Hacker (craker) tarafından şifrelenen veri dosyaları

Başlatan kuzgun_, 03 Kasım 2015 - 16:27:32

« önceki - sonraki »

0 Üyeler ve 2 Ziyaretçi konuyu incelemekte.

kuzgun_

Merhabalar, (konuyu açacak yer bulamadım umarım sıkıntı olmaz)
Daha önceden duymuşsunuzdur, hackerlar tarafından şifrelenen dosyaları açmak için para istenmesi durumu çalıştığım şirketin yan kuruluşunda meydana geldi.. Şahıs tüm muhasebe verilerini şifrelemiş ve 9 gün içinde 500$ göndermez isek dosyaları silmekle tehdit ediyor.. Şirket paradan çok hacker sözünü tutacağından şüpeli olduğu için parayı göndermek istemiyor.
Sizlerin acaba bu konuda yardımı dokunabilir mi? Verileri kurtarmak için bir çözümünüz var mı?
BSD >> Bilmediğin Sulara Dalmıcan!!

nuked

https://noransom.kaspersky.com/

Kaspersky in böyle bir sitesi var iki tane grubun kullandığını şifreler çözülmüş. Belki yardımı dokunur.

Dosyaların silinmesini önlemek içinde diskin kopyasını alabilirsiniz.

Hatta bir haberde fbi bile paranın ödenmesini öneriyor.çok fazla bir seçenek yok.

Reverser

Cryptolockerdan bahsediyorsun sanırım. Bu aralar ttnet virüsü diye geçiyor geçen hafta bu virüs şirket sunucumuza ve yereldeki clientlere bulaştı. İşin kötüsü virüs silinse bile dosyalar encrypted olarak kalıyor. Decrypter bulamayınca formatlamak zorunda kaldık...

XFCE ROCKS !
Powered by Thunar & XFWM4



heartsmagic

Alıntı yapılan: kuzgun_Şirket paradan çok hacker sözünü tutacağından şüpeli olduğu için parayı göndermek istemiyor.
Bu konuda pek sorun olmuyor diye biliyorum, zira para gönderildiğinde verileri vermezlerse bir sonraki durumda karşı tarafın ödeme yapmayı istemeyeceğini biliyorlar. Kaba tabirle altın yumurtlayan tavuk hikâyesi. Yine de benim/bizim sözlerimiz bağlayıcı olmasın lütfen. @nuked güzel bir bağlantı vermiş önce o yollar denenebilir.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

earas

Parayı veriyorlar. Eğer veriler çok önemliyse bitcoin ile ödeme yapıp datalarınızı kurtarın.
Danışmanlık firmasında çalıştığım için pek çok müşteride bu sorunla karşılaştım. Özellikle kendi lokal IT departmanı olan firmalar, personellerin tedbirsizliği nedeniyle bu sorunla daha sık karşılaşıyor.
Şifreyi çözüp verileri almanın bir yolunu bilmiyorum. Ancak önlem olarak şu 3 şey hayat kurtarabilir;
1) Mümkünse hiçbir kullanıcıya gereksiz yere local adminlik vermeyin. Standart user olarak kalsınlar.
2) Mümkünse her makinada ya da en azından ortak dosya depolamalarını barındıran yerlerde shadow copy açık olsun. Bu sayede veri şifrelense bile önceki sürüme dönerek şifresiz bir şekilde dosyalara erişebilirsiniz.
3) Bulut hizmetleri bu maillerin yayılmasını önemli ölçüde kesiyor. Ya küçük ve orta ölçekli firmalara, kobilere bulut mail sistemlerini önerin, ya da mutlaka Symantec cloud tarzı sistemlerle mail denetimi yapın. Bu önlem sayesinde (doğru yapılandırıldığı takdirde) sizi zararlı maillerin serbestçe yayılmasından koruyacaktır.

plazma

Şifreleme 25 karekter ve 256 bit olduğundan kırılmıyor, bu tip iş (aslında dolandırıcılık) yapanlar genelde de ruslar oluyor.

freeman

Bu durum Linux sunucuları da etkiliyor mu?
Gerçi günlük yedek alınsa şifrelense bile problem olmaz. 
Good morning and welcome to the Black Mesa Transit System. This automated train is provided for the security and convenience of the Black Mesa Research Facility personnel.

heartsmagic

Linux tarafında pek örneği yok yanlış bilmiyorsam. Sunucu değil zaten buradaki hedef, kişisel verileri elde ederek para kopartmak. 
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

ubuntuM

Alıntı yapılan: kuzgun_ - 03 Kasım 2015 - 16:27:32
Merhabalar, (konuyu açacak yer bulamadım umarım sıkıntı olmaz)
Daha önceden duymuşsunuzdur, hackerlar tarafından şifrelenen dosyaları açmak için para istenmesi durumu çalıştığım şirketin yan kuruluşunda meydana geldi.. Şahıs tüm muhasebe verilerini şifrelemiş ve 9 gün içinde 500$ göndermez isek dosyaları silmekle tehdit ediyor.. Şirket paradan çok hacker sözünü tutacağından şüpeli olduğu için parayı göndermek istemiyor.
Sizlerin acaba bu konuda yardımı dokunabilir mi? Verileri kurtarmak için bir çözümünüz var mı?
Meraktan soruyorum, bu olay Windows yüklü bilgisayarda mı oluyor yoksa Linux yüklü bilgisayarda mı oluyor?

kuzgun_

Alıntı Yap
Meraktan soruyorum, bu olay Windows yüklü bilgisayarda mı oluyor yoksa Linux yüklü bilgisayarda mı oluyor?
windows7 bilgisayar malesef.
dediğiniz gibi şu an için kurtarmanın bi çözümü yok benimde araştırmalarıma göre, ödeyenlerin bazıları kurtarmış bazılarıda "üzgünüz şifrenizi kaybettik" gibi yanıtlar almışlar..
ilgilendiğiniz için teşekkür ederim.
BSD >> Bilmediğin Sulara Dalmıcan!!

earas

Linux sistemlerde şifreleme yapamıyor ancak misal Samba(veya qnap) üzerinden dosya paylaşımı yapıyorsanız, windows bir pcye bulaşan cryptolocker, etkin hesabın yetkisinin olduğu tüm dosyaları şifreliyor. Zaten zararlının olayı bu. Çalıştığı hesabın erişebildiği belli başlı dosya formatlarını şifrelemek. Yeni versiyonlarında map driverlar ve masaüstündeki ortak alanlara giden kısayollar dahil.

ubuntuM

Alıntı yapılan: kuzgun_ - 04 Kasım 2015 - 09:44:02
Alıntı Yap
Meraktan soruyorum, bu olay Windows yüklü bilgisayarda mı oluyor yoksa Linux yüklü bilgisayarda mı oluyor?
windows7 bilgisayar malesef.
dediğiniz gibi şu an için kurtarmanın bi çözümü yok benimde araştırmalarıma göre, ödeyenlerin bazıları kurtarmış bazılarıda "üzgünüz şifrenizi kaybettik" gibi yanıtlar almışlar..
ilgilendiğiniz için teşekkür ederim.
Peki bu olay gerçekleştikten sonra karşı taraf sizinle iletişime geçmek için hangi yolu denedi? Telefon, e-posta vs.

ubuntuM

Alıntı yapılan: earas - 04 Kasım 2015 - 09:46:17
Linux sistemlerde şifreleme yapamıyor ancak misal Samba(veya qnap) üzerinden dosya paylaşımı yapıyorsanız, windows bir pcye bulaşan cryptolocker, etkin hesabın yetkisinin olduğu tüm dosyaları şifreliyor. Zaten zararlının olayı bu. Çalıştığı hesabın erişebildiği belli başlı dosya formatlarını şifrelemek. Yeni versiyonlarında map driverlar ve masaüstündeki ortak alanlara giden kısayollar dahil.
O an masaüstü bulut klasörü bilgisayarda yüklü olsa ve SD vart ve Flash bellek vesayre takılı olsa bunlardaki dosyalar da şifrelenir mi?

Reverser

zararlı yazılıma önceden tanımlanmış uzantıya sahip dosyalar şifreleniyor office dosyaları arşiv dosyaları vs. gibi.

XFCE ROCKS !
Powered by Thunar & XFWM4



kuzgun_


Alıntı Yap
Peki bu olay gerçekleştikten sonra karşı taraf sizinle iletişime geçmek için hangi yolu denedi? Telefon, e-posta vs.
aynen diğer insanların başına geldiği gibi, "bilgisayarınız crytolocker tarafından şifrelenmiştir" msj veriyor.. masatünde "şifreyi çözmek için talimatlar" adı altında html dosyası var.. sizi bulut bir web sayfasına yönlendiriyor. ödemeyi BTC (bitcoin) olarak talep ediyorlar.. bilgi işlemcimiz müdahale etmemizi istemediğinden detaylandıramıyorum. sanırsam yönlendirdiği sitede deneme amaçlı önemsiz bir dosyanında şifresini çözüp indirmenize olanak tanıyorlar.. adam(lar) resmen ticari hizmet veriyor.. :o formlardan anladığım kadarıyla mağdur sayısı hiçte hafife alınacak gibi değil
(işin kötü tarafı benim gibi böyle olayları takip eden birinin bunlardan yeni haberi olması :( şirket maillerine sürekli zip'li mail geliyor açmadan siliyorum .exe uzantılı diye. Ama şirketlerde çalışan onlarca pc özürlü insanları düşününce bu olay her şirket için kaçınılmaz.. birde bizim şirket gibi kullanıcılara administor yetki vermişseniz eyvahlar olsun..)
BSD >> Bilmediğin Sulara Dalmıcan!!

ubuntuM

Alıntı yapılan: kuzgun_ - 05 Kasım 2015 - 09:59:07
şirket maillerine sürekli zip'li mail geliyor açmadan siliyorum .exe uzantılı diye. Ama şirketlerde çalışan onlarca pc özürlü insanları düşününce bu olay her şirket için kaçınılmaz.. birde bizim şirket gibi kullanıcılara administor yetki vermişseniz eyvahlar olsun..)

Çok güzel açıklamışsınız. Anlaşılan o ki hem şirketlerin hem de çalışanların bu tatsız olayda parmağı oluyor. Yani bilinçsizliklerinden kaynaklanabiliyor.

Peki sizin şirket bu vakitten sonra Linux'a geçmeyi düşünmez mi? Sizin de söylediğiniz gibi e-postalara epey .exe uzantılı dosya geliyormuş. Siz açmasanız "pc özürlü"ler açabilir. Ne de olsa Linux'ta .exe dosyaların açılımına izin verilmediği için bu durumdan kaynaklı sorun ortaya gelmeyecektir.

Genel anlamda soruyorum: Linux dururken şirketler niçin Windows kullanmakta ısrar ederler ki?

freeman

Alıntı yapılan: kuzgun_birde bizim şirket gibi kullanıcılara administor yetki vermişseniz eyvahlar olsun..)
Demek dolandırıcılardan ziyade sistem yöneticileri sorumlu bu olaydan. Gerekli önlemleri almıyorlar sonra, vay efendim öyle oldu böyle oldu...
Ben şirket yöneticisi olsam doğrudan bu sistem  yöneticilerinden parayı isterdim herhalde. :)


Mailleri bile herkese açtırmamak gerekiyor. Sorumlu bir kişi olmalı o açmalı tüm mailleri.
Good morning and welcome to the Black Mesa Transit System. This automated train is provided for the security and convenience of the Black Mesa Research Facility personnel.

kuzgun_


Alıntı Yap

Genel anlamda soruyorum: Linux dururken şirketler niçin Windows kullanmakta ısrar ederler ki?
malesef bunun iki önemli sebebi var, 1)kullanıcı alışkanlıkları Windows gibi 2)kullanılan ticari programlar
kullanıdığımız programlardan Tiger Plus programınız linux versiyonu mevcutmuş ama lisansı baya ama baya tuzluymuş :)
BSD >> Bilmediğin Sulara Dalmıcan!!

Gabriel

@kuzgun_ Tiger Enterprise kullanıyorum ben de. Linux versiyonunun olduğundan hiç bahsetmedi Logo. Bu bilgiyi nereden aldınız?
Yeryüzü bize atalarımızdan miras kalmadı, çocuklarımızdan ödünç aldık.

plazma


heartsmagic

Alıntı yapılan: heartsmagicLinux tarafında pek örneği yok yanlış bilmiyorsam. Sunucu değil zaten buradaki hedef, kişisel verileri elde ederek para kopartmak. 
Bu sözüm kadük oldu o zaman @plazma'nın geçtiği bağlantıdan sonra :)
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

plazma

Şekil değiştiriyor galiba insanlar önlem almaya başlayınca herhalde artık sunucu web sitesi ne doğru sıçramalar gerçekleştiriyorlar. Belli olmaz yarın öbür gün belki mobilede sıçrayabilir

seron

#22
Arkadaşlar, konuya geç katılıyorum ama benim de söyleyeceklerim var.

Bildiğim kadarıyla bu virüs -şimdilik- sadece windows üzerinde çalışıyor. Bunu yapan * uluslararası bir çete. İnternet ortamında daha çok "PTT virüsü" olarak biliniyor ve eposta adresinize bir eposta geliyor: "tarafınıza gönderilen paketi ulaştıramadık da... ulaşmasını istiyorsanız ekteki dosyayı indirip tıklayın da... formu doldurun da..." diye yazıyor ve inanıp indiren şahıslar arşivi açıp tıklatınca KÜÜÜÜT! veriler gidiyor. Bazı internet forumlarında anlatımlardan anladığım kadarıyla bu virüsün çeşitli varyasyonları var ve bazıları için çözüm sunulmuşsa da garantili değil. Bir yazıda şöyle anlatıyor: "bu virüsün bir varyasyonu, dosyaların bir kopyasını oluşturup şifreliyor ve orjinal dosyayı siliyor. bu nedenle bir antivirüsle virüs temizlendikten sonra bir geri getirme yazılımı ile bu silinen orjinal dosyalara ulaşmaya çalışılabilir" deniyor.

Eğer tamamiyle format atılmadıysa bu yöntem de denenebilir. Fakat eğer o şifrelenmiş dosyaları çözmeye kalkışırsanız, yıllarca uğraşmanız gerekecektir, denemeyin bile. Anlayacağınız bu virüsü sisteminize soktuysanız, dosyalarınız yüzde doksan ihtimalle "gitti" demektir.

Bu arada "konuyla ne alakası var?" diyebilirsiniz ama güvenlik çok çok önemli bir unsurdur ve Kevin MİTNİCK'in "Aldatma Sanatı" adlı kitabını mutlaka okuyun. resmi bir kurumdan da gelse, eklerinizi dikkatle açın(ya da açmayın). Sisteminizde mutlaka iyi ve güncel bir antivirüs kurulu olsun...

Benden bu kadar...


plazma

@seron başlığın tamamını okursanız güncel hali veya varyasyonları sadece windows u kapsamadığını göreceksiniz.

seron

Alıntı yapılan: plazma - 11 Kasım 2015 - 00:39:06
@seron başlığın tamamını okursanız güncel hali veya varyasyonları sadece windows u kapsamadığını göreceksiniz.
Evet linki görmemişim kusura bakmayın. O halde ister linux kullanıcısı ister diğer kullanıcısı olalım, daha dikkatli ve bilinçli kullanıcılar olmamız şart. her gelen maile bu neymiş diye açmamak veya ekleri hemen açmamak gerekiyor. Zira bulaşma metodunu yukarıda bahsetmiştik: "emanetiniz elinize ulaşamadı, adres bilgilerinizi güncellemeniz gerekiyor" diye mail alınıyor ve kabus bundan sonra başlıyor...