Bilgisayara ".nesa" uzantılı fidye virüsü bulaştı!

radyoaktif
25-09-2019, 03:08   |  #1  
OP Yıllanmış Üye
Teşekkür Sayısı: 2
234 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

Arkadaşlar iyi günler. Arşivci bir insan olarak bir süredir sadece haberlerde denk geldiğim ve "acaba benim başıma gelse ne yaparım" dediğim günümüzün baş belası fidye virüslerinden biri bugün sistemime bulaştı. Kasamda Windows'un kurulu olduğu tek bölümlük 256GB internal olarak çalışan bir SSD diskim ve 20 yıllık arşivimin (fotoğraf, video, film, program vs) olduğu 4TB external diskim mevcut. SSD'ye format atarım da 4TB'lık arşiv diskimin tam 3TB'ı dolu ve bundaki arşivim benim hayatım. Son zamanlarda bu fidye virüslerinin de çözüldüğüne dair haberlere denk gelsem de ben bana bulaşan ".nesa" uzantılı bu illet virüsü çözemedim. Kaspersky, AVG, antimalware ve sistem geri yükleme vs derken hiç birinin işe yaramadığını gördüm. Son çare konuyu sanal aleme taşımak ve yardım gelmesini beklemek diyerek buraya açıyorum, belki başına gelip çözmüş yada bana bir tavsiyesi olan birisi çıkar da bu dertten beni kurtarır. Birden fazla fidye virüsü mevcut ama bana en laneti denk geldi herhalde zira hakkında nette işe yarar hiç bir çözüm yolu bulamadım.


Örnek filmler klasörümdeki bir filmin bilgileri bu şekilde.


 


Ve her klasör içerisinde bulunan, bu fidye virüsünü yazan kişilerce benden ödeme yapmamı isteyen ve bilgi mesajı içeren "_readme" metin belgesi içeriği bu şekilde.


cleverman
25-09-2019, 05:34   |  #2  
cleverman avatarı
Yıllanmış Üye
Teşekkür Sayısı: 30
2,522 mesaj
Kayıt Tarihi:Kayıt: Tem 2010

 

https://geeksadvice.com/remove-nesa-ransomware-virus/

radyoaktif
25-09-2019, 19:00   |  #3  
OP Yıllanmış Üye
Teşekkür Sayısı: 2
234 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

Bilgi için teşekkürler arkadaşlar. Tam 12 saattir aralıksız bu.nesauzantılıRansonwarezararlısının çözümünün olup olmadığını araştırdım ama sizin de belirttiğiniz gibi nafile. Temizleme ihtimali olan, denk geldiğim tüm tool'ları kullandım ama bana mısın demedi. Sırf meraktan sistemi Linux USB üzerinden boot edip dosyalara bir bakayım dedim ve durum gene aynı. 

RSA-2048 algoritması ile kriptolanan bir dosyayı ancak süper bilgisayarım olsa çözümlemeyi denerdim zira mevcut bilgisayarlar ile bu işleme kalkışmak sanırım bi 50 yıl alır, o da yerse..

Kaspersky'nin bile bir kaynaktaRansomware'ler de kendini sürekli geliştiriyor, ".nesa" uzantısı üzerinde hala çalışıyoruzşeklinde açıklamasını görünce tüm umudum bitti. Bir gün böyle bir şeyin başıma gelebileceği ihtimali ile Allah'tan 4TB external diskimdeki yedekleri yıllar içinde pey der pey 3TB harici diskime yedekliyordum. Yani verilerimin %80'i 3TB'lık bu diskte, kalan %20'si de filmdi ve filmin bir önemi yok. 

Virüsün bilgisayara bulaştığını anladığım o an, bu 3TB harici diskimin de PC'ye takılı olmadığını görünce şükrettim, yoksa buna da bulaşacaktı.Bana bir şey olmaz, işim görülsün, Windows 10'un default virüs programı da yetermantığı ile hareket edip en azından deneme sürümü Kaspersky, AVG vs gibi bir virüs programı bile kurmadığım için bu soruna maruz kaldım, tamamen kendi sorumsuzluğum zira çok profesyonel olmasam da yazılım konusu hariç, donanım ve network üzerine iş icra ediyorum yani bilişim personeliyim. Ama terzi bu sefer kendi söküğünü dikemedi çünkü bu sorun sökük değil resmen yarık. Bu sorunu başıma açtığını düşündüğüm program da, hatırladığım kadarıyla CD-DVD Recovery konusunda internet üzerinden deneme amaçlı kaynağının sağlıklı olduğunu düşündüğüm bir siteden indirdiğim free bir kurtarma programıydı lakin uyku sersemi olduğum için adını hatırlamasam da simgesinde kedi fotoğrafı olduğunu hatırlıyorum. Neyse tipik seri bilişimci mantığında işimi bitirip biran önce uyumak düşüncesinde her zamanki dikkatsizliğim ve sorumsuzluğum ile .exe'yi aktif edince bir şeylerin ters gittiğini anladım ama bir ihtimal diyerek internet hattını kesip, pc'yi kapatmayı akıl edene kadar virüs çoktan sistemin ciğerlerine sirayet etmiş, iş işten geçmişti. 

Yani eğer 20 yıllık o anılarımın yedeği olmasaydı yada bu virüs sisteme bulaşırken 3TB harici diskim de sistemde aktif olsaydı yaşayacağım hezimet benim için intiharla eşdeğer olurdu zira giden geri gelmiyor, filmlerin, müziklerin, oyunların canı ceheneme de, yarın bir gün aileden diğer kuşaklara kadar aktarılmasını istediğim ve benim için manevi değeri çok yüksek olan özel anılar mevcut. O yüzden yıllardır düşünüpAman canım masrafa ne gerek var diyerek ertelediğim bulut depolama olayını artık ciddi ciddi düşünerek arşivimi upload etmem gerekiyor zira fiziksel disklerdeki bozulma riskinden çok, bu lanet virüsler düşündürüyor insanı. Ve umarım beyaz yakalılar, bu kan emici, vicdansız şerefsizlerin tasarladığı bu virüsü de biran önce etkisiz kılıp bertaraf edecek yöntemi bulurlar da benim aksime, arşivinin yedeği de olmayıp çaresizce bekleyiş içinde olan insanlar derin bir nefes alır. 

Eğer elimde başka bir bilgisayar olsaydı sırf meraktan, virüsün çözümü bulunana kadar bu bilgisayarı kenarda bekletip günü geldiğinde de çözüm yolunu denerdim ama şu an için başka bir masaüstü bilgisayarım yok ve işim bu kasa ile. Virüslü dosyaların bir örneğini alıp ileride tekrar uğraşmayı da düşündüm lakin şimdilik çözümü olmayan, olacağı da kesin olmayan ve beni bir hayli ürküten bu tümörden tek bir kanser hücresini dahi çantama koymak istemiyorum ki ileride tekrar nüksetmesin. Zira kasayı teknik masama bağladığımda, ağ üzerinden tüm binadaki domain ortamına da yayılır korkusundan internet soketini bile takmadım yoksa bunun sorumlusu ben olursam adamı resmen ipe götürür, hatta üzerindeki virüs bulaşan flash'ı bile Kaspersky yüklü şirket bilgisayarına, pc'deki tüm güvenlik önlemlerini had safhaya çıkartarak dualar eşliğinde korku ve panik halinde taktım, bu virüs adamı imana getirir, o derece yani :) Yedeğim olduğu için bu iş bana manidar bir uyarı oldu resmen. Artık sistemimde daha sağlam temeller ve tedbirler üzerine çalışacağım.

Son Düzenleme: radyoaktif ~ 25 Eylül 2019 19:15
gamerturkishyt
25-09-2019, 20:47   |  #4  
Taze Üye
Teşekkür Sayısı: 0
1 mesaj
Kayıt Tarihi:Kayıt: Eyl 2019

hey arkadaslar banada olmustu temmuzda dodoc dosya fidye virus diye

radyoaktif
29-09-2019, 15:05   |  #5  
OP Yıllanmış Üye
Teşekkür Sayısı: 2
234 mesaj
Kayıt Tarihi:Kayıt: Tem 2008

Evet arkadaşlar bu virüse ne yazık ki şu anlık bir çözüm yolu mümkün değil zira tüm çözüm yollarını tüketmiş durumdayım. Konuyu açtığım Çarşamba gününden Cumartesi gününe kadar tam 4 gün ofiste bu illete çare aradım ama muvaffak olamadım. Sonunda pes edip dün kasadaki tüm diskleri (256GB SSD, 500GB, 4TB) çaresizce biçimleyerek gece 23.00'a kadar kullandığım programları yükleyip konfigüre etmek ile uğraştım. Tabi bu sefer formattan hemen sonra kasaya 3TB harici diskimi takmadan Kaspersky Internet Security'yi kurarak bu işlemleri yaptım zira artık tedbir almamak abesle iştigal olurdu (her ne kadar Kaspersky, kopyalama esnasında her dosyaya uyarı vererek yedekleme işleminin ekstra uzamasına sebep olsa da gülü seven dikenine katlanır), sistem ve program güncellemelerini yaptım ardından kasayı eve getirdim. Hatta yedekleme esnasında virüsün, arşivlerimin derdinten sistemde takılı olduğunu bile unuttuğum Linux ve Windows Server yüklü olan 500GB diskime de bulaştığını görünce "işte şimdi bittim, virüs harici diske de bulaşacak" endişesiyle büyük bir korku yaşadım ama Allah'tan virüsün yayılma özelliği yok yoksa o an camdan atlardımO yüzden bu diski de anında biçimledim. Tabi beni bu diskte yüklü olan iki işletim sistemindeki konfigürasyonlar da ayrıca uğraştıracak ama benim için hayati öneme sahip olan yedeklerimin, 3TB harici diskimde hala sağlam bir şekilde var olduğunu düşündüğümde bunu hiç dert etmiyorum bile, müsait bir zamanda seve seve tekrar uğraşacağım.

Dün öğleden sonra başlattığım yedekleme işlemini ise ancak bugün bitirebildim. 3TB harici diskimdeki tam 3TB veriyi (ağzına kadar dolu çünkü), kasadaki external 4TB diskime sorunsuz bir şekilde kopyaladım. Tabi sistemdeki tüm diskleri formatladıktan sonra bile 3TB harici diskimi bu kasaya takıp çalıştırmaya gene de korktuğumu saklayamam ama korkunun ecele faydası yok, besmele çeke çeke çalıştırıp kopyalamayı başlattımKopyalama işlemi, arşivdeki dosya yapı ve sayılarına binaen tam 15 saat sürdü. Kopyalama bittiği an korkudan hemen 3TB harici diskin USB'sini ne olur ne olmaz diyerek kasadan söktümTabi şu konuya da değinirsek WD My Book 3TB harici diskin WD firması tarafından tasarlanan çok güçlü bir şifreleme algoritması mevcut ve disk, sisteme takılı olsa bile ben şifresini açmadığım sürece arkasındaki bölüm açığa çıkmıyor. Yani diskin şifresi girilip bölüm aktif edilmeden bu virüsün bölüm içerisine sirayet edebileceğini sanmıyorum ama denemeye gerek yok zira eğer girebiliyorsa şayet, bu virüsün tasarımcısının bulunup Microsoft tarafından, bu işten kazandığı paradan daha fazla bir maaş ile işe alınması gerekiyor!

Ayrıca bu ve bunun gibi lanet virüsleri, zararlıları tasarlayan şerefsizleri, beyinlerini, ama az ama çok doğru yoldan da para kazanacaklarını bilmelerine rağmen nefislerinin kölesi olduklarından dolayı şeytanın hizmetine verdikleri için beddualar eşliğinde ayakta alkışlamak gerek! Keşke tespit edilip idam edile bilseler, zira yaptıkları iş alenen insan öldürmek olmadığı için mantıklı tepkiler gösterilemiyor herhalde ama benim gözümde faili meçhul bir cinayetin kayıp katilleri bunlar ve bu şeytanlıklarını canları ile ödemeliler ki aynı işi yapmayı düşünen, aklından şeytanlık geçen diğer sivri zekalara ibreti alem olsun ve bu şeytanlığa cesaret bile edemesinler! İyiler ve kötüler kıyamete kadar var olacak elbet, bize düşen tedbirimizi almak. Kötülerin, yaptıkları şeytanlıklardan dolayı yaktıkları can'ların, aldıkları ah'ların karşılığı olarak cezalarını bu dünyada da misliyle çekmeleri dileğiyle. Hayat boyu her konuda tedbiri elden bırakmamanız ümidiyle herkese tedbirli ve iyi günler dilerim.

excel_mustafa
30-09-2019, 20:21   |  #6  
excel_mustafa avatarı
Genel Denetmen
Teşekkür Sayısı: 285
2,664 mesaj
Kayıt Tarihi:Kayıt: Nis 2012

adamlardaki yüzsüzlüğe bak 72 saat içinde ödersen yarı fiyatına diyor. cryptolanmış dosyayı kurtarmak şu an çok zor ve pahalı. verilerinizi mutlaka yedekleyin ister bulut, ister cd. eskiler deste deste cdler disketler biriktirirdi.

bunun gibi durumlar için decryptor programları yazılsa çok güzel olur. şu an böyle bir yazılım çıkarmak epey karlı olabilir. türk yazılımcı ve girişimciler bunu değerlendirmeli.

cleverman
16-10-2019, 05:46   |  #7  
cleverman avatarı
Yıllanmış Üye
Teşekkür Sayısı: 30
2,522 mesaj
Kayıt Tarihi:Kayıt: Tem 2010

Ücretsiz Comodo IS kullan!

Dünyadaki tek samimi güvenlik şirketi Comodo'dur.

Ve browser'ları, mail istemcisini daima containment içinde kullan! Tabii ki belirlediğin download klasörüne izin vererek.

Mail istemcisi olarak Thunderbird'ü tavsiye ederim. Thunderbird'te spam koruması olarak SpamAssasin'i seç!

Comodo Firewall'dan ise sadece kullandığın programların çıkışına izin ver, svchost'a ise gateway ve DNS konusunda izin ver!

Comodo Secure DNS'i mutlaka kullan!

Bir de Windows Drive için Restore Rx kullanırsan harika olur, Selçuk!

Diğer taraftan WSH'i ve CSH'i devredışı bırak!

Router Firewall ayarlarını da mutlaka yap!

Diğer taraftan 3TB'lık bulut depolamaya ihtiyacın yok. Verileri korumak için sürekli para ödemek zorunda kalırsın!

Örneğin 20 adet ücretsiz GDrive Hesabı ile 300GB alan sonsuza dek ücretsizdir.

Senkronizasyon programı olarak da Syncback'i tavsiye ederim...

Comodo'dan yapman gereken ayarlar:

[url=]https://www.chip.com.tr/blog/cleverman/comodo-is-tricks-13_9421.html[/url]

Taşınabilir disk temizliği ile ilgili de şu yazımı okumayı unutma:

[url=]https://www.chip.com.tr/blog/cleverman/3-wise-disk-cleaner-x-ve-zararli-temizligi_9544.html[/url]

Virüssüz, hack'siz, hız, zaman, efor, iş ve veri kayıpsız günler dilerim, Selçuk!..

Buket Hanım'a selamlar...