Soft2Secure

GandCrab 5.2 virüsü fidye yazılımı şifre çözücü ve silinmesi

GandCrab 5.2 virüsü fidye yazılımı şifre çözücü ve silinmesi

GandCrab 5.2 fidye yazılımının yeni versiyonun yayınlanması sebebiyle, yeni özelliklere ve şifrelenmiş dosyaların nasıl kurtarılabileceğine göz atın.

GandCrab 5.2 fidye yazılımı?

GrandCrab ikinci yılında kripto virüsleri kullanarak insanları sömürmeye devam ediyor. Kimileri bu durumun abartıldığını düşünse de, bu fidye yazılımının siber ortamda şantaj uygulayarak kurduğu saltanat asla göz ardı edilemez ve hiçbir şekilde hafife alınmamalıdır. Daha da fazlası, sürekli olarak kendisinin devamı niteliğinde yazılımlar ortaya çıkmaktadır. 5.1 versiyonunun ortaya çıkmasından bir ay sonra, GandCrab 5.2 piyasaya sürüldü ve görünüşe bakılırsa ortaya ilk çıkış amacından çok daha kötücül amaçlar doğrultusunda çalışmayı hedeflemektedir.

Bu son varyasyonun arkasında “yakalayabilirsen yakala” gibi bir davranış söz konusudur. Olayın detayları şöyledir: dünyanın önde gelen kötücül yazılım engelleme sağlayıcılarından biri olan Bitdefender Labs 2019 Şubat ayının ortalarında 1, 4 ve 5.1 versiyonlarını destekleyen otomatik bir şifre çözme aygıtı yayınladı. Bu aygıtın yayınlanması, yeni versiyonun bu kadar hızlı çıkarılmasının arkasındaki sebep olarak görülmektedir. Ve şimdi durum bu noktaya geldi – GrandCrab 5.2 hali hazırda piyasadadır ve şifresi yukarıda bahsi geçen şifre çözücü ile kırılamamaktadır.

Daha önceki versiyonlara benzer olarak, GandCrab 5.2 alarm eşliğinde korkutucu bir masaüstü duvar kağıdı kullanmaktadır

Açıkçası, mevcut varyasyonun arkasındaki fikir şifrelemeyi daha iyi hale getirmeyi amaçlamaktadır. Dolandırıcılar, iyi niyetli bilgisayar korsanlarının kripto mekanizmasında hangi hatayı açığa çıkardığını buldular ve bu hatayı gidererek iğrenç rutinlerine geri dönmeyi amaçlamaktadırlar. Ne yazık ki, çabaları işe yaramıştır ve mağdur olan kişiler değerli verilerini geri alabilmek için suçlularla pazarlık yapmak zorunda kalmaktadırlar. Bunun yanı sıra, saldırı dışarıdan bakıldığında aynı görünmektedir. Buzdağının görünen ucunda, fidye yazılımı kullanıcının tercih ettiği duvar kağıdı yerine kendi duvar kağıdını görüntülemektedir. Bu görselde, “GandCrab 5.2 tarafından şifrelenmiştir” uyarısı yer almaktadır ve her zamanki gibi, “Dosyalarınız yazılımımızın güçlü koruması altındadır. Dosyalarınızı geri almak için şifre çözücüyü satın almanız gerekmektedir” yazısı görüntülenmektedir. Genel olarak bakıldığında, içerik metninde herhangi bir değişiklik yoktur.

Mağdur olan kullanıcıya, [RANDOM]-MANUAL.txt adlı dosyayı açması talimatı verilir, bu dosya tüm şifrelenmiş klasörlerde yer aldığı için bulması oldukça kolaydır. Bu fidye notu masaüstünde yer alan uyarı metni ile benzerdir, fakat içerisinde bir talimatname yer almaktadır ve mağdur kişiye Tor Tarayıcısını kullanarak kişisel şifre çözücü sayfalarını ziyaret etmelerini bildirmektedir. Bu kötü niyetli kişiler kurtarma işleminin işe yaradığını kanıtlamak için tek bir dosya için ücretsiz şifre çözücü sunacak kadar “eli açıktır”. Ne yazık ki bu durum ancak küçük bir avuntudan ibarettir. Dolandırıcıların .onion uzantılı ödeme sayfası ziyaretçilere 1.200$ değerinde Dash veya Bitcoin ödemesi yaparak şifre çözücü yazılıma sahip olacaklarını belirtmektedir. Genellikle bir hafta süren bir zaman sınırlaması vardır, bu zaman sonrasında tutar iki katına yükselmektedir.

İlaveten, GandCrab 5.2 distribüsyon mantığını da baştan aşağı değiştirmiştir. Yaygın zararlı bulaşma yollarından, yazılım şifre kırma tuzakları veya şifre avcılığı yerine, hackerlar RDP yöntemini kullanmaktadırlar. İnternet genelinde tarama çözümleri kullanarak uzaktan kontrollü masaüstü hizmetlerini içeren açık portları hedef almaktadırlar. Bu teknikle zayıf bir Windows bilgisayarını hedef alarak fidye yazılım dosyalarını (rlxbp.exe veya benzeri) indirmekte ve hiçbir şüphe uyandırmadan çalıştırmaktadırlar.

GandCrab 5.2 çalışırken

Bir kez çalıştırıldığında, zararlı program öncelikle bulaştığı sunucuda devasa bir veri araması gerçekleştirir. Tarama işlemi kullanıcının tüm dosyalarını popüler formatları içeren gömülü kodla hazırlanmış veri tabanı ile karşılaştırır. Böylece, GandCrab 5.2 mağdur kişinin kişisel verileri başarılı bir şekilde bulur. Daha sonra, zararlı yazılım RSA ve AES kripto sistemlerinin kombinasyonu ile tüm belirlenen öğeleri şifreler. Şifrelenen dosyaların dış görünümü de değişir. Her birinin orijinal dosya ismine rastgele görünüme sahip uzantılar eklenir. Bu uzantılar mağdur kişiye özeldir ve 4 ila 10 karakter içermektedirler. Örneğin, PieChart.xlsx adlı bir doküman PieChart.xlsx.lbqxi adında bir dosyaya dönüşür. Bu arada, uzantılar fidye notunun adının ilk kısmıyla eşleşir, bu durumda dosya adı LBQXI-MANUAL.txt olacaktır.

İşte GandCrab 5.2 saldırı zinciri bu şekildedir. Yukarıda belirtildiği üzere, mağdur kişi dosyalarını geri almak için ücretsiz şifre çözücüye güvenemez. Bu şarlar altında, iki seçenek bulunmaktadır. Birincisi, suçlulara istedikleri parayı vermek ve sözlerini yerine getirmelerini ummaktır. Diğer seçenek ise, aşağıdaki adımları izlemek ve farklı alternatif metotları kullanarak verileri geri kazanmayı denemektir. Seçim sizindir, fakat ikinci seçenek kesinlikle denemeye değer.

Otomatik GandCrab 5.2 temizleme

GandCrab 5.2 fidye yazılımının imhası güvenilir güvenlik yazılımları ile etkin bir şekilde başarılabilir. Otomatik temizleme tekniklerine bağlı kalmak virüsün tüm elementlerinin sisteminizden iyice temizlenmesini garanti altına alır.

1. Tavsiye edilen güvenlik hizmetlerini indirin ve Start Computer Scan seçeneğini seçerek bilgisayarınızı zararlı objelere karşı tarayın.

GandCrab 5.2 temizleyiciyi indir

2. Bu tarama, tespit edilen öğelerin bir listesi ile önünüze gelecektir. Sisteminizden virüsü ve bağlantılı nesneleri bilgisayarınızdan kaldırmak için Fix Threats seçeneğine tıklayın. Temizliğin bu fazını tamamlamak büyük bir ihtimalle CriptoLocker’ın kökünü tamamen kazıma ile sonuçlanacaktır. Şimdi ise daha büyük bir meydan okuma ile karşı karşıyasınız – verilerinizi geri getirmeyi deneyin.

GandCrab 5.2 tarafından şifrelenen dosyaları geri getirme yöntemleri

Geçici Çözüm 1: Dosya kurtarma yazılımı kullanın

Şunu bilmekte fayda var, GandCrab 5.2, dosyalarınızın kopyalarını oluşturur ve bunları şifreler. Bu esnada orijinal dosyalar silinir. Piyasada silinen dosyaları geri alabilecek uygulamalar bulunmaktadır. Bu amaçla Data Recovery Pro gibi araçlar kullanabilirsiniz. Fidye yazılımının en son sürümünde güvenli siliş ve birkaç sefer üzerine yazma uygulaması üzerinde düşünülmektedir fakat yine de bu denemeye değer bir yöntemdir.

ParetoLogic Data Recovery’i İndir

Data Recovery Pro

Geçici Çözüm 2: Yedeklemeleri kullanın

İlk ve en önemli olarak bu, dosyalarınızı kurtarmanın en harika yolu. Fakat bu yalnızca, cihazınızdaki bilgileri yedekliyorsanız uygulayabileceğiniz bir yöntem. Durum bu ise ileri görüşünüzden fayda sağlamaktan çekinmeyin.

Geçici Çözüm 3: Gölge Kopya Servisi Kullanın

Eğer bilmiyorsanız diye, bilgisayarda Sistem Kurtarma etkinleştirilmiş olduğu sürece işletim sistemi bu Gölge Kopyaları her dosya için oluşturur. Belirli aralıklarla kurtarma noktaları oluşturulduğundan, dosyaların o andaki bellek kopyaları da oluşturulmuş olur. Unutmayın ki bu yöntem dosyalarınızın en son sürümünün kurtarılmasını garanti altına almamaktadır. Fakat yine de denemeye değerdir. Bu iş akışı iki şekilde yapılabilir: manuel ve otomatik çözümlerin kullanımı ile. İlk olarak manuel sürece bir göz atalım.

  • Önceki Sürümleri Kullan özelliği

    Windows İşletim Sistemi dosyaların bir önceki sürümüne alınması için yerleşik bir seçenek sunar. Bir dosya veya klasöre sağ tuşla tıklayın ve Özellikler’i seçerek Önceki Sürümler sekmesine tıklayın. Sürüm alanında dosyanın/klasörün ilgili zaman ve tarih göstergelerine göre yedeklenmiş kopyalarının bir listesini bulacaksınız. En son girdiyi seçin ve eğer objeyi geri yükleyebileceğiniz konumu seçmek istiyorsanız Kopyala butonuna tıklayın. Eğer Geri Yükle butonuna tıklarsanız obje orijinal konumuna geri yüklenecektir.
    Önceki Sürümler

  • ShadowExplorer aracını kullanın

    Bu iş akışı, dosya ve klasörlerin önceki sürümlerini elle geri getirmek yerine otomatik bir yöntemle geri getirmeye imkan tanır. Bunu yapmak için, ShadowExplorer uygulamasını indirin ve kurun. Çalıştırdıktan sonra sürücü adını ve dosya versiyonlarının oluşturulma tarihlerini seçin. İlgilendiğiniz dosya veya klasöre sağ tuşla tıklayın ve Dışa Aktar seçeneğini seçin. Artından tek yapmanız gereken verinin nereye geri alınacağını seçmek.
    ShadowExplorer

GandCrab 5.2 fidye yazılımı virüsünün tamamen kaldırıldığını doğrulayın

Tekrar ediyoruz, yalnızca GandCrab’ın kaldırılması, kişisel dosyalarınız üzerindeki şifrenin çözülmesine yol açmaz. Yukarıda bahsedilen veri geri yükleme yöntemleri ise probleminizi çözebilir veya çözemeyebilir fakat fidye yazılımı kesinlikle bilgisayarınıza ait bir dosya değildir. Aklıma gelmişken, bu virüs genelde diğer kötü amaçlı yazılımlarla birlikte geldiğinden, sistemi tekrar tekrar otomatik güvenlik yazılımlarıyla taramak ve bu virüse ait hiçbir kalıntı veya Windows Registry içerisinde veya herhangi başka bir konumda bağlantılı tehdit kalmadığından emin olmak bu sebeple önemlidir.

GandCrab 5.2 virüs Tarayıcısı ve Temizleyicisini İndir