Hacker (craker) tarafından şifrelenen veri dosyaları

[kuzgun_]

Merhabalar, (konuyu açacak yer bulamadım umarım sıkıntı olmaz)
Daha önceden duymuşsunuzdur, hackerlar tarafından şifrelenen dosyaları açmak için para istenmesi durumu çalıştığım şirketin yan kuruluşunda meydana geldi.. Şahıs tüm muhasebe verilerini şifrelemiş ve 9 gün içinde 500$ göndermez isek dosyaları silmekle tehdit ediyor.. Şirket paradan çok hacker sözünü tutacağından şüpeli olduğu için parayı göndermek istemiyor.
Sizlerin acaba bu konuda yardımı dokunabilir mi? Verileri kurtarmak için bir çözümünüz var mı?

[nuked]

https://noransom.kaspersky.com/

Kaspersky in böyle bir sitesi var iki tane grubun kullandığını şifreler çözülmüş. Belki yardımı dokunur.

Dosyaların silinmesini önlemek içinde diskin kopyasını alabilirsiniz.

Hatta bir haberde fbi bile paranın ödenmesini öneriyor.çok fazla bir seçenek yok.

[Reverser]

Cryptolockerdan bahsediyorsun sanırım. Bu aralar ttnet virüsü diye geçiyor geçen hafta bu virüs şirket sunucumuza ve yereldeki clientlere bulaştı. İşin kötüsü virüs silinse bile dosyalar encrypted olarak kalıyor. Decrypter bulamayınca formatlamak zorunda kaldık...

[heartsmagic]

Şirket paradan çok hacker sözünü tutacağından şüpeli olduğu için parayı göndermek istemiyor.

Bu konuda pek sorun olmuyor diye biliyorum, zira para gönderildiğinde verileri vermezlerse bir sonraki durumda karşı tarafın ödeme yapmayı istemeyeceğini biliyorlar. Kaba tabirle altın yumurtlayan tavuk hikâyesi. Yine de benim/bizim sözlerimiz bağlayıcı olmasın lütfen. @nuked güzel bir bağlantı vermiş önce o yollar denenebilir.

[earas]

Parayı veriyorlar. Eğer veriler çok önemliyse bitcoin ile ödeme yapıp datalarınızı kurtarın.
Danışmanlık firmasında çalıştığım için pek çok müşteride bu sorunla karşılaştım. Özellikle kendi lokal IT departmanı olan firmalar, personellerin tedbirsizliği nedeniyle bu sorunla daha sık karşılaşıyor.
Şifreyi çözüp verileri almanın bir yolunu bilmiyorum. Ancak önlem olarak şu 3 şey hayat kurtarabilir;
1) Mümkünse hiçbir kullanıcıya gereksiz yere local adminlik vermeyin. Standart user olarak kalsınlar.
2) Mümkünse her makinada ya da en azından ortak dosya depolamalarını barındıran yerlerde shadow copy açık olsun. Bu sayede veri şifrelense bile önceki sürüme dönerek şifresiz bir şekilde dosyalara erişebilirsiniz.
3) Bulut hizmetleri bu maillerin yayılmasını önemli ölçüde kesiyor. Ya küçük ve orta ölçekli firmalara, kobilere bulut mail sistemlerini önerin, ya da mutlaka Symantec cloud tarzı sistemlerle mail denetimi yapın. Bu önlem sayesinde (doğru yapılandırıldığı takdirde) sizi zararlı maillerin serbestçe yayılmasından koruyacaktır.

[plazma]

Şifreleme 25 karekter ve 256 bit olduğundan kırılmıyor, bu tip iş (aslında dolandırıcılık) yapanlar genelde de ruslar oluyor.

[freeman]

Bu durum Linux sunucuları da etkiliyor mu?
Gerçi günlük yedek alınsa şifrelense bile problem olmaz. 

[heartsmagic]

Linux tarafında pek örneği yok yanlış bilmiyorsam. Sunucu değil zaten buradaki hedef, kişisel verileri elde ederek para kopartmak. 

[ubuntuM]

Merhabalar, (konuyu açacak yer bulamadım umarım sıkıntı olmaz)
Daha önceden duymuşsunuzdur, hackerlar tarafından şifrelenen dosyaları açmak için para istenmesi durumu çalıştığım şirketin yan kuruluşunda meydana geldi.. Şahıs tüm muhasebe verilerini şifrelemiş ve 9 gün içinde 500$ göndermez isek dosyaları silmekle tehdit ediyor.. Şirket paradan çok hacker sözünü tutacağından şüpeli olduğu için parayı göndermek istemiyor.
Sizlerin acaba bu konuda yardımı dokunabilir mi? Verileri kurtarmak için bir çözümünüz var mı?

Meraktan soruyorum, bu olay Windows yüklü bilgisayarda mı oluyor yoksa Linux yüklü bilgisayarda mı oluyor?

[kuzgun_]

Meraktan soruyorum, bu olay Windows yüklü bilgisayarda mı oluyor yoksa Linux yüklü bilgisayarda mı oluyor?

windows7 bilgisayar malesef.
dediğiniz gibi şu an için kurtarmanın bi çözümü yok benimde araştırmalarıma göre, ödeyenlerin bazıları kurtarmış bazılarıda "üzgünüz şifrenizi kaybettik" gibi yanıtlar almışlar..
ilgilendiğiniz için teşekkür ederim.

[earas]

Linux sistemlerde şifreleme yapamıyor ancak misal Samba(veya qnap) üzerinden dosya paylaşımı yapıyorsanız, windows bir pcye bulaşan cryptolocker, etkin hesabın yetkisinin olduğu tüm dosyaları şifreliyor. Zaten zararlının olayı bu. Çalıştığı hesabın erişebildiği belli başlı dosya formatlarını şifrelemek. Yeni versiyonlarında map driverlar ve masaüstündeki ortak alanlara giden kısayollar dahil.

[ubuntuM]

Meraktan soruyorum, bu olay Windows yüklü bilgisayarda mı oluyor yoksa Linux yüklü bilgisayarda mı oluyor?

windows7 bilgisayar malesef.
dediğiniz gibi şu an için kurtarmanın bi çözümü yok benimde araştırmalarıma göre, ödeyenlerin bazıları kurtarmış bazılarıda "üzgünüz şifrenizi kaybettik" gibi yanıtlar almışlar..
ilgilendiğiniz için teşekkür ederim.

Peki bu olay gerçekleştikten sonra karşı taraf sizinle iletişime geçmek için hangi yolu denedi? Telefon, e-posta vs.

[ubuntuM]

Linux sistemlerde şifreleme yapamıyor ancak misal Samba(veya qnap) üzerinden dosya paylaşımı yapıyorsanız, windows bir pcye bulaşan cryptolocker, etkin hesabın yetkisinin olduğu tüm dosyaları şifreliyor. Zaten zararlının olayı bu. Çalıştığı hesabın erişebildiği belli başlı dosya formatlarını şifrelemek. Yeni versiyonlarında map driverlar ve masaüstündeki ortak alanlara giden kısayollar dahil.

O an masaüstü bulut klasörü bilgisayarda yüklü olsa ve SD vart ve Flash bellek vesayre takılı olsa bunlardaki dosyalar da şifrelenir mi?

[Reverser]

zararlı yazılıma önceden tanımlanmış uzantıya sahip dosyalar şifreleniyor office dosyaları arşiv dosyaları vs. gibi.

[kuzgun_]

Peki bu olay gerçekleştikten sonra karşı taraf sizinle iletişime geçmek için hangi yolu denedi? Telefon, e-posta vs.

aynen diğer insanların başına geldiği gibi, "bilgisayarınız crytolocker tarafından şifrelenmiştir" msj veriyor.. masatünde "şifreyi çözmek için talimatlar" adı altında html dosyası var.. sizi bulut bir web sayfasına yönlendiriyor. ödemeyi BTC (bitcoin) olarak talep ediyorlar.. bilgi işlemcimiz müdahale etmemizi istemediğinden detaylandıramıyorum. sanırsam yönlendirdiği sitede deneme amaçlı önemsiz bir dosyanında şifresini çözüp indirmenize olanak tanıyorlar.. adam(lar) resmen ticari hizmet veriyor.. formlardan anladığım kadarıyla mağdur sayısı hiçte hafife alınacak gibi değil
(işin kötü tarafı benim gibi böyle olayları takip eden birinin bunlardan yeni haberi olması şirket maillerine sürekli zip'li mail geliyor açmadan siliyorum .exe uzantılı diye. Ama şirketlerde çalışan onlarca pc özürlü insanları düşününce bu olay her şirket için kaçınılmaz.. birde bizim şirket gibi kullanıcılara administor yetki vermişseniz eyvahlar olsun..)

[ubuntuM]

şirket maillerine sürekli zip'li mail geliyor açmadan siliyorum .exe uzantılı diye. Ama şirketlerde çalışan onlarca pc özürlü insanları düşününce bu olay her şirket için kaçınılmaz.. birde bizim şirket gibi kullanıcılara administor yetki vermişseniz eyvahlar olsun..)

Çok güzel açıklamışsınız. Anlaşılan o ki hem şirketlerin hem de çalışanların bu tatsız olayda parmağı oluyor. Yani bilinçsizliklerinden kaynaklanabiliyor.

Peki sizin şirket bu vakitten sonra Linux'a geçmeyi düşünmez mi? Sizin de söylediğiniz gibi e-postalara epey .exe uzantılı dosya geliyormuş. Siz açmasanız "pc özürlü"ler açabilir. Ne de olsa Linux'ta .exe dosyaların açılımına izin verilmediği için bu durumdan kaynaklı sorun ortaya gelmeyecektir.

Genel anlamda soruyorum: Linux dururken şirketler niçin Windows kullanmakta ısrar ederler ki?

[freeman]

birde bizim şirket gibi kullanıcılara administor yetki vermişseniz eyvahlar olsun..)

Demek dolandırıcılardan ziyade sistem yöneticileri sorumlu bu olaydan. Gerekli önlemleri almıyorlar sonra, vay efendim öyle oldu böyle oldu...
Ben şirket yöneticisi olsam doğrudan bu sistem  yöneticilerinden parayı isterdim herhalde.


Mailleri bile herkese açtırmamak gerekiyor. Sorumlu bir kişi olmalı o açmalı tüm mailleri.

[kuzgun_]

Genel anlamda soruyorum: Linux dururken şirketler niçin Windows kullanmakta ısrar ederler ki?

malesef bunun iki önemli sebebi var, 1)kullanıcı alışkanlıkları Windows gibi 2)kullanılan ticari programlar
kullanıdığımız programlardan Tiger Plus programınız linux versiyonu mevcutmuş ama lisansı baya ama baya tuzluymuş

[Gabriel]

@kuzgun_ Tiger Enterprise kullanıyorum ben de. Linux versiyonunun olduğundan hiç bahsetmedi Logo. Bu bilgiyi nereden aldınız?

[plazma]

Şöyle bir makale çıktı ilgilenenler bakabilirler http://thehackernews.com/2015/11/linux-ransomware.html?m=1

[heartsmagic]

Linux tarafında pek örneği yok yanlış bilmiyorsam. Sunucu değil zaten buradaki hedef, kişisel verileri elde ederek para kopartmak. 

Bu sözüm kadük oldu o zaman @plazma'nın geçtiği bağlantıdan sonra

[plazma]

Şekil değiştiriyor galiba insanlar önlem almaya başlayınca herhalde artık sunucu web sitesi ne doğru sıçramalar gerçekleştiriyorlar. Belli olmaz yarın öbür gün belki mobilede sıçrayabilir

[seron]

Arkadaşlar, konuya geç katılıyorum ama benim de söyleyeceklerim var.

Bildiğim kadarıyla bu virüs -şimdilik- sadece windows üzerinde çalışıyor. Bunu yapan * uluslararası bir çete. İnternet ortamında daha çok "PTT virüsü" olarak biliniyor ve eposta adresinize bir eposta geliyor: "tarafınıza gönderilen paketi ulaştıramadık da... ulaşmasını istiyorsanız ekteki dosyayı indirip tıklayın da... formu doldurun da..." diye yazıyor ve inanıp indiren şahıslar arşivi açıp tıklatınca KÜÜÜÜT! veriler gidiyor. Bazı internet forumlarında anlatımlardan anladığım kadarıyla bu virüsün çeşitli varyasyonları var ve bazıları için çözüm sunulmuşsa da garantili değil. Bir yazıda şöyle anlatıyor: "bu virüsün bir varyasyonu, dosyaların bir kopyasını oluşturup şifreliyor ve orjinal dosyayı siliyor. bu nedenle bir antivirüsle virüs temizlendikten sonra bir geri getirme yazılımı ile bu silinen orjinal dosyalara ulaşmaya çalışılabilir" deniyor.

Eğer tamamiyle format atılmadıysa bu yöntem de denenebilir. Fakat eğer o şifrelenmiş dosyaları çözmeye kalkışırsanız, yıllarca uğraşmanız gerekecektir, denemeyin bile. Anlayacağınız bu virüsü sisteminize soktuysanız, dosyalarınız yüzde doksan ihtimalle "gitti" demektir.

Bu arada "konuyla ne alakası var?" diyebilirsiniz ama güvenlik çok çok önemli bir unsurdur ve Kevin MİTNİCK'in "Aldatma Sanatı" adlı kitabını mutlaka okuyun. resmi bir kurumdan da gelse, eklerinizi dikkatle açın(ya da açmayın). Sisteminizde mutlaka iyi ve güncel bir antivirüs kurulu olsun...

Benden bu kadar...

[plazma]

@seron başlığın tamamını okursanız güncel hali veya varyasyonları sadece windows u kapsamadığını göreceksiniz.

[seron]

@seron başlığın tamamını okursanız güncel hali veya varyasyonları sadece windows u kapsamadığını göreceksiniz.

Evet linki görmemişim kusura bakmayın. O halde ister linux kullanıcısı ister diğer kullanıcısı olalım, daha dikkatli ve bilinçli kullanıcılar olmamız şart. her gelen maile bu neymiş diye açmamak veya ekleri hemen açmamak gerekiyor. Zira bulaşma metodunu yukarıda bahsetmiştik: "emanetiniz elinize ulaşamadı, adres bilgilerinizi güncellemeniz gerekiyor" diye mail alınıyor ve kabus bundan sonra başlıyor...