geri ödeme onaylamak için bu formu gerekir.
Form ancak çalışan ve amir tarafından her yıl yeniden imzalanması gerekiyor, birden fazla yıl için kullanılabilir.
(Eğitim dahil) devlet iş kendi özel araba kullanarak seyahat edebilirler tüm çalışanlara lütfen onaylayın dosyası güncel bir STD 261 sahiptir. Muhasebe dosyası üzerinde bu formun güncel bir kopyasını sahip değil bir seyahat geri ödeme talebinde geciktirebilir.
​

Bilinen CryptoLocker posta konuların güncel listesi şunlardır:

USPS - Sizin paket alma için kullanılabilir (Parsel 173145820507)	USPS - Kaçırılan paket teslimat ("USPS Express Services" < [email protected] >)
USPS - Kaçırılan paket teslimat	FW: Fatura <random number>
ADP bordro: Hesap Ücreti Uyarısı	ACH Bildirim ("ADP Bordro" <* @ adp.com>)
ADP Referans # 09903824430	Intuit tarafından Alınan bordro
Önemli - ekli formu	FW: Son Ay havale
McAfee Daima Açık Koruma Yeniden	Xerox WorkCentre taranan görüntü
Xerox WorkCentre tarama	Xerox taranan
Yıllık Formu - Yetki Devlet İş ile ilgili özel araç kullanın	Fwd: IMG01041_6706015_m.zip
Benim özgeçmiş	Yeni Sesli Mesaj
Bilinmeyen dan Sesli Mesaj (675-685-3476)	Unknown Caller Sesli Mesaj (344-846-4458)
Önemli - Yeni Outlook Ayarları	Veri Tarama
FW: Ödeme Önerileri - Önerileri Ref: [GB293037313703] / ACH kontör / Müşteri Ref: [ödeme run 14/11/13]	Ödeme Önerileri - Önerileri Ref: [GB2198767]
Yeni sözleşme anlaşması.	Önemli Uyarı - Gelen Havale
Bilinmediği gelir Bildirimi	Bildirilmemiş gelir Bildirimi - Son ay raporları
Ödeme Vadesi - Lütfen cevap verin	FW: kopyasını kontrol
Bordro Fatura	USBANK
"Rastgele telefon #" kurumsal eFax mesaj - 8 sayfa (rasgele telefon # & sayfa sayısı)	Vadesi geçmiş faturaların
FW: Olgu FH74D23GST58NQS	Symantec Endpoint Protection: Önemli System Update - acil eylem gerektirir

CryptoLocker bilinen Bitcoin Ödeme adresleri
CryptoLocker Eğer şifre çözme programında gösterilen bir adrese 2 Bitcoins göndererek fidyeyi ödeme sağlar. Bitcoins bazı Bitcoins borsalarında şu anda üzerinde 200 $ ABD değer. CryptoLocker önceki varyantları enfekte oldu herkes için statik bitcoin adresleri dahil. Bu statik adresler şunlardır:

https://blockchain.info/address/18iEz617DoDp8CNQUyyrjCcC7XCGDf5SVb
https://blockchain.info/address/1KP72fBmh3XBRfuJDMn53APaqM6iMRspCh
​

CryptoLocker yeni türevleri dinamik bir enfeksiyon her örneği için yeni bitcoin ödeme adresleri oluşturabilir. Sen cüzdan ve cüzdan işlemleri görmek için yukarıdaki bağlantıları kullanabilirsiniz.

CryptoLocker ve Ağ Paylaşımları
Paylaşılan klasörler bulaştığı bilgisayara bir sürücü harfi olarak eşlenmiş CryptoLocker yalnızca ağ paylaşımlarında depolanan verileri şifreler. Bazı makaleler devlet ne rağmen, CryptoLocker değil UNC paylaşımları ile bir ağda verileri şifrelemek. Bir UNC paylaşımına bir örnek \ \ bilgisayaradı \ OpenShare olduğunu.
Bu kesinlikle sadece gerekli kullanıcı gruplarına veya kimliği doğrulanmış kullanıcılar için yazılabilir erişim sağlayarak tüm açık hisseleri güvenli önerilmektedir. Bu ne olursa olsun CryptoLocker gibi enfeksiyonların her zaman kullanılması gereken önemli bir güvenlik ilkesidir.
Anti-virüs yazılımı enfeksiyonu silinmiş dosyaları ve fidye ödemek istiyorsanız ne yapmalı!
Şifreleme başladıktan sonra pek çok anti-virüs programları CryptoLocker yürütülebilir silmek istiyorsunuz olarak, şifrelenmiş dosyaları ve bunları çözmek için hiçbir şekilde bırakılmış olacaktır. CryptoLocker son sürümleri şimdi bu durumda durumda indirebilirsiniz bir şifre çözme aracı için bir bağlantı içeren bir iletiyi Windows duvar kağıdı koyacaktır. Bu indirme Dosyalarınızı çift şifrelemek olmayacak ve şifrelenmiş dosyaların şifresini sağlayacak sayıda rapor vardır.

Fidye ödemek sahip süresini artırmak için nasıl
CryptoLocker ilk gösterildiği zaman, size 96 saat içinde fidye ödemek zorunda bildiren bir zamanlayıcı göreceksiniz. Bazı insanlar BIOS'unuzda saat geri yuvarlayarak süresini artırabilir bildirdiler. Yani 10 saat zamanlayıcı artırmak için, 10 saat önce için BIOS daki saatini değiştirmek istiyorsunuz. Virüs Yazar gelmiştir belirtilen bu yöntemi kullanarak yardımcı olmayacaktır. Onlar şifre çözme için gerekli özel anahtar olursa olsun diyor ne kadar zaman ayrılan süre sonra Command & Control sunucudan silinecektir virüslü bilgisayarda kaldığını söylediler.
Kullanıcılar tarafından Testler olsa da, özel anahtarları silinmez olduğunu göstermiştir ve zaman tükendi bile fidyeyi ödeme yapabilirsiniz.Insanlar işe bildirdi adımlar şunlardır:

1. Silinmiş eğer CryptoLocker kayıt defteri anahtarını geri yüklemek.
2. Derhal bilgisayarınızı kapatın.
3. Bilgisayarı başlatın ve bios girin. Bir kez bios, zamanlayıcı artırmak için geçmişte bazı zaman saatinizi değiştirin.
4. Bilgisayarınızı yeniden başlatın.
5. CryptoLocker artık daha fazla zaman sol olduğunu göstermelidir.

Bu yöntem hala şimdi o çalışacaktır eğer bilinmemektedir CryptoLocker Şifre çözme Hizmet oluşturuldu.

Ransomware yazar ve CryptoLocker çözme hizmeti hakkında bilgi gelen iletiler
İnsanlar onların ödeme geçmez zaman bu enfeksiyonun yazar irtibata nasıl istediler. Bu bilgisayar enfeksiyon geliştiricisine başvurmanız için doğrudan bir yol yoktur. Onlar bizim gibi bu enfeksiyon hakkında çeşitli konuları, izleme, olsa vardır CryptoLocker destek konusuna ve enfekte kullanıcının sorunları yanı sıra Komuta ve Kontrol sunucularının ana sayfadaki diğer mesajları vermek için cevap var. Bu Command & Control sunucusunun adresi virüslü bir bilgisayarda masaüstü duvar kağıdı bulunabilir. Onlar Decrypter indirmek için belirttiğiniz url, aynı zamanda yazarın iletilerini görüntülemek için kullanılabilir. Bunun yerine yürütülebilir daha ana sayfasına gidin. Duvar kağıdı mesajı görmek için http://kjasdklhjlas.info/1002.exe bir URL, varsa Yani http://kjasdklhjlas.info/ giderdim. Bu url geçerli olmadığını unutmayın.
11/01/13 itibariyle, Komuta ve Kontrol sunucu ana sayfa CryptoLocker çözme Servisi'ne değiştirildi. Bu şifre çözme hizmeti de adres f2d2v7soksbskekh.onion / adresindeki TOR üzerinden erişilebilir. Bu hizmet sizin ortak anahtarı için bir arama gerçekleştirir şifreli bir dosya yüklemenize olanak sağlar. Daha önce fidye ödenmiş olsaydı genel bulunduğunda, size özel anahtar ve Decrypter için bir link verecek.Zaten fidye ödenmiş olmasaydı, o zaman özel anahtar ve Decrypter satın alma seçeneği verilecektir. Özel anahtarın maliyeti eğer standart 72 saatlik zaman dilimi içinde 2 Bitcoins kalır, ancak süresi doldu ise fiyat 10 Bitcoins atlar. 10 Bitcoins de fidye üzerinde 2290 $ USD.

Tam boyutu ve diğer ilgili görüntüleri görmek için yukarıdaki resmin üzerine tıklayın.​

Bir kez ödeme yapılır 10-15 bitcoin olmalı teyit özel anahtar ve bir tırmalamak indirmek için hazır olacak önce. Bu teyitleri meydana gelmiş bir kez indirme linki, bir bağımsız Decrypter indirmek sağlayacak görüntülenir. Bu tırmalamak zaten özel şifre çözme anahtarı programda depolanmış olacak ve taramak ve şifrelenmiş dosyaların şifresini çözmek için kullanılabilir.

Tam boyutu ve diğer ilgili görüntüleri görmek için yukarıdaki resmin üzerine tıklayın.​

Bu şifre çözme hizmeti hakkında daha fazla bilgi bu haber makalede bulunabilir: CryptoLocker geliştiricileri yeni şifre çözme hizmeti kullanmak için 10 Bitcoins ücret .
Önceki Command & Control ana sayfa mesajları:

Tarih	Image Link
2013/10/22	http://www.bleepstatic.com/swr-guides/c/cryptolocker/command-control-message-10-22-13.jpg
2013/10/29	http://www.bleepstatic.com/swr-guides/c/cryptolocker/command-control-message-10-29-13.jpg

Gölge Cilt Kopyaları kullanarak CryptoLocker ile şifrelenmiş dosyaları geri yükleme
Sistem Geri Yükleme bilgisayarda etkin olsaydı, Windows'un oluşturduğu gölge kopya anlık sistemi anlık oluşturulduğu geri zaman zaman bu noktada sizin dosyalarınızın kopyalarını içerir. Bu anlık bizi onlar şifreli olmuştu önce bizim dosyaların önceki sürümünü geri yüklemek için izin verebilir. Bu dosyalar da dosyanın en son sürümü olmayabilir şifreli olmayabilir olsa bile bu yöntem olsa da, aptal kanıt değildir. Gölge Cilt Kopya Windows XP Service Pack 2, Windows Vista, Windows 7, Windows 8 ve sadece mevcut olduğunu lütfen unutmayın.
Not: Eğer ilk enfekte olduktan sonra bilgisayarınızdaki herhangi bir yürütülebilir başladığınızda CryptoLocker yeni türevleri tüm gölge kopyaları silmek için çalışacaktır. Neyse ki, enfeksiyon her zaman gölge kopyaları kaldırmak mümkün değildir, bu nedenle bu yöntemi kullanarak dosyaları geri denemeye devam etmelidir.

Bu bölümde size Shadow Volume Copy dosya ve klasörleri geri yüklemek için kullanabileceğiniz iki yöntem sağlar. İlk yöntem, yerel Windows özelliklerini kullanmayı ve ikinci yöntem Gölge Explorer adı verilen bir program kullanmaktır. Hem denemek ve yöntemleri sizin için daha iyi çalıştığını görmek için zarar vermez.
Doğal Windows önceki sürümlerini kullanan :
Dosyaları tek tek geri yüklemek için, dosya üzerinde sağ tıklayıp geçebiliriz Özellikleri ve seçin Önceki Sürümler sekmesini. Bu sekme Gölge Hacmi Kopyala ve aşağıdaki resimde gösterildiği gibi yedeklendikleri tarihten saklanan dosyasının tüm kopyalarını listeler.

Dosyanın belirli bir sürümünü yüklemek için, sadece üzerine tıklayın Kopyala düğmesini ve ardından dosyayı geri yüklemek istediğiniz dizini seçin. Seçilen dosyayı geri ve mevcut bir değiştirmek istiyorsanız, tıklayın Restore düğmesi. Eğer gerçek dosyasının içeriğini görüntülemek için isterseniz, tıklayabilirsiniz Açık bunu geri yüklemeden önce dosyanın içeriğini görmek için düğmeye.
Bu aynı yöntemi bütün bir klasörü geri yüklemek için kullanılabilir. Sadece klasör üzerinde sağ tıklayın ve Properties ve ardından Önceki sürümler sekmeleri. Daha sonra ya nerede yukarıdakine benzer bir ekran ile sunulacak kopyalayın yeni bir konuma klasörün seçilen yedekleme veya geri yükleme mevcut klasöre üzerine.

Gölge Gezgini'ni kullanma :
Ayrıca adında bir program kullanabilirsiniz Gölge Explorer seferde tüm klasörleri geri yükleme. Programı yüklerken ikisi aynı işlevi gerçekleştirmek gibi, ya tam yükleme indirme ya da taşınabilir sürümünü kullanabilirsiniz.
Programı başlattığınızda tüm sürücüleri ve bir gölge kopya oluşturulduğunu tarihleri &#8203;&#8203;listeleyen bir ekran gösterilir. Eğer geri yüklemek istediğiniz sürücüyü (mavi ok) ve tarihi (kırmızı ok) seçin. Bu, aşağıdaki resimde gösterilmiştir.

Bütün bir klasörü geri yüklemek için, bir klasör adını sağ tıklatın ve seçin Dışa . Daha sonra klasörün içeriğini geri yüklemek istiyorum nereye kadar istenir.

DropBox klasörlerde şifrelenmiş dosyaları nasıl geri
Eğer DropBox virüslü bir bilgisayarda bir sürücü harfiyle eşleştirilmiş varsa, CryptoLocker sürücüde dosyaları şifrelemek için çalışacaktır.DropBox kendi web sitesi aracılığıyla şifrelenmiş dosyaları geri sağlayacak olan tüm hesaplarınızı ücretsiz sürüm sunuyor. Ne yazık ki, DropBox tarafından sunulan restoral süreci sadece sen değil bütün bir klasörü dışında bir seferde bir dosya geri verir. Eğer DropBox bütün bir klasörü geri yükleme ile ilgili talimatları görmek istiyorsanız, tıklayın burada .
Bir dosyayı geri yüklemek için, sadece DropBox web sitesine giriş ve geri yüklemek istediğiniz şifrelenmiş dosyaları içeren klasöre gidin.Eğer klasörde kez, şifrelenmiş dosya üzerinde sağ tıklayın ve aşağıdaki resimde gösterildiği gibi önceki sürümleri seçin.

Eğer Önceki sürümlerinde tıkladığınızda şifreli dosyanın tüm sürümlerini gösteren bir ekran ile sunulacak.

Geri yüklemek istediğiniz dosyanın sürümünü seçin ve üzerine tıklayın Restore bu dosyayı geri yüklemek için düğmesini.
Geri birçok klasör var ise ne yazık ki yukarıda özetlenen süreç çok zaman alıcı olabilir. Şifrelenmiş dosyaların bütün bir klasörü geri yüklemek için, bulunduğunuz dropbox-geri python komut dosyası kullanabilirsiniz burada . Bu komut komut dosyasını çalıştırmak için şifreli bilgisayarda yüklü olması Python gerektiğini unutmayın. Bu komut dosyasını kullanmak için nasıl talimatlar bulunabilir README.md bu proje için dosyaya.

CryptoLocker tarafından şifrelenmiş dosyaları bulmak için nasıl
Şifreli mümkün olmuştur dosyaların bir listesini oluşturmak için kullanabileceğiniz üç yöntem bulunmamaktadır. Bu yöntemlerin her biri, aşağıda özetlenmiştir.
Yöntem 1: ListCriLock
Eğer şifrelenmiş dosyaların bir listesini oluşturmak için isterseniz, benim yarattığım bu aracı indirebilirsiniz:

http://download.bleepingcomputer.com/grinler/ListCrilock.exe
​

Bu aracı çalıştırdığınızda o HKCU \ Software \ CryptoLocker \ Files veya HKCU \ Software \ CryptoLocker_0388 \ Files anahtarı altında bulunan tüm şifreli dosyaların bir listesini içeren bir günlük dosyası oluşturur. Bu tamamlandıktan sonra otomatik olarak Not Defteri'nde bu günlüğü açılacaktır.

Yöntem 2: Windows PowerShell
Başka bir yöntem, Windows PowerShell (teşekkürler kullanmaktır prsgroup ):
PowerShell ile sistemleri için, aşağıdaki komutu kullanarak CryptoLocker kayıt defteri anahtarı dosyaların listesini dökümü:

.. (Get-Ürün HKCU: \ Software \ CryptoLocker \ Files) GetValueNames () (, "\", "?") Değiştirin | Out-File CryptoLockerFiles.txt-Kodlama unicode
​

Unicode karakterleri ile dosya adları korunur sağlamak için "-Kodlama unicode" parametresini eklemek emin olun.

Yöntem 3: Omnispear en CryptoLocker Tarama Aracı
Sen kullanabilirsiniz CryptoLocker Tarama Aracı bilgisayarınızda bulunan şifreli dosyaları ve liste arama Omnispear dan. Bu program normalde bu dosyanın uzantısı dayalı bir dosyada bulunan bazı dosya tanımlayıcıları için bakacağız. File identifier yoksa bu dosya şifreli veya bozuk olduğunu işaret eder.

Bilgisayarınız bir ağa üzerinde CryptoLocker ile enfekte olduğu nasıl belirlenir
Büyük bir ağda, CryptoLocker bulaşmış bilgisayarı belirlenmesi zor olabilir. Bazı virüslü kullanıcılar şifrelenmiş dosyaları kendi mülkiyeti CryptoLocker programı altında çalışan kullanıcıya değişmiş olacak gazeteci var. Daha sonra virüslü bilgisayarı belirlemek için bu oturum açma adını kullanabilirsiniz.
Ayrıca ağ anahtarları incelemek ve sürekli yanıp sönüyor ışıklar var ya da çok ağır trafik göstermek limanları için bakabilirsiniz. Bunu daha sonra bilgisayarları enfekte olabilir ne daraltmak için kullanabilirsiniz.

CryptoLocker tarafından enfekte olma bilgisayarınıza önlemek için nasıl
Onların belirli yollara bulunan zaman çalışmasını yürütülebilir engellemek Yazılım Kısıtlama İlkeleri'ni oluşturmak için, Windows Grup veya yerel ilkesi Düzenleyicisi'ni kullanabilirsiniz. Yazılım Kısıtlama İlkeleri'ni nasıl yapılandırılacağı hakkında daha fazla bilgi için, MS bu makaleleri bakın:

http://support.microsoft.com/kb/310791
http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx
​

Bu enfeksiyon ve damlalık tarafından kullanılmış olan dosya yolları şunlardır:

C:. \ Users <User> \ AppData \ Local \ <random> exe (Vista/7/8) \
C:. \ Users <User> \ AppData \ Local \ <random> exe (Vista/7/8) \
C: \ Documents and Settings \ <User> \ Application Data \ <random> exe (XP).
C:. \ Documents and Settings \ <User> \ Local Application Data \ <random> exe (XP)
​

CryptoLocker ve Zbot enfeksiyonları engellemek için onlar çalıştırmak için izin verilmez böylece Yolu Kuralları oluşturmak istiyorum. Bu Yazılım Kısıtlama İlkeleri'ni oluşturmak için kullanabilirsiniz ya CryptoPrevent aracını veya politika eklemek elle . Her iki yöntem de, aşağıda tarif edilmiştir.

Nasıl CryptoPrevent Aracı kullanmak için:
FoolishIT LLC nezaketini otomatik olarak bilgisayarınıza aşağıda listelenen önerilen Yazılım Kısıtlama İlkesi Yolu Kurallar ekler CryptoPrevent adlı ücretsiz bir yardımcı program oluşturmak oldu. Bu çok kolay yukarıdaki Windows XP SP 2 ve kullanan herkes hızlı bir şekilde ilk etapta idam olmaktan CryptoLocker ve Zbot önlemek için bilgisayarınıza Yazılım Kısıtlama İlkeleri'ni eklemek için yapar.

CryptoPrevent yeni bir özelliği% AppData% veya% LocalAppData% herhangi bir mevcut programları beyaz listeye seçenektir. Bu yerine koymak kısıtlamalar zaten bilgisayarınızda yüklü olan meşru uygulamaları etkilemez emin olun gibi yararlı bir özelliktir. Bu özelliği kullanmak için etiketli seçeneği kontrol emin olun zaten% appdata% /%% localappdata bulunan Beyaz liste EXE'leri Eğer basmadan önce Blokdüğmesini.
Aşağıdaki sayfasından CryptoPrevent indirebilirsiniz:

http://www.foolishit.com/download/cryptoprevent/
​

Aracının nasıl kullanılacağı hakkında daha fazla bilgi için bu sayfaya bakın lütfen:

http://www.foolishit.com/vb6-projects/cryptoprevent/
​

Eğer programı çalıştırmak sonra, sadece tıklayın Blok bilgisayarınıza Yazılım Kısıtlama İlkeleri'ni eklemek için düğme. CryptoPrevent meşru uygulamaları çalıştıran sorunları neden olursa, o zaman lütfen bu bölümü belirli uygulamaları etkinleştirmek için nasıl. Ayrıca tıklayarak eklenmiştir Yazılım Kısıtlama İlkeleri'ni kaldırabilirsiniz Geri Al düğmesi.

Elle nasıl CryptoLocker engellemek için Yazılım Kısıtlama İlkeleri'ni oluşturmak için:
Elle Yazılım Kısıtlama İlkeleri'ni oluşturmak için, Yerel Güvenlik İlkesi Düzenleyicisi veya Grup İlkesi Düzenleyicisi içinde bunu yapmak gerekir.Eğer bir ev kullanıcı iseniz Yerel Güvenlik İlkesi düzenleyicisi kullanarak bu politikaları oluşturmanız gerekir. Bir etki üzerinde iseniz, o zaman etki alanı yöneticisi, Grup İlkesi Düzenleyicisi'ni kullanmalısınız. Yerel Güvenlik İlkesi düzenleyicisini açmak için tıklayın Başlat düğmesini ve yazın Yerel Güvenlik Politikası ve görünen arama sonucunu seçebilirsiniz. Yazarak Grup İlkesi Düzenleyicisi'ni açmak için Grup ilkesiyerine. Bu kılavuzda bizim örneklerde Yerel Güvenlik İlkesi Düzenleyicisi'ni kullanmak olacaktır.
Eğer Yerel Güvenlik İlkesi Düzenleyicisi'ni açtığınızda, aşağıda benzer bir ekran göreceksiniz.

Yukarıdaki ekran açıldıktan sonra, genişletin Güvenlik ayarları ve sonra tıklatın Yazılım Kısıtlama İlkeleri bölümünde. Eğer yukarıda gösterildiği gibi sağ bölmede öğeleri görmüyorsanız, yeni bir politika eklemek gerekir. Bu tıklama yapmak için Eylem düğmesini seçin veYeni Yazılım Kısıtlama İlkeleri'ni . Bu daha sonra politikasını sağlayacak ve sağ bölmede yukarıdaki resimdeki gibi görünecektir. Daha sonra üzerine tıklamanız gerekmektedir Ek Kurallar kategori ve ardından sağ bölmede sağ tıklatın ve seçin ... Yeni Yol Kuralı . Daha sonra aşağıda belirtilen maddelerin her biri için bir yol kuralı eklemek gerekir.
Meşru uygulamaları çalıştırmak çalışırken Yazılım Kısıtlama İlkeleri sorunlara neden olursa, görmelisiniz bu bölümü belirli uygulamaları etkinleştirmek için nasıl.
Aşağıda çalışmasını enfeksiyonları engellemek için değil sadece, aynı zamanda bir e-posta istemcisi açıldığında yürütülen ekleri kullanılmasını engellemek için önerilen birkaç Yol kuralları vardır.

Blok CryptoLocker yürütülebilir yılında% AppData%

Yol: % AppData% \ * exe.
Güvenlik Seviyesi: İzin verilmeyen
Açıklama: yürütülebilir% AppData% çalıştırmak izin vermeyin .
​

Blok CryptoLocker yürütülebilir yılında% LocalAppData%

Yol, Windows XP kullanıyorsanız: .% Userprofile% \ Local Settings \ * exe
Yolu, Windows Vista/7/8 kullanıyorsanız: .% LocalAppData% \ * exe
Güvenlik Seviyesi: Yasaklı
Açıklama: yürütülebilir% AppData% çalıştırmak izin vermeyin .
​

Blok Zbot yürütülebilir yılında% AppData%

Path: .% AppData% \ * \ * exe
Güvenlik Seviyesi: İzin verilmeyen
Açıklama: yürütülebilir% AppData% hemen alt klasörlerinden çalışmasına izin vermeyin.
​

Blok Zbot yürütülebilir yılında% LocalAppData%

Yol, Windows XP kullanıyorsanız: .% Userprofile% \ Local Settings \ * \ * exe
Yolu, Windows Vista/7/8 kullanıyorsanız: .% LocalAppData% \ * \ * exe
Güvenlik Seviyesi: Yasaklı
Açıklama: yürütülebilir çalışmasına izin vermeyin % AppData% hemen alt klasörler.
​

Blok yürütülebilir WinRAR ile açılan arşiv ekleri çalıştırın:

Yol, Windows XP kullanıyorsanız: .% Userprofile% \ Local Settings \ Temp \ Rar * \ * exe
Yolu, Windows Vista/7/8 kullanıyorsanız: .% LocalAppData% \ Temp \ Rar * \ * exe
Güvenlik Seviyesi: Yasaklı
Açıklama: Blok yürütülebilir WinRAR ile açılmış arşiv ekleri çalıştırın.
​

Blok yürütülebilir 7zip ile açılabilir arşiv ekleri çalıştırın:

Yol, Windows XP kullanıyorsanız: .% Userprofile% \ Local Settings \ Temp \ 7z * \ * exe
Yolu, Windows Vista/7/8 kullanarak: .% LocalAppData% \ Temp \ 7z * \ * exe
Güvenlik Seviyesi: Yasaklı
Açıklama: Blok yürütülebilir 7zip ile açılmış arşiv ekleri çalıştırın.
​

Blok yürütülebilir WinZip ile açılan arşiv ekleri çalıştırın:

Yol, Windows XP kullanıyorsanız: .% Userprofile% \ Local Settings \ Temp \ wz * \ * exe
Yolu, Windows Vista/7/8 kullanıyorsanız: .% LocalAppData% \ Temp \ wz * \ * exe
Güvenlik Seviyesi: Yasaklı
Açıklama: Blok yürütülebilir WinZip ile açılmış arşiv ekleri çalıştırın.
​

Arşiv ekleri çalıştırmak blok yürütülebilir yerleşik Zip desteği Windows kullanıyorsanız açıldı:

Yol, Windows XP kullanıyorsanız: ..% Userprofile% \ Local Settings \ Temp \ * zip \ * exe
Path, Windows Vista/7/8 kullanarak: ..% LocalAppData% \ Temp \ * zip \ * exe
Güvenlik Seviyesi: Yasaklı
Açıklama : arşiv ekleri çalıştırmak Blok yürütülebilir yerleşik Zip desteği Windows'u kullanarak açtı.
​

Sen engellenen bir yürütülebilir gösteren bir olay günlüğü girişi ve uyarı görebilirsiniz:

Bu yapılandırma yardıma ihtiyacınız olursa, sormaya çekinmeyin CryptoLocker yardım konusu .

Yazılım Kısıtlama İlkelerini kullanarak belirli uygulamaları çalıştırmak için izin nasıl
Eğer CryptoLocker engellemek için Yazılım Kısıtlama İlkeleri'ni veya CryptoPrevent kullanırsanız, bazı meşru uygulamalar artık çalıştırabilirsiniz bulabilirsiniz. Bazı şirketler yanlışlıkla yerine ait oldukları Program Files klasöründe daha kullanıcı profilinin altında kendi uygulamalarını yüklemek çünkü bu. Bu nedeniyle, Yazılım Kısıtlama İlkeleri çalışan bu uygulamaları önleyecektir.
Microsoft Yazılım Kısıtlama İlkeleri'ni tasarlanmış zaman Neyse ki, onlar o kadar bir program belirten Yol Kuralı geçersiz kılar engel olabilecek herhangi bir yol kurallarını çalışmasına izin verilir yaptı. Yazılım Kısıtlama İlkesi meşru bir programı engellediğini, bu nedenle, size kullanmanız gerekecektir manuel adımları programı çalıştırmak için izin veren bir yol kuralı eklemek için yukarıda verilen. Bunu yapmak için, belirli bir programın yürütülebilir Yol Kuralı oluşturmak ve Güvenlik Düzeyini ayarlamak gerekir Unrestricted yerine aşağıdaki resimde gösterildiği gibi izin verilmiyor.

Bu Sınırsız Yol Kuralları ekledikten sonra, belirtilen uygulamaları tekrar çalışmasına izin verilecektir.


Burdan okuyun google cevirici ama bir cok şeyi anlaya bilirsiniz ingilizcesi olanlar daha iyi anlayabilir.

CryptoLocker Timeline

6 Eylül 2013	CryptoLocker ilk rapor görünümü bizim forumun bir üyesi tarafından rapor edilmiştirCryptolocker Hijack programını konu. Kullanıcı CryptoLocker adında bir açılır pencere raporlama ve nasıl kendi veri tüm dosyalar şifreli edildi. Diğer enfekte kullanıcıların konuyu bulmak mümkün olduğu gibi yeni raporlar hemen sel başladı.
9 Eylül 2013	Fabian Wosar Emsisoft CryptoLocker enfeksiyonu tersine mühendislik için ilk oldu. Onun analizi yayınlanmıştır kernelmode.info forumunda. Daha resmi yazma ileriki blog post Emsisoft blogunda yayınlanmıştır yeni ransomware varyant - CryptoLocker .
10 Eylül 2013	ListCrilock aracı tarafından yayımlanan BleepingComputer.com Sicil şifrelenmiş dosyaların bir listesini vermek için kullanılabilir olması.
12 Eylül 2013	CryptoLocker yürütülebilir engellemek için Yazılım Kısıtlama İlkeleri'ni kullanmak Öneri edildi yayınlanmıştır .
8 Ekim 2013	Zbot arasındaki bağlantı CryptoLocker için indirilen ediliyordu bildirdi .
10 Ekim 2013	BleepingComputer.com, büyük bir DNS büyütme konusu oldu DDOS saldırısı . Bu muhtemelen biz Zbot ve CryptoLocker arasındaki bağlantı hakkında ifşa edildi bilgilere nedeniyle oldu.
14 Ekim 2013	BleepingComputer.com bu CryptoLocker Ransomware Bilgi Kılavuzu ve bu enfeksiyon hakkında bilinen tüm bilgilerin bir derleme olması SSS yarattı.
18 Ekim 2013	CryptoLocker çeşitli AV satıcıları ve haber şirketlerinin enfeksiyon hakkında rapor başlatmak gibi ana haber olur.
18 Ekim 2013	İlk rapor CryptoLocker Komuta ve Kontrol sunucularının kendi ana sayfasında geliştiricilerin bir mesaj görüntülemek için başladı. Bu ana sayfa ekran görüntüsü bulunabilir burada .
18 Ekim 2013	Nicholas Shaw, CEO ve geliştiricisi Foolish BT , yayımlanan CryptoPrevent bir bilgisayarda gerekli Yazılım Kısıtlama İlkeleri'ni oluşturmak için program kullanımı kolay sağlar.
25 Ekim 2013	Omnispear yayımlanan CryptoLocker Tarama Aracı onlara uygun dosya tanımlayıcıları yoksa dosyaları için sabit diskleri tarar. Bir dosyanın uzantısına göre belirlenen uygun dosya olmadığı tespit edilirse, aracı mümkün şifreli olarak rapor edecektir.
29 Ekim 2013	CryptoLocker Command & Control sunucusu ana sayfa geliştirici mesajını değiştirdi. Yeni mesajın ekran görüntüsü bulunabilir burada .
1 Kasım 2013	CryptoLocker Şifre çözme Hizmet kötü amaçlı yazılım geliştiriciler tarafından serbest bırakıldı. Bu yeni şifre çözme hizmeti şifreli bir dosya upload ve 10 Bitcoins için bir şifre çözme anahtarı ve Decrypter satın almak için virüslü bir kullanıcı izin verdi.
4 Kasım 2013	CryptoLocker Şifre çözme Hizmet bir kullanıcı hala sürece ilk 72 saatlik süre içinde olduğu gibi kendi şifre çözme hizmeti satın almak için 2 Bitcoins ödeyebilirsiniz devlet güncellendi. Onlar 72 saat içinde fidye ödemek için başarısız olursa o zaman şifre çözme anahtarı ve Decrypter satın almak için 10 Bitcoins ödemek zorunda kalacak.
5 Kasım 2013	SurfRight adında yeni bir araç yayımladı CryptoGuard şüpheli dosya işlemleri için dosya sistemi (CryptoGuard HitmanPro.Alert tarafından yüklenen bir sürücü) izler. Şüpheli davranışı tespit edildiğinde, kötü amaçlı kod (yeniden adlandırma, silme, yazma iptal edilir) bloke edilir ve Uyarı kullanıcıya sunulur. Yani ransomware aktif bile, dosyalarınız zarar veremez.

Tehdit Sınıflandırma:

• Ransomware Programları ile ilgili bilgiler

Gelişmiş bilgi:

Görünüm CryptoLocker dosyaları.
Görünüm CryptoLocker Kayıt Bilgileri.
​

Bu düzeltme için gerekli araçlar:

Bir HijackThis Giriş olabilir Belirtileri:

O4 - HKCU \ .. Run: \ [<random>] C: \ Users \ <kullanıcı> \ AppData \ \ <random> \ <random> Roaming exe.
O4 - HKCU \ .. Run: \ [CryptoLocker] C: \ Users <User> \ AppData \ Roaming \ <random> \ exe.
O4 - HKCU \ .. \ RunOnce: [* CryptoLocker] C: \ Users <User> \ AppData \ Roaming \ <random> \ exe.​

Kılavuz Güncellemeleri:

10/15/13 - Başlangıç &#8203;&#8203;kılavuzu oluşturma
10/16/13 - fleshed yerli önceki sürümleri özelliği.
10/19/13 - Küçük güncellemeleri
10/20/13 - yeni bir araç CryptoPrevent de dahil olmak üzere daha fazla bilgi ile Güncelleme
10/22 / . 13 - CryptoPrevent, yeni yüklemek yollar, yeni kayıt defteri anahtarı yerle ve Komuta Kontrol Server mesajla güncellemeleri ile Güncelleme kılavuzu
10/23/13 -. ödeme adresleri Bitcoin bilinen yaklaşık Sabit% Temp% yol kuralları ve ekledi bilgileri
10 / 29/13 -. Güncelleme C2 mesajı
11/02/13 -. yeni CryptoLocker çözme sunucu ve nasıl enfeksiyon gölge kopyaları silmek çalışır hakkında bilgiler eklendi
çözme aracı hakkında daha fazla bilgi Eklendi ödediğiniz zaman aldığınız - 11/05/13 Fidye.
11/08/13 - Büyük güncelleme. Dropbox geri yükleme hakkında bilgi eklendi, exe gölge kopyaları, bu enfeksiyonun bir zaman çizelgesi ve ilgili araçları kaldırmak için kaçırmak, ve daha fazla önleme araçları ekledi.
11/21/13 - kullanılmakta olan yolları ve kayıt defteri anahtarları hakkında daha fazla bilgi eklendi. Ayrıca istenmeyen konuların bilinen listesi eklendi.​

---

İlişkili CryptoLocker Dosyalar:

% AppData% \ <random>. Exe
% AppData% \ <random> \ <random>. exe (Zbot)
% LocalAppData% \ <random>. exe
Yer Notlar Dosya:
% AppData% geçerli kullanıcıların Application Data klasörü gösterir. Varsayılan olarak, bu C: \ Documents and Windows 2000/XP için Settings \ <Akım user> \ Application Data. Windows Vista ve Windows 7 için C: \ Users <Akım user> \ AppData \ Roaming \.
% LocalAppData% mevcut kullanıcılar Yerel ayarlar Application Data klasörü belirtir. Varsayılan olarak, bu C: \ Documents and Windows 2000/XP için Settings \ <Akım user> \ Local Settings \ Application Data. Windows Vista, Windows 7 ve Windows 8 için C: \ Users <Akım user> \ AppData \ Local \.
​

Ilişkili CryptoLocker Windows Kayıt Bilgileri:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "CryptoLocker"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "CryptoLocker_ <version>"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce "* CryptoLocker"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "<random>"
​

Kaynak

 

[Nemre]

Cevap diye buna derim ben

 

[IThelp]

Cevap diye buna derim ben

Bu kadar yazıyı Türkçe cevirmeye zamanım yok buyurun cözüm bulun ama cözümü bende var bu yeni bir olayda değil forumu araştırsanız bennzeri virüsler var cözümleride oradan buyur cözümü siz bulun hazır cevaplarınız var gır gıra almakdan başka foruma başka bir katkı sağlamıyorusunuz madem cevap gülünecek durumda ise neden siz cevap vermediniz Türkiyede ki forumlara bakın bu virüs ile hangisi konu acmış ve cözüm sunmuş biliyorsan cözüm öğreteceksin bilmiyorsan susacaksın az olsada yardıma koşan birine de dalga gecmeyeceksin.

 

[honline]

Bu yazıyı okuyana kadar format atarım daha iyi

 

[IThelp]

Buyrun arkadaşlar Bu virüsle başı belada olan arkadaşlar bilgisayarını internet bağlantısından tamamen kesip aşağıdaki yazılımı indirerek Güvenli mod bilgisayarınızı acarak tarata bilirsiniz program virsü bulur coğunu siler bazı dosyalar şifreleridir onların yolunu size gösterir siz onları el ile sileceksiniz.

Burdan indir


[video=youtube;Gz2kmmsMpMI]http://www.youtube.com/watch?feature=player_embedded&amp;v=Gz2kmmsMpMI[/video]

- - - Mesaj Güncellendi - - -

Bu yazıyı okuyana kadar format atarım daha iyi

Kaç defa format atacaksın? bence önce sen yazıyı oku

 

[azen63]

Buyrun arkadaşlar Bu virüsle başı belada olan arkadaşlar bilgisayarını internet bağlantısından tamamen kesip aşağıdaki yazılımı indirerek Güvenli mod bilgisayarınızı acarak tarata bilirsiniz program virsü bulur coğunu siler bazı dosyalar şifreleridir onların yolunu size gösterir siz onları el ile sileceksiniz.

Burdan indir


[video=youtube;Gz2kmmsMpMI]http://www.youtube.com/watch?feature=player_embedded&amp;v=Gz2kmmsMpMI[/video]

- - - Mesaj Güncellendi - - -




Kaç defa format atacaksın? bence önce sen yazıyı oku

eline sağlık birader ... kim ne derse dersin çok iyi bir iş yapıyorsun..
gençlerede kızma biraz gırgırda olmalı ama seviyeyi aşmadan.

 

[SDN Okuru]

demekkı turkıyede ılk benımnası kaldırcamm fornat atsam gıdermı

 

[SDN Okuru]

Malware Fix Türkiyede virüs temizliği konusunda tek uzman sitedir. Çünkü orada olgun52 var. Zamanında benim bir çok sorunumu çözmüştü. Allah kendisinden razı olsun. Her türlü virüsü bulurlar ve silebilirler.

 

[SDN Okuru]

Virüsü buldum ve temizledim Malwarebytes programıyla ama yinede dosyalarımın hepsi şifreli 8 Format atıp bütün bilgileri silmekten başka bir seçenek bırakmıyor bana, Bu virüsü çıkaranı Allah kahretsin nerden nasıl para çalacaklarını şaşırdılar artık

 

[SDN Okuru]

format atmadıysanız size bi yöntem söyleyebilirim ben bu şekilde kurtardım

 

[SDN Okuru]

yöntem nedir acaba ?

 

[SDN Okuru]

yöntem nedir acaba acıklarmısınız hocam hıc degılse başkalarıda yararlanır

 

[SDN Okuru]

hani cevap.!'!

 

[SDN Okuru]

3 senelik tüm dosyarım şifreli açılmaiyor bir yöntem varsa allah rızası için söyleyın ben bilgisayardanda çok anlamiyorum ama çok bilgisayarcı getırdım yapamadılar lütfen yardım

 

[Zaur101]

Cryptowall durdurmak için kolaydır. Fidyeyi ödeme yapmayın

 

[Akut]

Arkadaşlar şifreyi çözemiyorum, bu hususda yardım edebilecek arkadaşlarımız var mı ?

 

[mayycryy]

Çok insafsızmış bu virüs

 

[Seyhoo]

Arkadaşlar şifreyi çözemiyorum, bu hususda yardım edebilecek arkadaşlarımız var mı ?

Geri yükleme noktası silindiyse verilerini unut o bitte şifrelenen dosyalarını geri alamazsın.

 

[Akut]

Peki. Yine de teşekkür ederim

 

[honline]

Bu virüs bulaşmış iki makina gelmişti bana, içinde önemli veri yoktu formatlamıştım.

 

[Mithat Bingöl]

Bir arkadaşımın tavsiyesiyle 0850 532 23 33 nolu telefonu aradım. M.T bana sorunlu 3 dosya göndermemi istedi. Gönderdim. Kısa bir süre sonra dönüş yaptılar. 1-2 saate tüm bilgisayarımı taratıp bu sıkıntıdan kurtardılar. Bence arayıp şansınızı deneyin derim. arama süreciyle yorulmak istemiyorsanız bana verdikleri mail adresi info[at]teknosor.com.tr buraya 3 dosyanızı mail atın

 

[__kadıköyRAP__]

Bu virüsler genelde dosya uzantısına bakıp encrypt yapıyor. Okul bilgisayarında belki başımıza gelir diye (sonuçta işten anlamayan müdür yardımcıları kullanıyor) önemli dosyaları arşivledim bi RAR dosyasında, uzantısını da sildim virüs bu dosyayı es geçsin diye, tahminimde haklı çıktım tüm belgeler şifrelenmişti ama o dosyaya dokunulmamıştı, RAR uzantısı ekleyip yedekten geri aldım dosyaları.

 

[Ben Kenobi]

Bana da bu virüs uğradı dün, bugünlerde bir salgın mı var acaba ?
Ben de harici hard diske yedeklediğim verileri kurtarabildim, şu an firefox harici program çalışmamakta, en kısa sürede format şart oldu.

 

[robb stark]

Geçenlerde bir yazı okumuştum bitdefender antivirüs fidye virüsüne karşı bilgisayarı korumayı başarıyormuş. Dosyaları önceden şifreliyor, böylelikle fidye virüsü bu şifrelenmiş diyerek sizi es geçiyor. Denemek lazım.

 

[MuhammedSC]

Benim PC'yede bu tarz bir virüs girmişti. Masaüstü geleceği yerde İstanbul Emniyet Müdürlüğü falan yazıyordu. 3 Gün içinde 200Euro bankaya yatırırsam açılacaktı pc. Küçükken korkudan kabloları falan kesmiştim ailem görmesin diye . Formattan sonra düzelmişti.

 

[MuhammedSC]

Benim PC'yede bu tarz bir virüs girmişti. Masaüstü geleceği yerde İstanbul Emniyet Müdürlüğü falan yazıyordu. 3 Gün içinde 200Euro bankaya yatırırsam açılacaktı pc. Küçükken korkudan kabloları falan kesmiştim ailem görmesin diye . Formattan sonra düzelmişti.

 

[Seyhoo]

Benim PC'yede bu tarz bir virüs girmişti. Masaüstü geleceği yerde İstanbul Emniyet Müdürlüğü falan yazıyordu. 3 Gün içinde 200Euro bankaya yatırırsam açılacaktı pc. Küçükken korkudan kabloları falan kesmiştim ailem görmesin diye . Formattan sonra düzelmişti.

Seninki LockScreen veya WinLock

 

[mtiske]

Fidye isteyen .toebwlecsy uzantısı ile dosyalarım şifrelendi ve isimleri değişti
Win 10 prof kullanıyorum
PC sistemi 6 ay önceki ayarlara cevirdim
Virüsü temizledim ama dosyaları kurtaramadım,
Nette aramadığım ve denemediğim yontem nerdeyse kalmadı
Klasörlere bırakılan txt dosyasında GANDCRAB V5.1 başlığı var
çözüm konusunda yardımcı olabilen var mı?