Cripto Yedik !
-
Sunucu dediğin şirketin bir odasında çalışan örneğin Hp, Dell marka fiziksel sunucu mu, sanallaştırma var mı, HyperV, VMware gibi bir yazılım ile snapshot alınıyor muydu, ya da bir veeam gibi yedekleme yazılımı ile yedek alınıyor muydu, Güvenlik duvarı varmıydı, pc lerde ücretli bir antivirüs varmıydı, açılınca ekrana ne geliyor, clienatların önemli dosyaları bir ortak alana cloud, bulut gibi bir yere yedekleniyor muydu bu konuların peşine düşsen daha yararlı olmaz mı diye aklıma geldi.
-
nasil nerden bulasti? kac para istiyorlar
-
Mail adreside orjinalmiş
-
konuyu ve son durumu detaylı olarak paylaşacağım arkadaşlar. Sorunu %90 çözdük gibi..
-
-
Hocam öncelikle pc lerden elektrik kesmeyin, bazı uzmanlar private key i ram den bulabiliyorlar bazı tür ransomware'lerde. Elektrik keserseniz o ihtinal gider. Ama network kesmenizi tavsiye ederim, verilerinizi kendilerine upload etmesinler. Conti kendilerine de upload edip, ödeme yapmayan firmaların verilerini public ediyorlardı.
Ransomware konularında özel kişilerden yada firmalardan destek almayı deneyebilirsiniz. Daha sonrasında da iyi dfir ciler ile yapanı bulmaya çalışmanızı tavsiye ederim. İyi uzmanlar illetin komuta kontrol sunucularına ulaşabiliyor. Başkasının canının yanmasını belki bir nebze engelleyebilirsiniz.
-
kaspersky nin bir toolu vardi bu iş için. encrypt edilmiş bir resim veya ofis dosyasini koyuyordun daha onceden kirilmiş/acilmiş 5-6 milyon sifre ile karsilaştiriyor. açabilirse seni cozum için yönlendiriyordu. bir dene istersen.
-
Arkadaşlar cevaplar için çoook teşekkür ederim. Bizim başımıza böyle kötü bir hadise geldi umarım sizler yaşamazsınız. Çok can sıkıcı ve stresli anlardı.
Konu hakkında uzun uzun araştırmalarımız sonucu ciddi tecrube sahibi olduk diyebilirim. Bunları sizlerle paylaşarak sizlerede faydasının olmasını umuyorum.
Şimdi durum şöyle;
Şirket yetkililerinden biri iş icabı il dışına çıkacağı için kurum içindeki bilgisayarına erişmek istedi. Bu sebepten ötürü kurum içindeki pc ye dışardan erişmesi için
uzak masa üstü ayarlarını yaptık (RDP). Güvenlik duvarı içinden port yönlendirmesi yaptık. Bu yetkili arkadaş il dışındayken otelin birinden kurum içinde bulunan pc ye bağlantı
sağladı (uzak masaüstü bağlantısı). akabinde bir şekilde kurum içindeki pc ye ransomware bulaştırdı. Bu kurum içindeki pc local ağda paylaşıma açık olan
muhasebe yazılımına bağlıydı ve kurum içinde bir çok kullanıcı pc ile paylaşımdaydı.
Bu sebeple kurum içinde bulunan ve ransomware yemiş olan pc den diğer paylaşımda olan ve muhasebe yazılımını kullanan bilgisayarlarada sıçradı.
Burdaki tek şansımız bu sıçramayı fark eder etmez tüm network cihazlarını kapatıp sıçramanın diğer pclere ulaşmasını engellemek oldu.
Bu tarz durumlarda yapmanız gereken ilk işlem tüm pclerin bir biri ile olan bağlantılarını switch leri kapatarak kesmek !
Öyleki kurum içinde interenete çıkan ve bir biri ile haberleşen hiç bir pc kalmamalı.. Ayrıca tüm pclerin internet kablolarınıda çekmenizi şiddetle öneriyorum.
Sonraki yapılacak ilk iş ise pc leri kapatıp açmamanız. Antivirüs vb temizleyici çalıştırmamanız..
Yukarıda bahsettiğim öncelikli önlemleri almadan önce tabiki anamakinaların günlük backup almış olmalarını sağlamanız gerekiyor. Harici yedekleme ünitelerine
veem tarzı uygulamalar ile stabil yedek almalısınız. ( Biz anamakinaların yedeğini günlük alıyorduk :) )Yani kurumunuzda, iş yerinizde sunucu varsa mutlaka günlük yedek alın. Alabildiğinizce alın sayısı önemli değil, anamakina dışında bir ortamda olmasına dikkat edin.
Bulut yedekleme yapmanız sizin için daha iyi olur.( Kurum dışında bulunan bir yedekleme ünitesine veya sunucuya )
Sonrasında ransomware bulaşan pcleri topladık. toplam 5 civarı.. anamakinayı formatlayıp yedekten 1 gün öncesine geri dönüş sağladık.. Veri kaybımız max 3 yada 5 kayıt falan
çok da önemli değil telafisi yapıldı..
Topladığımız 5 pc de aynı ransomware vardı haliyle, bir iki firma ile irtibata geçtik farklı türde dosyalar ilettik kendilerine. .xls, .doc, .mdf, .png gibi gibi..
Sadece 1 firma çözebildiğini söyledi.. ve pc başına 80.000 tl talep etti :) Tabiki kabul etmedik ve pc leri formatladık. Kabul etmedik çünkü kullanıcı pclerinde
ciddi bilgiler yoktu, telafisi mümkün şeyler vardı sonuçta.
Bizim yediğimiz ransomware daha önce firmaların görmediği piyasada yeni olan bir tür olduğu için kaspersky ve emmisoft gibi ransomware çözücüler kâr etmedi.
Sizler böyle bir durumla karşılaşırsanız kaspersky ve emmisoft gibi firmaların yaptığı daha önce çözülmüş ransomware çözücüleri mutlaka deneyin.
Bir başka çözüm yolu ise pcde bulunan .exe uzantılı virüsü bulup decompiler etmenizi öneririm. İçinde şifreleme anahtarını barındırıyor genelde.
Bu anahtarı buldukdan sonra pcde bulunan tüm şifreli dosyaları netde bir çok yerde tonla bulunan çözücülerden biriylede çözebiliyorsunuz.
Şayet ransomware bulaşan pcleri açıp kapatırsanız veya antivirüslerle temizlemeye kalkarsanız bu şansınızda kalmaz.
Umarım durumu ne sonuçlarını iyi özetleye bilmişimdir. -
Öncelikle çok geçmiş olsun hocam. ne olursa olsun RDP portunu açmak biraz hata olmuş, böyle durumlarda güvenlik duvarınız varsa vpn ile bağlantı yapmak en uygunu olacaktır. RDP illa açacağım diyorsanız lütfen varsayılan portlar üzerinden değil de saçma sapan bir port üzerinden kısıtlı erişim ile yapmanız. Örn kullanıcının mevcut ip adresine verin erişim iznini. Çünkü olay kullandığı pcden atlama değil büyük ihtimalle rdp üzerinden atak ile olmuştur. Geçen aylarda başımıza gelmişti rdp komple açmış bir arkadaş makina cortladı.
-
interfector bunu yazdı
Öncelikle çok geçmiş olsun hocam. ne olursa olsun RDP portunu açmak biraz hata olmuş, böyle durumlarda güvenlik duvarınız varsa vpn ile bağlantı yapmak en uygunu olacaktır. RDP illa açacağım diyorsanız lütfen varsayılan portlar üzerinden değil de saçma sapan bir port üzerinden kısıtlı erişim ile yapmanız. Örn kullanıcının mevcut ip adresine verin erişim iznini. Çünkü olay kullandığı pcden atlama değil büyük ihtimalle rdp üzerinden atak ile olmuştur. Geçen aylarda başımıza gelmişti rdp komple açmış bir arkadaş makina cortladı.
Elbet mantıklı olan bu ama zaten adam vpn de olsa bulaştıracakmış farkı yok.