Fidye virüsü .ccc .vvv Çözümü Resimli Anlatım

[Admin]

Öncelikle 3 tane kaynak sitemiz var meraklısı buralarada göz atmalı

http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

https://github.com/Googulator/

http://vvv-virusu.com/vvv-uzantili-dosyalari-kurtarma/

Türkçe olduğu için olayın mantığını sırasını bu 3. linkten takip edebilirsiniz. resimli anlatım da var  ben size adım adım püf noktasını anlatacağım

1. 64bit python kuralım : https://www.python.org/downloads/release/python-2711/        


Windows x86-64 MSI installer D ye kurmakta fayda var yönetici hakları vs uğraşmazsınız.

Daha sonra gelen ekranda Python yazısının hemen solundaki butonu tıklayarak "Entire feature will be installed on local hard drive" seçip "Next" butonu ile ilerleyerek kurulum işlemini tamamlayın.



python un işimize yaraması için birkaç modül kurulması lazım. ama önce şunu bir indirip kuralım : https://www.microsoft.com/en-us/download/details.aspx?id=44266

ardından python kurulu dizinimizde boş bir alana shift tuşu ile beraber sağ tıklayıp komut penceresini burada aç deyip bir cmd komut istemi açalım ve sırasıyla şu kodları yazalım. (eğer c ye kurulum yaparsanız cmd yi yönetici olarak çalıştırmanız gerekir)

Kod Seç Genişlet

python -c "import urllib2; print urllib2.urlopen('https://bootstrap.pypa.io/ez_setup.py').read()" | python

easy_install pip

pip install pycryptodome

pip install ecdsa

2.Python kurulumunu tamamladıktan sonra https://github.com/Googulator/ adresine giderek  TeslaCraak  şifre çözme aracını (Decryptor for the TeslaCrypt malware)  sağ taraftaki "Download ZIP" butonu ile indiriyoruz.



3. bu indirdiğinizi de D de bir klasöre çıkartın.

Bu dizine vvv uzantısı ile şifrelenmiş dosyalarınızdan birini kopyalayın. Ben 1.JPG.vvv isimli virüs tarafından şifrelenmiş dosyamı ilgili dizine kopyaladım.

Eğer örnek dosyanız pdf değilse, örneğin jpg ise; unfactor.py dosyasını not defteri ile açarak aşağıdaki PDF yazan yeri JPG yapmalısınız. Ama kurulu konfigürasyonu değiştirmemek için PDF dosya kullanmanız iyi olur.


4. şifreli dosyalarımıza özel privatekey leri üretmek için sitede python modülü kullanılmış ama ben size daha pratik olanı göstereceğim.
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip i indirip içindeki teslaviewer programını çalıştırıyorum
burada bize lazım olan privatekeyfile ın hex değeri ve dec  yani desimal değeri:



hex değeri bizim 1. şifremiz oluyor.  dec değeri ise faktöriyellerine ayırmamız gereken kısım (ki asıl iş bu faktöriyelleri doğru bulmak.

5. faktöriyel ayıklama işi için YAFU kullanacağız ama öncesinde denemeye değer bir yöntem var : http://factordb.com/ bu  sitenin veri tabanında sizin şifreniz halihazırda ayıklanmış olabilir.
eğer şanslıysanız sonuç FF çıkar ve sayıları alarak hiç beklemeden devam edersiniz.  bu arada hemen söyleyeyim resimdeki 3^3  bizim için 3 3 3  demek 2.anahtarı oluştururken bize bu hali lazım olacak


bu kadar şanşlı değilseniz yafu ile faktöriyel atıklamak zorundasınız. bazen 2dk bazen 2saat bazen günler sürebiliyor.
neyseki yafunun güncel ve zahmetsiz hali çıktı : http://download.bleepingcomputer.com/td/yafu.zip indirip d ye çıkartabiliriz.

yafu bizden ilk şifremizin decimal halini isteyecek  factordb.com gibi ben şanslıyım ki sadece 25sn sürdü :) bir arkadaş için dün gece 3buçuk saatte çözdü. bu şans.   1.adımda işlemci optimizasyonu yapıyoruz 2. adımda kullanmak istediğimiz çekirdek sayısını belirliyoruz. (4 çekirdekli işlemci için 4 seçerseniz ilemci 100de100 çalışır ve bilgisayarınız biraz kasar 3 yaparsanız bilgisayarınızı bir tarafatan kullanmaya devam edebilirizsiniz diye düşünüyorum. siz bilirsiniz)
3.adım ilk şifremizin decimal hali. 4.adımda cmd açılıp faktöriyel ayıklama başlayacak / bol şans :)



alt alta olan bu faktöriyelleri yanyana düzgün bişekilde yazmak için word ü kullanıyorum (not defteri kullanırsanız hata yapma olasılığı yüksek enter ve boşlukları karışıyor çünkü


6. bu adımda 2. şifremizi oluşturacağız.
bunu oluştururken iki python modülünden birini kullanacağız sitede anlatılan unfactor.py ama benim işime yarayan unfactor_ecdsa.py.
artık ilk kurduğumuz python da çalışma vakti. komutumuz şöyle :
" python unfactor.py AAAA BBBB " .  AAAA yerine ilgili dizine kopyaladığımız dosya ismini, BBBB yerine yukarıdaki asal sayıları aralarında birer boşluk olacak şekilde koyuyoruz. benim kullandığım komut :

Kod Seç Genişlet

python unfactor_ecdsa.py 1.JPG.vvv 3 3 3 17 13331 385771 4579321421463626021 9312316907 5550641477397378469 1829887917270568379776829 7278223877449812185130260070202753223 182935806035209190203125038206777


sonuç olarak bana ürettiği 2. şifremiz : b'\xd1\x81\xae\x3a\x4d\x8e\xee\x0c\xd1\x84\xe5\x96\x6c\xe5\x91\xfb\xfd\x97\x9e\x1c\xd2\x2c\x1e\xe3\xbb\xd6\x58\x2b\x6e\x69\x95\xcb'

hatırlayın 1.sifremiz privatekeyfile ın hex değeri idi: 19FDEC71DB9F5EE363912ADDA90349F0F978FD3616BCAFD588189E2AB6874DA7DA4CB6BD85554CEF1F47EEA9A596FF4202F150CBD53281D99EDA7F4D7863AD73

7. şimdi dosya kurtarma zamanı:
öncelikle şifrelerimizi girelim : teslacraack.py dosyasını düzenleyeceğiz.  "known_keys" ile başlayan bölüme gidiyoruz. Burada hazır 3 tane anahtar ikilileri mevcut. Burayı aşağıdaki şekilde değiştirelim. size göstermek için oluşturduğum ilk şifre satırını silin tabi :) şifreleri uygun şekilde tırnakrın arasına yerleştirin.


kaydedip çıkın ve tesla-craack klasöründe bir cmd dosyası açın  ve resimdeki şu komutu girin.  python teslacraaack.py  (tek a olacak tabi :) )



herşey yolunda gitti ve 1.jpg dosyamızı kurtardık.

artık bütün bir diski kurtarabiliriz...  komut :  

python teslacraaaack.py  C:\
python teslacraacck.py    D:\        e:\   f:\    vb vb

geçmiş olsun...

çok soru sormamaya çalışın arkadaşlar muhtemelen eksik birşeyler yapıyorsunuzdur adımları düzgün şekilde tekrar tekrar deneyin. yine de buradayız...

kendi anladığım şekilde anlattım olmazsa birde kaynak sitelere bakın.

Kaynak: Bbnet