Kriptoya karşı yapılabilecekler.

Merhaba,

Cryptolocker saldırısı bir çok yerden gelebilmektedir dışa açık olan bir porttan,mail üzerinden,internet siteleri üzerinden,taşınabilir cihaz üzerinden gelebilmektedir.

En basitinden yapılması gerekenler,

Dışa açık olan portlarınızı kapatınız özellikle 3389 gibi zafiyet derecesi oldukça yüksek bir port açıksa bunu kapatıp vpn kullanın eğer kapatma şansınız yok ise port numarasını değiştirebilir ve dışarıdan bağlanacak kişiye statik ip adresi aldırabilir sadece o ip adresinin bağlanmasını sağlayabilirsiniz.

Güncel işletim sistemi kullanın ve updateler her zaman yüklü olsun Windows 10 bu konuda çok iyi.

Paralı bir antvirüs progamı alın eset,symantec,trend micro,vb ve güncellemeleri takip edin.

Mail ortamında office 365 , gmail gibi global firmalarla çalışmanız mail üzerinden gelebilecek saldırılara (Oltalama maillere) koruma sağlamaktadır.

Son kullanacılara farkındalık eğitimleri verin 2 yada 3 ayda bir toplu mail atın cryptolocker ile bilgilerindirme üzerine.

Firewall üzerinde policyler iyi ayarlanmalı herkes istediği siteye erişmemeli.

Bilgisayardaki usb portların kısıtlanması gerekemekte tabiri caizse önüne her gelen usb belleği bilgisayara takıp çalıştırmamalı.

Clientlarda kesinlikle local admin yetkisi olamamalı.

Bu liste bu şekilde uzayıp gider ama en basitinden bunları yapabilirsiniz.

Ancak şunu unutmayın hiç bir sistem %100 güvenli değildir.

Merhaba,

Erdem bey çok güzel detay vermiş. Çok güzel noktalara değinmiş özellikle Son Kullanıcı Farkındalık Eğitimi işin omurgası.

Artık kripto sistemler çok akıllı tüm sistemleri imzası tanınmamış ve yeni ise rahatça delip son kullanıcıya gidebilir. Sizde burada çok yeni bir saldırı türüne maruzsanız en büyük kalkanınız son kullanıcı.

Ayrıca file server üzerinde uzantı kısıtlayın örnek olarak burada sadece pdf,doc,xls gibi dosyalar eklenebilir şeklinde ayar yapın. (File Server Resource Manager)

Selamlar ;

Kapatma  şansınız  olmayan portlara 3389 yani rdp portu da  dahil ise mutlaka sisteminiz  hackelenecek dosyalarınız  şifrelenecektir ama bu sadece  zaman meselesidir belki 3 ay sonra  belki 3  sene  sonra diğer  portlar  için IDS/IPS vb çözümler mevcut ancak 3389 KESINLIKLE PUBLIC AÇIK OLMAMALIDIR.

Son günlerin en can sıkıcı konularından biri malum kripto virüsleri.Çözüm olarak öngördüğümüz yöntemlerden biri güvenlik duvarlarıydı ama son günlerde içeriden herhangi bir zaafiyet olmamasına vede güvenlik duvarımız olmasına rağmen sistemlerimizin etkilendiğine şahit olduk.

Bu konuda kesin bir çözüm yok kabul ama güvenlik duvarımız ve güncel antivirüsümüz olmasına rağmen yeni bir yöntemle portlar üzerinden erişilebiliyor.Yani verilen onca para boşuna .

Portları kapatma şansımız yok her zaman VPN de kullanamıyoruz. Bu noktada önerileriniz nelerdir .Yani düşük bütçeli bir sisteme saldırıları nasıl önleyeceğiz.

Fikirleriniz için şimdiden teşekkürler.

 

Haklısınız ama firewall veya modem üzerinden portu yönlendirsekte çözüm değil.Yani 3389 yönlendirsekte faydası yok.

Haklısınız ama yukarıda yazdıklarınızın çoğu olmasına rağmen yine bulaşma söz konusu.Güncel antivirüs var dışarıya erişim sınırlı portlar farklı bir porta yönlendirilmiş.Fortigate var.Ama çözüm yok yine bulaştı.Yeni yöntem açık portlara exe yollamakmış.İçeriden müdahale olmasına gerek yok.Portu modem üzerinden yönlendirsenizde farketmiyor.

Merhaba,

Sisteminize cryptolocker virüsü tam olarak nasıl bulaştı? açık olan portlara exe saldırısı tam olarak anlamdım? exe saldırsına maruz kalabilmeniz için ilk önce sisteminizin içersine giriş yapılması gerekiyor.

Geçtiğimiz günlerde bir webinar vardı. İzlemek isterseniz;

https://www.youtube.com/watch?v=m0XL75JqU-Y

Son kısım ürün tanıtımı içerir 🙂

merhaba,

Portları kapatma şansımız yok her zaman VPN de kullanamıyoruz. Bu noktada önerileriniz nelerdir .Yani düşük bütçeli bir sisteme saldırıları nasıl önleyeceğiz.

kapatma şansınız olmayan, yani public yöne açık olan servislere bağlı portlar için ips kuralları uygulayın.

erişmesi gereken kişiler/kurumlar sınırlı ise, kaynak ip adreslerine göre filtreleme yapabilirsiniz.

Haklısınız ama yukarıda yazdıklarınızın çoğu olmasına rağmen yine bulaşma söz konusu.Güncel antivirüs var dışarıya erişim sınırlı portlar farklı bir porta yönlendirilmiş.Fortigate var.Ama çözüm yok yine bulaştı.Yeni yöntem açık portlara exe yollamakmış.İçeriden müdahale olmasına gerek yok.Portu modem üzerinden yönlendirsenizde farketmiyor.

Yukarıda anlatılan adımlarda ile çözüm üretemiyorsanız, yüksek ihtimal hatalı yapılandırma veya ürün konumladırma mevcuttur.

ilk olarak av'yi bırakın, artık çözüm ürettikleri alan çok kısıtlı.

sandbox çözümüne sahip bir endpoint çözümü alın ve yönetimini öğrenin. bkz.comodo vb.

fortigate üzerinde security profil tarafında neler yaptınız ?

mesela dışarıya açık servislerinize yönelik ips profilleri mevcut mu ?

erişim loglarını düzenli olarak inceleyin, en azından risk oranı yüksek olanları.

bir servisin portunu varsayılan değerden farklı bir porta yönlendirmek ise kastınız, tespiti çok kısa sürede gerçekleştirilir.

yine ips profil tarafında tarama yapabilen uygulamaları seçip, trafiğini engelleyerek, giriş seviyesinde önlem almış olursunuz.

dns filter/firewall tarafındada düşük maliyetler ek güvenlik sağlamanız mümkün. bkz. comodo domeshield, roksit