Crypto Virüsü Temiz...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Crypto Virüsü Temizleme Hk.  

  RSS
güney özcan
(@guneyozcan)
Üye

Merhaba.

Dün Client bilgisayarlardan bir tanesine Crypto virüsün bir versiyonu bulaştı.

Bilgisayarı ağdan çıkardım.

ancak bir süre sonra sunuculardan bir tanesi üzerindeki uygulama da çalışmadı. incelediğimde sql verilerinin şifrelenmediğini ancak programın bazı dosyaları şifrelendiği için çalışmadığını gördüm.

yeniden kurulum yaptığımda sorun kalmayacak. ciddi bir veri kaybı olmadığı için çok fazla sorun yaşamadık. şimdilik başka bir bilgisayarda veya sunucuda da görmedim. 

ancak virüsü sistemden tamamen temizlemek veya yayılmasını önlemek için yapılması gerekenler nelerdir?

 

teşekkürler. 

Alıntı
Gönderildi : 22/07/2020 09:34
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Tek bir türev, tip olmadığı için ajanın ismini tespit ederek int den arayınız yaygın bir türev ise anti çözümlerin support sitelerinde bulaşma alanları ve çözüm yöntemleri yazar.
Disk yedeğiniz varsa bulaşan dosyaları geri yükleyebilirsiniz. Anlaşıldığı kadarıyla güncel bir anti çözümünüz yok yada yeni türevi tespit edemiyor. Sistemden ayırdığınız cihaz üzerinden farklı ürünlerle analiz yapmanız fikir verir.
Akabinde de bulaşan yöntemine göre aksiyonlar almalısınız mail filter çözümü, dışarı açık portları kapatma gibi bunlarla ilgili konular mevcut forumda ve makalelerde.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 22/07/2020 11:00
Erdem Yağlıkara
(@erdemyaglikara)
Üye

Merhaba,

Öncelikle geçmiş olsun zor bir süreci atlamışsınız tekrar bu tarz saldırılar yaşamamak adına sistemde bulunan açıkları gözden geçirmeniz önemli ayrıca saldırının nasıl olduğunu bulmanız gerekiyor.

Aşağıdaki postları incelemenizi tavsiye ederim.

https://www.cozumpark.com/community/forum/449663/

https://www.cozumpark.com/community/windows_server-4/cryptolocker/

CevapAlıntı
Gönderildi : 22/07/2020 11:02
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 22/07/2020 12:13
Ömer Yılmaz
(@omeryilmaz)
Üye

Hocam, O Client PC ye antivirüs ve formatlama işlemi yapmadan virüsün kodu var session numarası onları bir yere not edin/yedekleyin.  Anti Virüs firmaları bazı türevleri için çözüm sunduğunu iddia ediyor fakat PC deki şifreli kodlara ihtiyaç duyuyor. Amatörce bilgi edinmek için Virüs bulaşmış PC yi antivirüs ile temizlemiştim, fakat harici diskte ne var ne yok 1TB lık veriyi şifrelemiş. Çözüm için deneme yaptığım programlar PC antivirüs ile temizlendiği için işlem yapamadı. 

İbrahim hocamın dediği gibi çok türevi var araştırmalarım sonucu bir şahıs açık kaynak kodlu şifreleme olarak projeyi paylaşım sitesine ekliyor. Art niyetli kişilerde bilgi ve zekasını faydalı işler yerine, faydasız işler için kullandıklarından her geçen gün yeni türevi çıkıyor, bence çıkmaya da devam edecek proje github sitesinde halen duruyor olabilir.

 

CevapAlıntı
Gönderildi : 23/07/2020 10:09
güney özcan
(@guneyozcan)
Üye

@omeryilmaz

 

öncelikle cevaplar için teşekkürler .

 

açıkçası bu seferlik şifrelenen verilerin çok önemi yok. sunucuda bir sorun yaratmadı. client üzerindeki dosyalar da hayati önemde değil. o yüzden sunucuyu antivirüsle taradım, client'a da doğrudan format atacağım. 

şimdilik yapmak istediğim şey öncelikle sistemi tamamen bu virüsten temizlemek. daha sonra da tekrar bulaşmasını engellemek.

 

şuan için sistemdeki tüm cihazları tarıyorum. sunuculardaki ve clientlerdeki varsa eksik güncellemeleri tamamlıyorum. 

tüm önemli verileri manuel olarak sistem dışında yedekledim. 

paylaşımdaki ortak klasörleri bir süreliğine durdurdum. bunların yetkileriyle ilgili düzenlemeler yapacağım. (dosya paylaşım güvenliğini artırmak için önerilere açığım)

tüm clientleri local admin yetkisinden çıkardım. 

domain kullanıcılarının da yetkilerini inceliyorum, gereksiz olanları kaldırıyorum. 

 

şimdilik farklı cihazlara bulaşmaması için aldığım önemler bunlar. ancak virüsün nasıl bulaştığını tespit edemedim. neden sadece 2 cihazda kaldığını da anlayamadım. 

Bu ileti 4 ay önce güney özcan tarafından düzenlendi
CevapAlıntı
Gönderildi : 23/07/2020 14:25
Ömer Yılmaz
(@omeryilmaz)
Üye

Geçmiş olsun iyi çalışmalar dilerim,
Size bulaşan dosya uzantılar nedir, yedeklediğiniz bölümde o uzantıyı arama kutusunda arayınız gözden kaçan bir şeyler olabilir. Umarım olmamıştır eğer olursa o virüslü PC işinize yarama ihtimali var yukarıda bahsettiğim mevzu.

File Server için önlem amaçlı Hakan hocanın paylaşımı var değerlendirin.
https://www.cozumpark.com/file-system-resource-manager-fsrm-ile-anti-ransomware-list-kullan-m/  

Şu konuları da gözden geçirmenizi tavsiye ederim.
https://www.cozumpark.com/community/forum/484894/
https://www.cozumpark.com/community/forum/470305/

Fidyeciler bilgisayarda ne yapıyor fikir olması açısından aşağıdaki linki de Mert Sarıca makalesini inceleyiniz güzel bir taktik (o fidyeci maildeki faturalardan değil, dışarıdan ulaştıysa tuzak sistem ile bir ihtimal yakalarsanız şifreleri görmüş olursunuz ek olarak zor bir ihtimal).
https://www.mertsarica.com/tuzak-sistem-ile-hacker-avi/  

CevapAlıntı
Gönderildi : 23/07/2020 16:30
Hakan Uzuner beğendi
Paylaş: