STOPRansomware Nedir?
STOPRansomware, ilk olarak 2018 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.
STOP/DJVU Ransomware is one of the most widely distributed ransomware families. Encrypts personal files, demands ransom in Bitcoin. Distributed via cracked software.
Atıf / Tehdit Aktörü: NULL
Teknik Detay: C, Salsa20 + RSA-1024 sifreleme (hibrid), C2 sunucusundan RSA anahtar alimi, offline key backup (internet yoksa), .stop/.djvu uzantilari, %LOCALAPPDATA% konumu, mutex Global{GUID}, shadow copy silme (DPAPI ile sifreli sifre yonetimi)
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
- Dosyalarınızın şifreli hale gelmesi ve fidye notu oluşması
Dosya Hash Değerleri (Antivirüs Tespiti İçin)
Gerçek STOPRansomware örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash Değeri | Tür | Not |
|---|---|---|
| 3802d96292e6a2968272841a8d9e360e1358d4cd58db35ef04a08da70ce3c329 | SHA256 | STOPRansomware |
| a4b3953a8fdbee6fccaa3c25847c3da85e78d33377e73e6bebe3fe9d00a4de84 | SHA256 | STOPRansomware |
| 44bab40d0ba2224516ff0258b70b04529dee4ff397d0380131725fc19e347cff | SHA256 | STOPRansomware |
| 1bb689e95fd5ed5f70fd3ac60cf28d7aace52fea6b1bacc0a257e19cbf50a71d | SHA256 | STOPRansomware |
| 488fc31a56df22ee62120505326df0699627525c17fbdde472437f447ba2b779 | SHA256 | STOPRansomware |
| c8241ec1dc6217bc489d6e6ad4f5b1c8 | MD5 | STOPRansomware |
| 373fc49121ee4992363a62911ff1728a | MD5 | STOPRansomware |
| 1530a6f23c1e2821949b8c46c6d5a176 | MD5 | STOPRansomware |
| 164d681e4c7592a58264b71a95ec412e | MD5 | STOPRansomware |
| e02fd1eee5d9fc50ac508abf6896982e | MD5 | STOPRansomware |
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — Güvenli Modda Başlatın
Windows'u Ağ Destekli Güvenli Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — STOPRansomware Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Adım 4 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes Anti-Malware
- Emsisoft Emergency Kit
- Windows Defender Çevrimdışı Tarama
Adım 5 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
Şifrelenmiş Dosyaların Kurtarılması
Fidye Ödemeyin
Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.
- No More Ransom Projesi — ücretsiz şifre çözücüler veritabanı
- VSS Kontrolü:
vssadmin list shadows→ önceki sürümleri geri yükleyin - Yedekten Geri Yükleme: Etkilenmemiş yedekten sistemi kurtarın
- Kurtarma şu an mümkün değilse verileri saklayın — ilerleyen dönemde şifre çözücü yayınlanabilir
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.