TTNET Cryptolocker virüsü nasıl temizlenir

ürünü 2 haftadır kullanıyorum js virüslerini kaçırmadı ortalama günde 7000 adet blokluyor, Kaçırdğı zaman geri dönüş yapacağım

Offical olarak %99.2 kesinlik belirtmişler

Merhaba,

Terminal serverimiza baglanan bir kullanıcı .axx uzantılı virüsten bulastırdı. Simdi diğer kullanıcılarda yok sadece admin hesabı ve bu kullanıcıda mevcut,

1-Su an sistemi nasıl temizleyebilirim?

2-böyle bir duruma düşmemek için alacağım önlemler nelerdir, yardımcı olabilir misiniz?

Buradan neden yardımcı olamıyorsunuz?

hocam size özel mesaj atamıyorum metro internet yapılandırması hakkında yardıma iğtiyaıcm var bu yüzden buraya yazdım görürsünüz diye affınıza sığınıyorum.

http://www.cozumpark.com/forums/thread/16968.aspx

burdaki anlattığınız gibi ayarları ben tp link jet stream l2 managed switch tl sg3210 modeline uygulamyamadım. 

http://www.cozumpark.com/forums/post/500970.aspx

burdada konu actım lütfen yardımcı olurmusunuz rica ediyorum

Merhaba , birkaç hafta önce bizim şirket bilgisayarlarına da bulaşmıştı. Birkaç elemanın nedir bu fatura diye merak edip virüsü indirip tıklaması ile local de nekadar makina varsa hepsine bulaştı ve daha sonra da yine tıklanınca eski aktif olduğu makinalarda tekrar aktif oluyor. Çözüm olarak regeditten yolunu bulup silmek oldu.

Bu konuda en önemli olan kısım virüsün bulaştığı andan itibaren çabuk hareket edilmesidir.

Eğer virüsün bigisayarına bulaştığını hissederseniz hemen bilgisayarı kapatın (power e basılı tutarak ya da fişi çekerek). Buradaki amaç virüsün sizin bilgisayarınızda bulunan dosyaları şifrelemeye başlaması ve dosyaların çokluğuna göre bu zamanın uzamasından dolayı nekadar erken davranılırsa dosyaların(sağ kalan) güvenli alana taşınmasıdır. 

Biraz dağınık bir yazı oldu kusura bakmayın kafamın içinde birsürü sıkıntı sorun çözüm arayışı var işlerim çok yoğun. Ben yandım başkası yanmasın diye yazıyorum bu yazımı da. 🙂

Şimdi geçelim virüsü bulmaya.

Virüs Yolu Aşağıdaki Gibidir : 

Admin Yetkili Pc

HKLM\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce 

dizinine gidilir orada bulunan "afjhıege.exe" gibi bir ibare görülür ve o ibare sağ tıklatıp silinir. Daha sonra aşağıdaki DATA yoluna gidilir orada exe dosyası kanlı canlı görünür o da silinir. 

Data : C:\Windows\asdfasd.exe

Virüs kısıtlı pclere daha az zarar veriyor !

Aşağıdaki de kısıtlı pcler içindir.

Kısıtlı Pc

HKCU\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\ProgramData\asdfasd.exe

Bu işlemler yapıldıktan sonra kurtalılmasını istediğiniz dosyalar için de eğer şanslı iseniz ->Windows ShadowCopy uygulaması ile dosyalarınız kurtulabilir. Tabi bu virüsün yeteneğine bağlı olarak değişir. Bazı virüsler shadow özelliğini de silip etkisiz hale getirmektedir. 

Eğer shadows Copy özelliği işe yaramadıysa mecburen piyasada bulunan datarecovery programlarını kullanarak çözüm arayabilirsiniz.

->Recuva örnek olarak bence güzel bir programdır. Geçiş ayarlarını da yapabiliyorsunuz.

Üzerine konuşulması tartışılması ve farklı çözümler getirilmesi gereken bir konu. Vaktim olmaması nedeni ile bu yazıyı ancak bukadar yazabilrim. 

Not: Aslında çok basit ve dandik virüstür. ".exe" dosyasının mailinize gelmesi zaten size ben virüs üm diye bağırıyor olması anlamına geliyor. İş bilinçli kullanıcı olmakla halledilebilir. 

Eğer şirketlerde bu sıkıntı ile karşılaşıyor iseniz kullanıcıları bilgilendirmelisiniz.

Dosya uzantılarını görünür hale getirip kullanıcıyı da ".exe " dosyalarını tıklamaması konusunda uyarın. Ben bu şekilde yaptım tüm kullanıcılara açıklama maili attım güzel bir word dosyası oluşturdum ama kimse okumadı 🙂 Uzun yazıları okumakta milletçe bi sıkıntı çekiyoruz maalesef.

Herzaman yedek almayı unutmayın ...

Bilgi için teşekkürler

Bunun çözümünü hosting firmasını değiştirerek buldum. Hiç bir sistem güvenli değildir ama %99.00 iyi iş çıkarıyorlar. Sunuculardan kullanıcılara yönlenmeden engelleniyor. Bu da çok büyük iş yükünden kurtarıyor.

Evet, işini iyi yapan firmalara ile çalışmak onların para kazanmasına ve ayakta kalmasına yardımcı olur, her şeyi ucuza yapmak veya yaptırmak toplum olarak bizim kaybımıza nede olur, çünkü bu şekilde kaliteli iş yapan firma kalmaz.

Kesinlikle öyle. 

Aldığımız hizmet dahilinde. 

Exchange hesabı kullanmamıza rağmen sorunsuz mail yedeği tutmamıza olanak sağlıyor. (Pop hizmeti dahilinde)

Crypto virüslerine karşı çok büyük oranda koruma. 

Alış veriş ve sosyal medya sitelerine üyeliklerdr aktivasyon kodu almayı sınırlama. 

Ve kesintinin sıfıra yakın olması gibi. 

Teknik konularda hızlı bir şekilde hem canlı birine erişim hemde anında çözüm gibi. 

Bunlarda zaten çok büyük artı katıyor. 

Bizim şirketimizede aynı şekilde bu virüs bulaştı ve bütün sistemi axx uzantılı şifre ile şifrelediğini belirtmiş.

Sistem sanal sunucu olduğu için sunucunun Veam uzantılı dosyasını şfrelemiş ve sistem çalışmıyor. Çözümüde yok anladığım kadarıyla

Çünkü yeni sistem olduğunu tahmin ediyorum. Peter Pan nickli bir adi hacker.

Çözüm bulan var mı?

Şu anlık tek çözüm yedek gibi duruyor. 

🙁

merhabalar;
bende bu konuda muzdarip iken şu adreste yazılan yöntemle gerçekten dosyalarımı kurtardım. Benim gibi arayanlara faydalı olur umarım.
http://www.sorbilene.com/cryptolocker-cerber-rdp-hack-sifreli-dosyalar-nasil-kurtarilir-sifreli-dosyalari-acma.html

merhabalar;
bende bu konuda muzdarip iken şu adreste yazılan yöntemle gerçekten dosyalarımı kurtardım. Benim gibi arayanlara faydalı olur umarım.
http://www.sorbilene.com/cryptolocker-cerber-rdp-hack-sifreli-dosyalar-nasil-kurtarilir-sifreli-dosyalari-acma.html

doğru, shadow explorer bir çok varyant için en etkili yöntemdir.
lakin burdaki video'yu izlemenize de gerek yok.
google'da shadow explorer yazarak adrese gidin, programı indirin ve çalıştırın.
Üstte tarihler çıkacak, eğer virüsün sizi etkilediği tarihten daha önceye ait tarih varsa tıklayın, dosyalarınızı göreceksiniz.

En iyi temizlik kirletmemektir 🙂 

Client ve sunucular Trent micro worry free gibi control panele sahip endpoint sürün antivirüs kullanmak 

Dış dünyaya açık olan portları analiz edip gereksiz olanları kapatıp gerekli olanları SSLVPN ile koruma altına alma 

Client ve Sunucu tarafında 2 ayrı notalı ve zamanlı yedekleme planı oluşturma hatta cluster yapılandırma 

Mail server bünyenizde ise Mail gateway kurma ve IPS gibi analizler yapabilen Firewall sahip olmak ve aralıklarla kullanıcıları bilinçlendirme amaçlı ufak sunumlar bilgi broşürleri vermek

Bizde bunları satmaya çalışıyoruz ama almıyorlar, sonra yandım Allah diye geliyorlar 🙂

Bizde bunları satmaya çalışıyoruz ama almıyorlar, sonra yandım Allah diye geliyorlar 🙂

hocam birde ne var ne yoksa satabilen ve yapılandırmadan/kullanılmadan yıllarca kenarda tutabilenler mevcut.

ülke olarak ortamız yok 🙂

Bak çok doğru söylüyorsun öyle modellerde var.

Merhaba,

Kripto virüsü tüm dosyaları şifreledi Belirli bir kısmı kurtardım shadow explorer ile ama virüs shadow copy kısmınıda sildi. Shadow copy dosyaları nerede tutulur? Hangi klasörü undelete ile kurtarmalıyım?

Merhaba

Shadow silindi ise onu geri getiremezsiniz, yedeğini var ise dönebilirsiniz yok ve kritik veriler ise istenilen parayı verebilirsiniz. Para vermek istemiyorsanız bir kaç örnek dosyayı yollayarak belki eski bir türevi ise kurtarabilirsiniz

https://securityaffairs.co/wordpress/53438/malware/ransomware-recover-guide.html