Tarayıcılar için destek sunuyoruz, dinozorlar için değil. Bu web sayfasının içeriğini doğru şekilde görüntülemek istiyorsanız lütfen tarayıcınızı güncelleyin.

Ücretsiz Fidye Yazılımı Şifrelerini Çözme Araçları

Fidye yazılımı saldırısına mı uğradınız? Fidyeyi ödemeyin!

Ücretsiz fidye yazılımı şifrelerini çözme araçlarımız, aşağıdaki fidye yazılımları tarafından şifrelenen dosyaların şifresini çözmeye yardımcı olabilir. Yazılımın adına tıklayarak bulaşma belirtilerini öğrenebilir ve ücretsiz sorun giderme aracımızı edinebilirsiniz.

Gelecekte fidye yazılımı bulaşmalarını engellemeye yardımcı olmak mı istiyorsunuz?

Avast Free Antivirus'ı indirin.

AES_NI

AES_NI, ilk olarak Aralık 2016'da ortaya çıkmış bir fidye yazılımı türüdür. O zamandan bu yana farklı dosya uzantılarına sahip birden fazla türev gözlemledik. Bu fidye yazılımı, dosyaları şifrelemek için RSA-2048 kodlaması ile AES-256 şifrelemesini kullanır.

Dosya adı değişiklikleri:

Fidye yazılımı, şifrelenmiş dosyalara aşağıdaki uzantılardan birini ekler:
.aes_ni
.aes256
.aes_ni_0day

Her klasörde en az bir şifrelenmiş dosyayla birlikte "!!! READ THIS - IMPORTANT !!!.txt" dosyası bulunur. Fidye yazılımı ayrıca C:\ProgramData klasöründe adı şuna benzeyen bir anahtar dosyası oluşturur: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day.

Fidye mesajı:

"!!! READ THIS - IMPORTANT !!!.txt" dosyası aşağıdaki fidye notlarını içerir:

+

AES_NI düzeltmesini indir

Alcatraz Locker

Alcatraz Locker, ilk kez Kasım 2016 ortasında gözlemlenen bir fidye yazılımı türüdür. Bu fidye yazılımı, kullanıcılara ait dosyaların şifrelenmesi için Base64 kodlaması ile AES 256 şifrelemesi kullanır.

Dosya adı değişiklikleri:

Şifrelenmiş dosyalar ".Alcatraz" uzantısına sahiptir.

Fidye mesajı:

Dosyalarınız şifrelendikten sonra benzer bir mesaj görüntülenir (bu mesaj kullanıcının masaüstünde "ransomed.html" adlı bir dosyada bulunurr):

+

Alcatraz Locker dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Alcatraz Locker düzeltmesini indir

Apocalypse

Apocalypse, ilk kez Haziran 2016'da görülen bir fidye yazılımı biçimidir. Bulaşma belirtileri:

Dosya adı değişiklikleri:

Apocalypse, dosya adlarının sonuna .encrypted, .FuckYourData, .locked, .Encryptedfile veya .SecureCrypted uzantılarını ekler. (örneğin, Tez.doc = Tez.doc.locked)

Fidye mesajı:

.How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt veya .Where_my_files.txt (örneğin Tez.doc.How_To_Decrypt.txt) gibi bir uzantıya sahip bir dosyayı açtığınızda aşağıdakine benzer bir mesajı görüntülenir:

Apocalypse Düzeltmesini İndir ApocalypseVM Düzeltmesini İndir

BadBlock

BadBlock, ilk kez Mayıs 2016'da görülen bir fidye yazılımı biçimidir. Bulaşma belirtileri:

Dosya adı değişiklikleri:

BadBlock dosyalarınızı yeniden adlandırmaz.

Fidye mesajı:

BadBlock dosyalarınızı şifreledikten sonra aşağıdaki mesajlardan birini görüntüler (Help Decrypt.html adlı bir dosyadan):

+ +

BadBlock dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

32 bit Windows için BadBlock Düzeltmesini İndir 64 bit Windows için BadBlock Düzeltmesini İndir

Bart

Bart, ilk kez 2016'nın Haziran ayı sonunda görülen bir fidye yazılımı biçimidir. Bulaşma belirtileri:

Dosya adı değişiklikleri:

Bart, dosya adlarının sonuna .bart.zip uzantısını ekler. (örneğin, Tez.doc = Tez.docx.bart.zip) Bunlar, orijinal dosyaları içeren şifreli ZIP arşivleridir.

Fidye mesajı:

Bart, dosyalarınızı şifreledikten sonra masaüstü duvar kâğıdını aşağıdakine benzer bir görüntüyle değiştirir. Bu görüntüdeki metin de Bart'ı tespit etmenize yardımcı olabilir ve masaüstünde recover.bmp ve recover.txt adlı dosyalarda saklanır.

+

Bart dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Teşekkür: Bart şifre çözme aracımız için kitaplığını kullanmamıza izin veren, PkCrack yazarı Peter Conrad'a teşekkür etmek istiyoruz.

Bart Düzeltmesini İndir

BigBobRoss

BigBobRoss, AES128 şifreleme yöntemini kullanarak kullanıcıya ait dosyaları şifreler. Şifrelenmiş dosyalarda, dosya adlarının sonuna eklenmiş ".obfuscated" uzantısı bulunur.

Dosya adı değişiklikleri:

Fidye yazılımı, aşağıdaki uzantıları ekler: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Fidye yazılımı ayrıca her klasörde "Read Me.text" adlı bir metin dosyası oluşturur. Dosya içeriği şu şekildedir.

+

BigBobRoss Düzeltmesini İndir

BTCWare

BTCWare , ilk olarak Mart 2017'de ortaya çıkmış bir fidye yazılımı türüdür. O zamandan bu yana şifrelenmiş dosya uzantısıyla ayırt edilebilen beş türev gözlemledik. Fidye yazılımı RC4 ve AES 192 olmak üzere iki farklı şifreleme yöntemi kullanır.

Dosya adı değişiklikleri:

Şifrelenmiş dosya adları aşağıdaki gibidir:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Buna ek olarak aşağıdaki dosyalardan biri bilgisayarda bulunabilir:
%USERPROFILE%\Desktop konumunda Key.dat

%USERPROFILE%\AppData\Roaming konumunda 1.bmp
Her klasörde en az bir şifrelenmiş dosyayla birlikte #_README_#.inf veya !#_DECRYPT_#!.inf.

Fidye mesajı:

Dosyalarınız şifrelendikten sonra masaüstü duvar kâğıdı aşağıdakiyle değiştirilir:

+
Aşağıdaki fidye notlarından birini de görebilirsiniz:
+ +

BTCWare düzeltmesini indir

Crypt888

Crypt888 (Mircop olarak da bilinir), ilk kez Haziran 2016'da görülen bir fidye yazılımı biçimidir. Bulaşma belirtileri:

Dosya adı değişiklikleri:

Crypt888, dosya adlarının başına Lock. ibaresini ekler. (örneğin Tez.doc = Lock.Tez.doc)

Fidye mesajı:

Crypt888, dosyalarınızı şifreledikten sonra masaüstü duvar kâğıdınızı aşağıdakilerden biriyle değiştirir:

+ + + + + + +

Crypt888 dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Crypt888 Düzeltmesini İndir

CryptoMix (Çevrim dışı)

CryptoMix (CryptFile2 veya Zeta olarak da bilinir), ilk kez Mart 2016'da görülen bir fidye yazılımı türüdür. 2017 yılının başında CryptoShield adlı yeni bir CryptoMix türevi ortaya çıktı. Türevler, uzak bir sunucudan indirilen benzersiz bir şifreleme anahtarıyla AES256 şifrelemesi kullanarak dosyaları şifreler. Ancak sunucu kullanılabilir değilse veya kullanıcının internet bağlantısı yoksa fidye yazılımı dosyaları sabit bir anahtarla ("çevrim dışı anahtar") şifreler.

Önemli: Sağlanan düzeltme yalnızca "çevrim dışı anahtar" kullanılarak şifrelenmiş dosyaları destekler. Dosyaları şifrelemek için çevrim dışı anahtarın kullanılmadığı durumlarda düzeltmemiz dosyaları geri yükleyemez ve dosyalarda hiçbir değişiklik yapılmaz.
21.07.2017 Güncellemesi: Şifre çözücü, Mole türeviyle de çalışabilecek şekilde güncellenmiştir.

Dosya adı değişiklikleri:

Şifrelenen dosyalar aşağıdaki uzantılardan birine sahiptir: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl veya .MOLE.

Fidye mesajı:

Şifreleme işleminden sonra bilgisayarınızda şu dosyalar bulunabilir:

+ + + + +

CryptoMix dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

CryptoMix Düzeltmesini İndir

CrySiS

CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma) Eylül 2015'ten beri gözlemlenen bir fidye yazılımı türüdür. RSA-1024 asimetrik şifrelemesiyle birlikte AES-256 şifrelemesini kullanır.

Dosya adı değişiklikleri:

Şifrelenen dosyalar çeşitli uzantılara sahiptir. Örneğin:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Fidye mesajı:

Dosyalarınız şifrelendikten sonra aşağıdaki mesajlardan biri görüntülenir (aşağıya bakın). Mesaj, kullanıcının masaüstündeki "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" veya "HOW TO DECRYPT YOUR DATA.txt" dosyalarında bulunur. Ayrıca, masaüstü arka planı aşağıdaki resimlerden biriyle değiştirilir.

+ + + + + + + + + + +

CrySiS dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

CrySiS düzeltmesini indir

EncrypTile

EncrypTile, ilk kez Kasım 2016'da gözlemlediğimiz bir fidye yazılımı türüdür. Altı aylık geliştirmeden sonra bu fidye yazılımının yeni son sürümünü yakaladık. Bu fidye yazılımı, ilgili bilgisayar ve kullanıcı için sabit bir anahtar belirleyerek AES-128 şifrelemesini kullanır.

Dosya adı değişiklikleri:

Fidye yazılımı, dosya adına "encrypTile" kelimesini ekler:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Ayrıca, fidye yazılımı kullanıcının masaüstünde dört yeni dosya oluşturur. Bu dosyaların adları yerelleştirilir, İngilizce sürümleri şu şekildedir:

+
Fidye mesajı:
+ +
Şifre çözücüyü çalıştırma

Çalıştığı sırada fidye yazılımı, kullanıcının kendisini kaldırmak için kullanabileceği araçları çalıştırmasını etkin bir şekilde engeller. Bilgisayarınızda fidye yazılımının çalışması durumunda şifre çözücüyü çalıştırmayla ilgili daha ayrıntılı talimatlar için blog gönderisine bakın.

EncrypTile düzeltmesini indir

FindZip

FindZip, Şubat 2017'nin sonunda gözlemlenen bir fidye yazılımı türüdür. Bu fidye yazılımı Mac OS X (10.11 veya üzeri bir sürüm) cihazlara yayılır. Şifreleme, ZIP dosyaları oluşturmaya dayanır. Şifrelenen her dosya, orijinal belgeyi içeren bir ZIP arşividir.

Dosya adı değişiklikleri:

Şifrelenmiş dosyalar ".crypt" uzantısına sahiptir.

Fidye mesajı:

Dosyalarınız şifrelendikten sonra kullanıcının masaüstünde aşağıdaki ad türevlerine sahip birkaç dosya oluşturulur: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Tüm dosyalar aynıdır ve aşağıdaki metin mesajını içerir:

+

Özel: AVAST şifre çözücüler Windows uygulamaları olduğu için Mac cihazlara bir öykünme katmanı (WINE, CrossOver) yüklenmesi gerekir. Daha fazla bilgi için lütfen blog gönderimizi okuyun.

Dosyalarınız Globe tarafından şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

FindZip düzeltmesini indir

Fonix

Fonix fidye yazılımı Haziran 2020'den beri aktifti. C++ kullanılarak yazılmıştır ve 3 anahtar şifreleme düzeni kullanır (RSA-4096 ana anahtarı, RSA-2048 oturum anahtarı, SALSA/ChaCha şifrelemesi için 256-bit dosya anahtarı). Şubat 2021'de bu fidye yazılımının yazarları faaliyetlerine son verdi ve dosyaların şifrelerinin ücretsiz olarak çözülebilmesi için ana RSA anahtarını yayınladı.

Dosya adı değişiklikleri:

Şifrelenmiş dosyalar şu uzantılardan birine sahiptir:
.FONIX,
.XINOF

Fidye mesajı:

Fidye yazılımı, kurbanın bilgisayarındaki dosyaları şifreledikten sonra şu ekranı görüntüler:

+

Dosyalarınız Fonix tarafından şifrelendiyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Fonix düzeltmesini indir

GandCrab

Gandcrab 2018 yılındaki en yaygın fidye yazılımı türlerinden biridir. 17 Ekim 2018'de Gandcrab geliştiricileri, Suriye'de bulunan mağdurlar için 997 adet anahtar yayınlamıştır. Ayrıca, FBI Temmuz 2018'de 4-5.2 sürümleri için ana şifre çözme anahtarlarını yayınladı. Şifre çözücünün bu sürümü bu anahtarların tamamını kullanır ve dosyaların şifresini ücretsiz olarak çözebilir.

Dosya adı değişiklikleri:

Fidye yazılımı olası birden fazla uzantı ekler:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (harfler rastgele seçilmiştir)

Fidye mesajı:

Fidye yazılımı ayrıca her klasörde "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "KRAB_DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" veya "%RandomLetters%-MANUAL.txt" adlı bir metin dosyası oluşturur. Dosya içeriği aşağıda verilmiştir.

+ +

Fidye yazılımının sonraki sürümleri kullanıcının masaüstüne aşağıdaki resimleri de atayabilir:

+

GandCrab düzeltmesini indir

Globe

Globe, Ağustos 2016'dan beri gözlemlenen bir fidye yazılımı türüdür. Türevine bağlı olarak RC4 veya Blowfish şifreleme yöntemini kullanır. Bulaşma belirtileri:

Dosya adı değişiklikleri:

Globe, dosya adına şu uzantılardan birini ekler: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" veya ".hnyear". Ayrıca bazı sürümleri dosya adını da şifreler.

Fidye mesajı:

Dosyalarınız şifrelendikten sonra benzer bir mesaj görüntülenir (bu mesaj "How to restore files.hta" veya "Read Me Please.hta" adlı bir dosyada bulunur):

+ + +

Globe dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Globe düzeltmesini indir

HiddenTear

HiddenTear Ağustos 2015 tarihinden bu yana GitHub'da barındırılan ilk açık kaynak kodlu fidye yazılım kodlarından biridir. O zamandan bu yana, orijinal kaynak kodu kullanılarak dolandırıcılar tarafından yüzlerce HiddenTear türevi oluşturuldu. HiddenTear AES şifrelemesini kullanmaktadır.

Dosya adı değişiklikleri:

Şifreli dosyalar aşağıdaki uzantılardan birine sahiptir (ancak uzantılar bunlarla sınırlı değildir): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Fidye mesajı:

Dosyaları şifreledikten sonra kullanıcının masaüstünde bir metin dosyası (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) görüntülenir. Ayrıca çeşitli türevleri fidye mesajı da gösterebilir:

+ + + +

HiddenTear dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

HiddenTear düzeltmesini indir

Jigsaw

Jigsaw, Mart 2016'dan beri görülen bir fidye yazılımı türüdür. Fidye yazılımı adını "Jigsaw Katili" film karakterinden almaktadır. Bu fidye yazılımının çeşitli türevleri, fidye ekranında Jigsaw Katili'nin resmini kullanmaktadır.

Dosya adı değişiklikleri:

Şifreli dosyalar aşağıdaki uzantılardan birine sahiptir: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org veya .gefickt.

Fidye mesajı:

Dosyalarınız şifrelendikten sonra aşağıdaki ekranlardan biri görüntülenir:

+ + + + + +

Jigsaw dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Jigsaw düzeltmesini indir

LambdaLocker

LambdaLocker, ilk kez Mayıs 2017'de gözlemlediğimiz bir fidye yazılımı türüdür. Python programlama dilinde yazılmıştır ve şu andaki yaygın türevinin şifresi çözülebilir niteliktedir.

Dosya adı değişiklikleri:

Fidye yazılımı, dosya adına ".MyChemicalRomance4EVER" kelimesini ekler:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER


Fidye yazılımı ayrıca kullanıcının masaüstünde "UNLOCK_guiDE.txt" adlı bir metin dosyası oluşturur. Dosya içeriği şu şekildedir.

+

LambdaLocker düzeltmesini indir

Legion

Legion, ilk kez Haziran 2016'da görülen bir fidye yazılımı biçimidir. Bulaşma belirtileri:

Dosya adı değişiklikleri:

Legion, dosya adlarının sonuna ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion veya .$centurion_legion@aol.com$.cbf uzantısı ekler. (örneğin Tez.doc = Tez.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Fidye mesajı:

Legion, dosyalarınızı şifreledikten sonra masaüstü duvar kâğıdınızı değiştirir ve aşağıdakine benzer bir açılır mesaj kutusu gösterir:

+

Legion dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Legion Düzeltmesini İndir

NoobCrypt

NoobCrypt, Temmuz 2016'nın sonlarından beri gözlemlenen bir fidye yazılımı türüdür. Bu fidye yazılımı, kullanıcıya ait dosyaların şifrelenmesi için AES 256 şifreleme yöntemini kullanır.

Dosya adı değişiklikleri:

NoobCrypt dosya adını değiştirmez. Ancak şifrelenen dosyalar ilgili uygulamalarıyla da açılamaz.

Fidye mesajı:

Dosyalarınız şifrelendikten sonra benzer bir mesaj görüntülenir (bu mesaj kullanıcının masaüstünde "ransomed.html" adlı bir dosyada bulunurr):

+ +

NoobCrypt dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

NoobCrypt Düzeltmesini İndir

Stampado

Stampado, AutoIt komut dosyası aracı kullanılarak yazılan bir fidye yazılımı türüdür. Ağustos 2016'dan beri görülmektedir. Fidye yazılımı karanlık ağda satılmaktadır ve yeni türevleri ortaya çıkmaya devam etmektedir. Yazılımın türevlerinden birinin adı da Philadelphia'dır.

Dosya adı değişiklikleri:

Stampado şifrelenmiş dosyalara .locked uzantısını ekler. Ayrıca bazı türevleri dosya adını şifrelemektedir, bu nedenle şifreli dosya adı document.docx.locked veya 85451F3CCCE348256B549378804965CD8564065FC3F8.locked olarak görünebilir.

Fidye mesajı:

Şifreleme işlemi tamamlandıktan sonra aşağıdaki ekran görüntülenir:

+ +

Stampado dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Stampado düzeltmesini indir

SZFLocker

SZFLocker, ilk kez Mayıs 2016'da görülen bir fidye yazılımı biçimidir. Bulaşma belirtileri:

Dosya adı değişiklikleri:

SZFLocker, dosya adlarının sonuna .szf uzantısını ekler. (örneğin, Tez.doc = Tez.doc.szf)

Fidye mesajı:

SZFLocker, şifrelenmiş dosyayı açmaya çalıştığınızda aşağıdaki mesajı görüntüler (Lehçe dilinde):

+

SZFLocker dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

SZFLocker Düzeltmesini İndir

TeslaCrypt

TeslaCrypt, ilk kez Şubat 2015'te görülen bir fidye yazılımı biçimidir. Bulaşma belirtileri:

Dosya adı değişiklikleri:

TeslaCrypt yazılımının en son sürümü dosyalarınızı yeniden adlandırmaz.

Fidye mesajı:

TeslaCrypt, dosyalarınızı şifreledikten sonra aşağıdaki mesajı veya bir benzerini görüntüler:

+

TeslaCrypt dosyalarınızı şifrelediyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

TeslaCrypt Düzeltmesini İndir

Troldesh / Shade

Shade veya Encoder.858 olarak da bilinen Troldesh, 2016'dan beri mevcut olan bir fidye yazılımı türüdür. Nisan 2020'nin sonunda bu fidye yazılımının yazarları faaliyetlerine son verdi ve dosyaların şifrelerinin ücretsiz olarak çözülebilmesi için ana anahtarları yayınladı.
Daha fazla bilgi:https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

Dosya adı değişiklikleri:

Şifrelenmiş dosyalar şu uzantılardan birine sahiptir:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Fidye mesajı:

Dosyalarınız şifrelendikten sonra kullanıcının masaüstünde README1.txt - README10.txt adlarından birine sahip birkaç dosya oluşturur. Bu dosyalar farklı dillerde yazılmıştır ve şu metni içerir:

+

Ayrıca, kullanıcının arka planı değiştirilerek aşağıdaki resme benzer şekilde görünür:

+

Dosyalarınız Troldesh tarafından şifrelendiyse, ücretsiz düzeltmemizi indirmek için buraya tıklayın:

Troldesh Düzeltmesini İndir

XData

XData, AES_NI yazılımından türetilmiş bir fidye yazılımı türüdür ve diğer cihazlara yayılmak için WannaCry gibi Eternal Blue güvenlik açığını kullanır.

Dosya adı değişiklikleri:

Fidye yazılımı, şifrelenmiş dosyalara ".~xdata~" uzantısını ekler.

Her klasörde en az bir şifrelenmiş dosyayla birlikte "HOW_CAN_I_DECRYPT_MY_FILES.txt" dosyası bulunabilir. Fidye yazılımı ayrıca C:\ProgramData klasöründe adı şuna benzeyen bir anahtar dosyası oluşturur:

Aşağıdaki klasörlerde [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ dosyası bulunur:

• C:\

• C:\ProgramData

• Masaüstü

Fidye mesajı:

"HOW_CAN_I_DECRYPT_MY_FILES.txt" dosyası aşağıdaki fidye yazılımı notlarını içerir:

+

XData düzeltmesini indir

Chrome browser logo

Avast ÜCRETSİZ
Chrome™ tarayıcısını kullanmanızı öneriyor.