Forum
Bildirimler
Hepsini Temizle
Mail Servisleri ve Sorunları
3
Yazılar
2
Üyeler
0
Likes
503
Görüntüleme
Konu başlatıcı
Merhaba küçük çaplı şirkette çalışmaktayım güvenlik duvarı vs kullanmıyoruz maalesef maliyetlerden dolayı alınmıyor nekadar talep etsem de. "*.XLS" uzantılı dosya (zip içinde) satış listesi vs başlığı altında göndererek saldırmaktalar. Özellikle birkaç sunucuyu patlatıp oradan kendilerine yeni mail adresi açıp açtıkları adreslerden ellerinde bulunan mail listelerine toplu göndererek bu işi yapmaktadırlar bazıları ise tek tek şirketleri inceleyip ulaşabilirse birimlerine ulaşıp kişisel bilgileri alıp ona göre özel mail atmaktadırlar. Personeli nekadar uyarsam da işi olmayan şeylerle ilgilenmeyi çok sevdikleri için açıp tıklıyorlar. En büyük önlem olarak bilgisayarlardaki zip ve rar programlarını kaldırıp bu uzantılı dosyaları en azından açmalarını engellemiş olacağım. Adamlar çok profesyonel yapıyorlar virüsleri antivirüsler yakalayamıyor. Şuanda tespit ettiğim dosya yolları aşağıdadır :
Admin Yetkili Pc
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce
Data : C:\Windows\"random isim yada hard dizisi".exe
Kısıtlı Pc
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce
Data : C:\ProgramData\"random isim yada hard dizisi".exe
Bu konumlarda virüs barınmakta bunları kaldırırsanız daha sonradan da olusturdugunuz dosyalarınızı tehlikeden kurtarmıs olursunuz.
Dosyalar rasgele uzantı ile kilitlenmekte olup hiçbir şekilde çözülememektedir. Daha önceki versiyonları çözülüyor ancak şimdikiler geliştirilmiş çok güzel şekilde şifrelemektedir.
Şuanda hedef aldığı uzantılar saymakla bitmez bazıları : .pst(mail) , .docx(bilimum microsoft uzantıları) vs. vs. vs. gerçekten adamlar geri dönüşlere göre çok iyi şekilde geliştirmişler. Savcılık da bakanlık da hiçbir şekilde müdehale edememektedir. Torbrowse üzerinden .onion uzantılı sitelerinden şifre çözücü yazılım satıyorlar tabi nekadar güvenilirdir allah bilir. Vel hasıl kelam çok güzel gizleniyorlar ancak bu işi yapanlar TÜRK olduğu için %95 i lamerdir. Dosyalarınızı geri getiremezsiniz ama dediğim gibi lamerler bazı şeyleri atlamaktalar. Dosyalarınızı Data Recovery programları iile tarama yapıp kurtarabilirsiniz. Bu işe yaramadı ise ShadowExplorer adlı program ile birkaçgün öncesine kadar yedekleri bulabilirsiniz sıkıntısız kurtarma yapabilirsiniz ancak sadece c: diskte geçerli.
Gönderildi : 07/03/2017 16:34
Merhabalar;
Üstad, birkaç hususu hatırlatmakta fayda görüyorum.
1- winzip, winrar kaldırmayın. zira bu durumda gerçekten gündelik hayatınızı etkileyecek sorunlarla uğraşmak zorunda kalırsınız. Burada yapmamız gereken veya işimiz, çalışan personelin konforundan feragat etmeden önlem alabilmek. Winrar,Winzip gibi uygualamalar arşivlenmiş dosyadan belgeyi açmaya çalıştığınızda prensip olarak /temp dizinine dosyaları atarlar ve ordan veriyi açmaya çalışırlar. Hal böyle olunca bu dizinlerden çalışmayı uygulama çalıştırmayı yasaklarsanız uygulama kaldırmadan da doğrudan mail ekiyle gelen arşiv dosyalarına bir nebze de olsa çözüm sağlarsınız.
İlgili makale için : Tıklayın
İlk maddenin sonundaki kural listesini indirip sadece istemci makinalarınıza uygulayabilirsiniz.
2- artık arşiv dosyası biçiminde gelmediği için ( genelde xls,doc,JS) bunun dışında da çözümlere ihtiyacınız bulunmakta.
Ayrıca uygulama makalesi için : Tıklayınız
3- recovery uygulamaları eğer ilgili makinayı yakın dönemde formatladıysanız ya da dosyaları taşıdıysanız, ya da silip tekrar oluşturduysanız fayda sağlar, cryptolocker çeşitlerinde dosya taşıma/silme gibi bir işlem yapılmadığından veri kurtarma uygulamaları muhtemelen işe yaramayacaktır.
4- hacker'lara ödemeyi birkaç nedenden dolayı kesinlikle tavsiye etmiyoruz.
4.1. etik değil, adamları beslemiş ve dolaylı da olsa tekrar saldırı için motive etmiş oluyoruz
4.2. ödeme yapsanız bile alacağınızın garantisini kimse garanti edemez
4.3 bazı meblağlar, datayı tekrar oluşturmaktan çok daha pahalı.
Bunun dışında bu çözümler ancak riski büyük oranda azaltmanıza yardımcı olur, riski tamamen sıfırlamanız ancak düzenli,doğrulanmış, çevrimdışı bir yedekle sağlanabilir.
Yine bahsettiğiniz gibi, shadow explorer şuan birçok sürüm için en etkili ve hızlı çözüm.
Saygılar.
Gönderildi : 08/03/2017 13:22
Konu başlatıcı
İlginiz için teşekkürler hocam. Büyük oranda artık cryptolocker virüsünü engelledim ancak tabi son kullanıcılar herzaman bir şekilde yakalanıyor 🙂
Gönderildi : 20/03/2017 12:24
