Çözüm 1:
Github geliştiricilerinden biri bu aracı çıkartmış bulunuyor ve çok düşük ihtimal ile çözebildiğini belirtmiş, örnek dosyalarla da tarafımca denenmiş ve çözebilmektedir.
Aracı buradan indirip masaüstüne çıkartın.
Şifre: infected
Örnek zararlı dosyaları bu resimde görebilirsiniz.
1. 1. Rar'dan çıkarılan klasör linki.
2. 2. ve 4. kısımdakiler sadece .pky dosyası ile işaretli kısımlar içinde .WNCRY ile şifrelenmiş dosyalar bulunmaktadır. Bunları kendi dosyalarınız gibi görebilirsiniz.
3. 3. Bu kısımda ise .pky ve .eky dosyanız bulunuyorsa diye örnek zararlı dosyası ve işaretlenmiş bölüm içinde .WNCRY ile şifrelenmiş dosyalar bulunmaktadır.
Buradan ise ilk resimdeki 2. olarak işaretli bölümdeki dosyaların nasıl deşifre edildiğini göstereceğim.
- Bu resim 1. sarı işaretli olan bahsettiğim klasör linkini görebilirsiniz. Klasör linkinin önünde cd yerleştirildiğini de görebilirsiniz. CMD'den çıkmadıkça cd komutunu bir sonraki işlemde girmenize gerek yoktur.
- 2. olarak işaretli sarı bölümde de en altta kullanımını vermiş olduğum .pky uzantısıyla çözme işlemini görebilirsiniz.
Bu resimde de yine .pky uzantılı diğer örneği gösterilmektedir.
1. sarı olan yine klasör en altta yazılan .pky uzantılı komut gibi yazılıp deşifre işlemi yapılmaktadır.
2. olarak işaretli kısımda deşifre edeceğimiz dosyayı ve deşifre edilmiş halini görebilirsiniz.
3. ise deşifre sonucu açılan dosyayı görebilirsiniz.
Bu resimde de hem .pky hem .eky uzantısına sahip dosyaları olanlar için anlatılmaktadır.
1. kısımında altta bulunan .pky ve .eky komutunun yazılışını görebilirsiniz.
2. kısımda ise deşifre edilmiş ve deşifre edilmemiş halindeki dosyasını görebilirsiniz.
3. ise deşifre sonrası açılan dosyayı görebilirsiniz.
***İlk olarak bu araç sisteminize bulaşmış olan zararlının .pky veya .eky dosyaları elinizde olması gerekiyor.
Kullanımı;
Hangi şifreli dosyanızı eski haline gelmesini istiyorsanız çıkarttığınız klasör içine atıp yukarıda verilen örneklere göre komutu kişileştireceksiniz.
İlk olarak verilen şifreli rar'ı indirip masa üstüne çıkartıyoruz. Sonrasında Win + R kombinasyonu ile çalıştır'ı açıyoruz oraya cmd yazıp enter'a basın. Gelen ekrana masasüstüne çıkarttığınız klasöre giriyorsunuz klasör linkini kopyalayıp cmd ekranında cd yazıp bir boşluk bırakıp kopyaladığınız klasör linkini devamına yapıştırıyorsunuz. Resimlere bakarak anlayabilirsiniz.
__________________
Çözüm 2:
Kullanımı:
Önemli not: Çözüm 2'nin işe yaraması için zararlı bulaştığı andan itibaren bilgisayarınızı kapatmamış olmanız gerekiyor.
Desteklenen işletim sistemleri: XP, 2003, Win 7 X86 sürümleridir. X64 sürümlerinde denenmemiştir.
Github geliştiricilerinden biri bu aracı çıkartmış bulunuyor ve çok düşük ihtimal ile çözebildiğini belirtmiş, örnek dosyalarla da tarafımca denenmiş ve çözebilmektedir.
Aracı buradan indirip masaüstüne çıkartın.
Şifre: infected
Örnek zararlı dosyaları bu resimde görebilirsiniz.
1. 1. Rar'dan çıkarılan klasör linki.
2. 2. ve 4. kısımdakiler sadece .pky dosyası ile işaretli kısımlar içinde .WNCRY ile şifrelenmiş dosyalar bulunmaktadır. Bunları kendi dosyalarınız gibi görebilirsiniz.
3. 3. Bu kısımda ise .pky ve .eky dosyanız bulunuyorsa diye örnek zararlı dosyası ve işaretlenmiş bölüm içinde .WNCRY ile şifrelenmiş dosyalar bulunmaktadır.
Buradan ise ilk resimdeki 2. olarak işaretli bölümdeki dosyaların nasıl deşifre edildiğini göstereceğim.
- Bu resim 1. sarı işaretli olan bahsettiğim klasör linkini görebilirsiniz. Klasör linkinin önünde cd yerleştirildiğini de görebilirsiniz. CMD'den çıkmadıkça cd komutunu bir sonraki işlemde girmenize gerek yoktur.
- 2. olarak işaretli sarı bölümde de en altta kullanımını vermiş olduğum .pky uzantısıyla çözme işlemini görebilirsiniz.
Bu resimde de yine .pky uzantılı diğer örneği gösterilmektedir.
1. sarı olan yine klasör en altta yazılan .pky uzantılı komut gibi yazılıp deşifre işlemi yapılmaktadır.
2. olarak işaretli kısımda deşifre edeceğimiz dosyayı ve deşifre edilmiş halini görebilirsiniz.
3. ise deşifre sonucu açılan dosyayı görebilirsiniz.
Bu resimde de hem .pky hem .eky uzantısına sahip dosyaları olanlar için anlatılmaktadır.
1. kısımında altta bulunan .pky ve .eky komutunun yazılışını görebilirsiniz.
2. kısımda ise deşifre edilmiş ve deşifre edilmemiş halindeki dosyasını görebilirsiniz.
3. ise deşifre sonrası açılan dosyayı görebilirsiniz.
***İlk olarak bu araç sisteminize bulaşmış olan zararlının .pky veya .eky dosyaları elinizde olması gerekiyor.
Kullanımı;
- Elinizde sadece .pky dosyası varsa örnek dosyalardan örnek gösterecek olursak, wanadecrypt default_user.pky default_NEWS.txt.WNCRY veya wanadecrypt sample_user.pky sample_alaviealamour.txt.WNCRY şeklinde cmd'ye kodu yazarak deşifre edebileceksiniz.
- Elinizde hem .pky ve .eky dosyaları bulunuyorsa, yine geliştiricinin verdiği örnek dosyalardan örnek vermek gerekirse wanadecrypt fake_malware.pky fake_user_00000000.eky fake_Collines.jpg.WNCRY sırasında göre cmd'ye kodu yazıp deşifre edebileceksiniz.
Hangi şifreli dosyanızı eski haline gelmesini istiyorsanız çıkarttığınız klasör içine atıp yukarıda verilen örneklere göre komutu kişileştireceksiniz.
İlk olarak verilen şifreli rar'ı indirip masa üstüne çıkartıyoruz. Sonrasında Win + R kombinasyonu ile çalıştır'ı açıyoruz oraya cmd yazıp enter'a basın. Gelen ekrana masasüstüne çıkarttığınız klasöre giriyorsunuz klasör linkini kopyalayıp cmd ekranında cd yazıp bir boşluk bırakıp kopyaladığınız klasör linkini devamına yapıştırıyorsunuz. Resimlere bakarak anlayabilirsiniz.
__________________
Çözüm 2:
Aracı buradan indirebilirsiniz.Kullanımı:
- İndirdiğiniz aracı masaüstünde boş bir klasöre çıkartın.
- Win + R açıp cmd yazıp enter'a basın.
- Komut penceresine çıkardığınız klasör linkini kopyalamadan önce cd boşluk klasör linki şeklinde yazıp enter'a basın. Örnek: cd C:\boş klasör
- wanakiwi yazıp enter'a basın, sadece klasör içini tarıyorsa wanakiwi c: olarak yazıp enter'a basın.
- Bundan sonrası videoda gördüğünüz gibi zararlı yazılımı ve bilgisayarı kapatmadan pencere açık şekilde komut penceresinde beklemektir. Dosya bulunduğunda OK, OK şeklinde ilerleyecektir.
Önemli not: Çözüm 2'nin işe yaraması için zararlı bulaştığı andan itibaren bilgisayarınızı kapatmamış olmanız gerekiyor.
Desteklenen işletim sistemleri: XP, 2003, Win 7 X86 sürümleridir. X64 sürümlerinde denenmemiştir.
Son düzenleme: