Fidye virusü .ccc .vvv çözüldü

Kodla Büyü

ademola

Süper Üye
Süper Üye
Mesajlar
2,088
öncelikle 3 tane kaynak sitemiz var meraklısı buralarada göz atmalı
http://www.bleepingcomputer.com/forums/ ... eslacrypt/
https://github.com/Googulator/
http://vvv-virusu.com/vvv-uzantili-dosyalari-kurtarma/

türkçe olduğu için olayın mantığını sırasını bu 3. linkten takip edebilirsiniz. resimli anlatım da var ben size adım adım püf noktasını anlatacağım

bu arada : .xxx .ttt .micro .m p3 için http://link.tl/Eb3X çözüm çıkmış deneyebilirsiniz, ccc vvv için aşağıdaki yöntem geçerli


videolu anlatım eklendi: Youtube


1. 64bit python kuralım : https://www.python.org/downloads/release/python-2711/ Windows x86-64 MSI installer
D ye kurmakta fayda var yönetici hakları vs uğraşmazsınız.
python_install_3.jpg

Daha sonra gelen ekranda Python yazısının hemen solundaki butonu tıklayarak “Entire feature will be installed on local hard drive” seçip “Next” butonu ile ilerleyerek kurulum işlemini tamamlayın.
python_install_4.jpg


python un işimize yaraması için birkaç modül kurulması lazım. ama önce şunu bir indirip kuralım : https://www.microsoft.com/en-us/downloa ... x?id=44266
ardından python kurulu dizinimizde boş bir alana shift tuşu ile beraber sağ tıklayıp komut penceresini burada aç deyip bir cmd komut istemi açalım ve sırasıyla şu kodları yazalım. (eğer c ye kurulum yaparsanız cmd yi yönetici olarak çalıştırmanız gerekir)

file.php

Kod:
python -c "import urllib2; print urllib2.urlopen('https://bootstrap.pypa.io/ez_setup.py').read()" | python

easy_install pip

pip install pycryptodome

pip install ecdsa

2.Python kurulumunu tamamladıktan sonra https://github.com/Googulator/ adresine giderek TeslaCraak şifre çözme aracını (Decryptor for the TeslaCrypt malware) sağ taraftaki “Download ZIP” butonu ile indiriyoruz.
file.php


3. bu indirdiğinizi de D de bir klasöre çıkartın.

Bu dizine vvv uzantısı ile şifrelenmiş dosyalarınızdan birini kopyalayın. Ben 1.JPG.vvv isimli virüs tarafından şifrelenmiş dosyamı ilgili dizine kopyaladım.

Eğer örnek dosyanız pdf değilse, örneğin jpg ise; unfactor.py dosyasını not defteri ile açarak aşağıdaki PDF yazan yeri JPG yapmalısınız. Ama kurulu konfigürasyonu değiştirmemek için PDF dosya kullanmanız iyi olur.
file.php


4. şifreli dosyalarımıza özel privatekey leri üretmek için sitede python modülü kullanılmış ama ben size daha pratik olanı göstereceğim.
http://download.bleepingcomputer.com/Bl ... ecoder.zip i indirip içindeki teslaviewer programını çalıştırıyorum
burada bize lazım olan privatekeyfile ın hex değeri ve dec yani desimal değeri:

file.php


hex değeri bizim 1. şifremiz oluyor. dec değeri ise faktöriyellerine ayırmamız gereken kısım (ki asıl iş bu faktöriyelleri doğru bulmak.

5. faktöriyel ayıklama işi için YAFU kullanacağız ama öncesinde denemeye değer bir yöntem var : http://factordb.com/ bu sitenin veri tabanında sizin şifreniz halihazırda ayıklanmış olabilir.
eğer şanslıysanız sonuç FF çıkar ve sayıları alarak hiç beklemeden devam edersiniz. bu arada hemen söyleyeyim resimdeki 3^3 bizim için 3 3 3 demek 2.anahtarı oluştururken bize bu hali lazım olacak
file.php


bu kadar şanşlı değilseniz yafu ile faktöriyel atıklamak zorundasınız. bazen 2dk bazen 2saat bazen günler sürebiliyor.
neyseki yafunun güncel ve zahmetsiz hali çıktı : http://download.bleepingcomputer.com/td/yafu.zip indirip d ye çıkartabiliriz.

yafu bizden ilk şifremizin decimal halini isteyecek factordb.com gibi ben şanslıyım ki sadece 25sn sürdü :) bir arkadaş için dün gece 3buçuk saatte çözdü. bu şans. 1.adımda işlemci optimizasyonu yapıyoruz 2. adımda kullanmak istediğimiz çekirdek sayısını belirliyoruz. (4 çekirdekli işlemci için 4 seçerseniz ilemci 100de100 çalışır ve bilgisayarınız biraz kasar 3 yaparsanız bilgisayarınızı bir tarafatan kullanmaya devam edebilirizsiniz diye düşünüyorum. siz bilirsiniz)
3.adım ilk şifremizin decimal hali. 4.adımda cmd açılıp faktöriyel ayıklama başlayacak / bol şans :)
file.php

file.php


alt alta olan bu faktöriyelleri yanyana düzgün bişekilde yazmak için word ü kullanıyorum (not defteri kullanırsanız hata yapma olasılığı yüksek enter ve boşlukları karışıyor çünkü
file.php


6. bu adımda 2. şifremizi oluşturacağız.
bunu oluştururken iki python modülünden birini kullanacağız sitede anlatılan unfactor.py ama benim işime yarayan unfactor_ecdsa.py.
artık ilk kurduğumuz python da çalışma vakti. komutumuz şöyle :
" python unfactor.py AAAA BBBB " . AAAA yerine ilgili dizine kopyaladığımız dosya ismini, BBBB yerine yukarıdaki asal sayıları aralarında birer boşluk olacak şekilde koyuyoruz. benim kullandığım komut :
Kod:
python unfactor_ecdsa.py 1.JPG.vvv 3 3 3 17 13331 385771 4579321421463626021 9312316907 5550641477397378469 1829887917270568379776829 7278223877449812185130260070202753223 182935806035209190203125038206777
file.php


sonuç olarak bana ürettiği 2. şifremiz : b'\xd1\x81\xae\x3a\x4d\x8e\xee\x0c\xd1\x84\xe5\x96\x6c\xe5\x91\xfb\xfd\x97\x9e\x1c\xd2\x2c\x1e\xe3\xbb\xd6\x58\x2b\x6e\x69\x95\xcb'

hatırlayın 1.sifremiz privatekeyfile ın hex değeri idi: 19FDEC71DB9F5EE363912ADDA90349F0F978FD3616BCAFD588189E2AB6874DA7DA4CB6BD85554CEF1F47EEA9A596FF4202F150CBD53281D99EDA7F4D7863AD73

7. şimdi dosya kurtarma zamanı:
öncelikle şifrelerimizi girelim : teslacraack.py dosyasını düzenleyeceğiz. “known_keys” ile başlayan bölüme gidiyoruz. Burada hazır 3 tane anahtar ikilileri mevcut. Burayı aşağıdaki şekilde değiştirelim. size göstermek için oluşturduğum ilk şifre satırını silin tabi :) şifreleri uygun şekilde tırnakrın arasına yerleştirin.
file.php


kaydedip çıkın ve tesla-craack klasöründe bir cmd dosyası açın ve resimdeki şu komutu girin. python teslacraaack.py (tek a olacak tabi :) )
file.php


herşey yolunda gitti ve 1.jpg dosyamızı kurtardık.

artık bütün bir diski kurtarabiliriz... komut :

python teslacraaaack.py C:\
python teslacraacck.py D:\ e:\ f:\ vb vb

geçmiş olsun...

çok soru sormamaya çalışın arkadaşlar muhtemelen eksik birşeyler yapıyorsunuzdur adımları düzgün şekilde tekrar tekrar deneyin. yine de buradayız...

kendi anladığım şekilde anlattım olmazsa birde kaynak sitelere bakın.
 

Ekli dosyalar

  • tesla.PNG
    tesla.PNG
    35.9 KB · Görüntüleme: 11,534
  • 2.png
    2.png
    52.3 KB · Görüntüleme: 11,532
  • 3.PNG
    3.PNG
    39.9 KB · Görüntüleme: 11,529
  • 4.PNG
    4.PNG
    37.5 KB · Görüntüleme: 11,528
  • 5.PNG
    5.PNG
    24.7 KB · Görüntüleme: 11,529
  • 6.PNG
    6.PNG
    25.6 KB · Görüntüleme: 11,527
  • 7.PNG
    7.PNG
    42.9 KB · Görüntüleme: 11,528
  • 8.PNG
    8.PNG
    18.7 KB · Görüntüleme: 11,527
  • 9.PNG
    9.PNG
    30.7 KB · Görüntüleme: 11,526
  • 10.PNG
    10.PNG
    26.8 KB · Görüntüleme: 11,526
Re: Ynt: Fidye virusü .ccc .vvv çözüldü

Öncelikle konuyu çözen arkadaşımıza ve daha kısa çözümleri caps ler ile paylaşan adem hocamıza teşekkürler.
Naçizane bir sorum var.
Windows sürümü olarak bitlocker içermeyen home basic gibi bir versiyon kullansak, gerçekçi bir tedbir olurmu?
 
hocam bitlocker media player gibi bir program. bitlocker olmasa bile başka bir program ile dosya şifrelemesi yapabiliriz. home basic e truecrypt kurup kullanabiliyorsanız virüs de kendi crypto programı ile şifreleme yapabilir.
 
Re: Ynt: Fidye virusü .ccc .vvv çözüldü

Cryptolocler virüsün den müzdarip olan kurbanlar, sadece e-mail ekleri ilemi mağdur oluyorlar acaba?
Bence İnternetten dosya download etmemek gerek.Tedbirli olmak iyidir.
 
adem hocam çok güzel bir iş çıkarmışsınız tebrikler. bu arada siirt sizi özledi bilginiz olsun :))
 
Re: Ynt: Fidye virusü .ccc .vvv çözüldü

COBOL' Alıntı:
Cryptolocler virüsün den müzdarip olan kurbanlar, sadece e-mail ekleri ilemi mağdur oluyorlar acaba?
Bence İnternetten dosya download etmemek gerek.Tedbirli olmak iyidir.

mehmetyayla' Alıntı:
Ayrıca bulaşma yöntemlerini de sıralamak gerekli ;
+ Çeşitli ekli mailler ( fatura, sipariş vs... )
+ Torrentlerden indirilen uygulamalar ( oyun, film, program vs... )
+ Hacklenen sitelere yerleştirilen çalıştırılabilir uygulamalar ( independient news blog, ammyy admin vs... )
+ Çeşitli online film,dizi,müzik indirilen izlenen platformlar
 
miqrop' Alıntı:
adem hocam çok güzel bir iş çıkarmışsınız tebrikler. bu arada siirt sizi özledi bilginiz olsun :))

siirt i değil de arkadaşları özledik tabi :) yalnız sizi tanıyamadım hocam :) ahmet ??
 
Ya hocam vallahi Allah razı olsun sizden sayenizde fotograf arşivimi kurtardım cok teşekkür ederim :mrgreen: :++: :alkis: :alkis:
 
Sizin dosyaya göre 385771'den sonra 9312316907 geliyor fakat programda 385771'den sonra 4579... geliyor. Ben de sizin gibi şanslıyım siteden sonuç geldi fakat sıralamayı neye göre belirliyoruz ?

L1Qr6z.png
 
Geri
Üst