TeslaCrypt ile şifrelenmiş dosyalar nasıl kurtarılır?

Geçen gün iyilik borcum olan bir ahbabım aradı, bilgisayarına virüs girdiğini ve temizleyip temizleyemeyeceğimi sordu. Bilgisayarını getirirse bir bakabileceğimi söyledim. Bilgisayarı incelediğimde ise olayın basit bir virus bulaşma olmadığını gördüm. Pc deki bütün resim, video, ofis belgeleri vs. şifrelenerek dosya uzantıları .vvv şeklinde değiştirilmişti ve hiçbir dosya açılmıyordu. Ayrıca bilgisayarın heryerinde “howto_restore_FILES” adında dosylar vardı. Dosyanın içinde özetle; Bilgisayardaki dosyaların RSA-4096 ile şifrelendiğini ve dosyaların kurtarılması için belirttikleri adrese para (bitcoin) gönderilmesi gerektiği yazıyordu. Biraz araştırma ile mevzuya sebep olan zamazingonun TeslaCrypt adlı, son zamanlarda oldukça popüler olan ve bir çok kişinin etkilendiği bir Cryptolocker versiyonu olduğunu öğrendim. Normalde bu gibi bir durumda kurtarma işlemiyle çok fazla uğraşmam fakat iyilik borcum olan biri olduğu için biraz uğraşmaya karar verdim ve dosyaları kurtaracak bir çözüm buldum. Şimdi size bu dosyaları nasıl kurtardığımı anlatacağım ama bu işlemleri yapabilmek için ortalamanın üstü bir bilgisayar kullanıcısı olmanız gerekiyor.

Öncelikle aşağıdaki iki programı indirmeniz gerekiyor
1-http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

2-http://download.bleepingcomputer.com/td/yafu.zip

İngilizcesi olan arkadaşlar 1. linkteki dosyanın içindeki “Instructions.html” dosyasındaki önergeleri takip ederek işlemi yapabilirler. Zaten benim birazdan anlatacaklarım da o dosyadaki yazının türkçeye çevirilmişi(çevirilmeye çalışılmışı) olacak.

Dosyaları indirdiyeseniz hazırsınız demektir. O halde başlayalım.

Adım 1

1.linkte indirdiğiniz TeslaDecoder.zip dosyasını arşivden çıkarın ve “TeslaViewer dosyasını çalıştırın”

Untitled-1

daha sonra “browse” tuşuna basıp şifrelenmiş dosyalardan herhangi birini seçin.

teslaviewer-information

“create work.txt” butonuna basın. Bu işlem programın bizim için oluşturduğu ve daha sonra kullanacağımız bilgileri “TeslaViever” programını bulunduğu dizine kaydediyor. Oluşan dosya aşağıdakine benzer bir şey olacak.

work.txt

Yukarıdaki işlemleri yaparak şifrelemeyi çözmek için kullanacağımız bilgileri aldıysanız diğer adıma geçebilirsiniz.

 

Adım 2

factordb.com adresine giderek aşağdaki resimde  SharedSecret1*PrivateKeyBC kısmındaki  mavi kare ile gösterilen “dec” anahtarını factordb.com daki arama alanına yapıştırıp “Factorize!” butonuna basınız.

decimal-version-of-number

factordb.com da sonuç geldiğinde status alanındaki “FF” yazılı alana bizim için önemli.

fully-factored

Eğer sizin arama sonucunuzda da status alanında “FF” yazıyorsa şanslısınız bir kaç saatlik işten kurtuldunuzi Adım-4‘e geçebilirsiniz. Eğer “CF” yazıyor ise Adım-3 den devam edin.

Adım-3

En başta verilen 2. linkteki yafu klasörünü zipden çıkarın ve işletim sisteminiz;

32 bit ise: “tuneX86.bat“,

64 bit ise: “tuneX64.bat

dosyasını çalıştırınız. Aşağıdakine benzer bir ekran gelecek.

tuning

eğer yukarıdaki resimden farklı olarak ekranın son satırında “devam etmek için bir tuşa basınız..” şeklinde bir yazı çıkıyorsa .bat dosyasını direkt olarak komut satırından çalıştırın.

Bu ekran geldikten sonra biraz beklemeniz gerekecek ve bir süre sonra size;

 “Enter DEC SharedSecret1*PrivateKeyBC:” yazan bir seçenek gelecek. Oraya daha önce oluşturduğumuz work.txt dosyasındaki “SharedSecret1*PrivateKeyBC kısmındaki dec alanındaki (hex olan değil dec olan olmalı) key’i kopyalayıp Ekrana yapıştırıyor ve Enter’a basıyorsunuz.

Amount of threads sorusuna iste pcnizdeki cpu sayısı -1 giriyorsunuz (çift çekirdek ise 1, 4 çekirdek ise 3 gibi.) cpu sayınızı bilmiyorsanız 1’e basın fakat 2 den fazla çekirdekli bir cpunuz var ise diğer çekirdekleri kullanamayacaksınız ve işleminiz daha uzun sürecek.

factoring

Bu işlem uzun sürebilir. Beni çalıştığım çift çekirdekli bilgisayarda 7-8 saat civarı sürmüştü.

factors-found

işlem bittiğinde factorlerin bulunduğuna dair böyle bir ekran gelecek. Burdaki değerler önemli. Şifrelenen verileri decrypt etmek için kullanacağız. Çıkan değerleri bir yere kopyalamadan yanlışlıkla bir tuşa basmayın yoksa işlemi başta yapıp tekrar bi 7-8 saat daha beklemeniz gerekebilir. En temizi önce bir ekran görüntüsü alın kı bir terslik olursa en kötü ihtimallle ilerde lazım olcuğunda (olacak:)) ekran görüntüsünden değerleri tek tek elle girebilirsiniz.

Adım-4

teslarefactor

factorleri aldıktan sonra TeslaRefactor programını çalıştırın. mavi ok ile gösterilen yere az önce bulduğunuz factor sayılarını yapıştırın (sayıların başındaki P ile başlayan kısımlar olmayacak).

Kırmızı okla gösterilen yere ise work.txt dosyasındaki PublicKeyBC alanındaki değeri yapıştırın. Bunları yaptıktan sonra görüntü aşağıdaki resim giibi birşey olacak.

filled-in-teslarefactor

yukardaki işlemleri yaptıktan sonra “find private key” butonun basın.

found-private-key

artık yukarda kırmızı ok ile gösterilen private key bulunduğuna göre kurtarma işlemine başlayabiliriz. Private keyi bir yere not edin ve Tesla Decoder programını çalıştırın.

tesladecoder

Set key tuşuna basın

set-key

Key (hex) bölümüne az önce bulduğumuz Private key’i yazıp, extension kısmında da verilerinizi şifrelendikten sonra eklenmiş uzantısı seçin. Benim uğraştığım bilgisayarda “.vvv” idi, sizde farklı olabilir.

bu ayarları yapıp “Set Key” tuşuna bastıktan sonra deneme yapmak için bir klasör oluşturun ve içine 1-2 tane şifrelenmiş dosya atın.  Daha sonra Tesla decoderdeki Decrypte folder butonuna basarak az önce oluşturduğunuz içinde örnek şifrelenmiş veri olan klasörü gösterin. Az sayıdaki dosya için işlem fazla uzun sürmez. İşlem bittiğinde klasörü kontrol edin. Şifreli dosyalarınız düzeldiyse işlemleri başarıyla gerçekleştirmişsiniz demektir ve tüm dosyalarınız için kurtarma işlemi yapabilirsiniz.