Forum
Merhaba Arkadaşlar,
Özür dilerim nereye yazacağımı bilemediğim için burda konu açmak zorunda kaldım. Windows server 2008 r2 yüklü serverımıza sızıp ticari yazılımlarımızı winrar ile şifreleyip bırakmışlar. Advanced Archive Password Recovery programıyla taratıp kontrol ettim ancak 16 günlük bir süre gösteriyor. şifreyi nasıl kırabilirim bu konuda çok acil yardımınıza ihtiyacım var. şimdiden hepinize teşekkür ediyorum.
Merhaba,
Öncelikle geçmiş olsun. Saldırı sonrası ilk olarak önlem almanız yararlı olacaktır ki, tekrardan başınıza gelmesin.
Buradaki parola karmaşıklığı önemli eğer complex ve uzun bir parola kullanılmış ise bunu belki çözmek bile mümkün olmayacak.
Zaman kaybını engellemek için 3-4 farklı yazılım ile 3-4 cihazda aynı anca çözme işlemi yapmanızda yarar var.
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Merhaba Rıza Bey,
Serverı söktüm. modem üzerinde bulunan tüm ayarları yeniden yapılandırdım tüm portları değiştirdim. Yazılımları geri yüklemek kaldı şifreyi kırmadan format atıp kurulumları tekrar yapmak istemedim belki farklı bir öneri çıkabilir diye. Dediğiniz gibi şuan 3 farklı bilgisayarda tarama yapıyor ancak dosya boyutu yaklaşık 15 gb olduğu için bu işlem normal süreden daha da uzun sürebilir. daha kısa sürede şifreyi kırabilmem mümkün mü acaba? sizin önerebileceğiniz bir yazılım yada öneriniz olabilir mi? Teşekkürler.
Merhaba , şifreyi kırmakla uğraşmak yerine recovery programları ile tarama yapıp dosyaları tekrar bulmayı denemeniz bence daha az zamanda çözüme ulaştırır gibi.
Shadow Explorer vs denediniz mi ?
Bir de programın size verdiği ortalama tamamlanma süresi sizin tarama yaparken belirttiğiniz ölçüler dahilindedir. Yani belli aralık belirlersiniz 10 gün der işin içine özel karakter büyük küçük harf sokarsınız olur size 1 ay yada daha fazla.
Geçmiş olsun.
elcomsoft firmasının winrar grubu üçin ürünü var lisans ortalama 100$ onu alarak elinizde varsa Nvidia 1080 veya 10XX serisi GPU ile o süreyi çok daha kısa zaman aralığına çekebilirsiniz GPU yoksa sunucu vs yapabilirsiniz ama Elcomsoft kesinlikle tavsiye ederim
Zafer bey ;
Aynı problem bizim basımıza geldi şirketin bütün bilgileri şuan winrar ile şifrelenmiş durumda. çözüme ulaşabildinizmi acaba?
Selam Geçmiş olsun
Elcomsoft programını kullanarak açabilirsiniz tavsiyem lisanslı şekilde satın alın derim
performanslı bir pc gün içerisinde şifreyei çözecektir çok defa kullandım
Zafer bey ;
Aynı problem bizim basımıza geldi şirketin bütün bilgileri şuan winrar ile şifrelenmiş durumda. çözüme ulaşabildinizmi acaba?
Bu yeni bir saldırı yöntemi mi yoksa? Daha çok örnek var mı duyumladığınız?
Uzun zamandır RDP üzerinden bağlanıp bu tarz saldırılar gerçekleşiyor. RDP güvenliği bu noktada önemli.
yeni bir yöntem hocam exchange sunucuda başıma geldi. sanırım acemi imiş eleman exchange kurulum dosyalarını rarlayıp servisleri durdurmuş servisleri çalıştırınca sorun kalmadı bende şifrelenmiş dosyayıda sildim. işin acığı ucuz atlattım bunu fakat surekli olarak uzak masaüstü bağlantısı için saldırı alıyorum. kaspersky engellediği halde login olmayı başarmışlar.
Selamlar Samet Bey ;
Geçmiş olsun gercekten ucuz atlatmışssınız ancak RDP hizmeti açık ise bir sonraki sefer acemi birisine denk gelmeyebilirsiniz . RDP hizmetini mutlaka vpn arkasından kullanın ortamınızda Exchange olduguna göre mutlaka Firewall da vardır C2S vpn yapılandırıp sunucuya vpn baglandıktan sonra rdp yapıyor olmanız guvenlıgınız ıcın oldukca önemli.
yeni bir yöntem hocam exchange sunucuda başıma geldi. sanırım acemi imiş eleman exchange kurulum dosyalarını rarlayıp servisleri durdurmuş servisleri çalıştırınca sorun kalmadı bende şifrelenmiş dosyayıda sildim. işin acığı ucuz atlattım bunu fakat surekli olarak uzak masaüstü bağlantısı için saldırı alıyorum. kaspersky engellediği halde login olmayı başarmışlar.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
aslına bakarsanız erken konuşmuşum sanırım. bayram ve bayram öncesi ev taşıması yüzünden evde internet olmadığı için sistemimi tam kontrol edememiştim. bugün sunucularımı kontrol ettiğimde sunucularımda bir çok dosyanın winrar ile şifrelendiğini ve yedeklerimizin silindiğini gördüm açıkcası şuan dünya başıma yıkıldı diyebilirim event loglardan kontrol ettiğimde rdp saldırısı almış fakat saldırı yapılan bilgisayar kendi içerimizde kullanılan bir bilgisayar ve sürekli logon olmaya çalışmış bayram dolayısı ile 9 gün tatildik bu sürede fabrikada kimse yoktu ve bu bilgisayarın kapalı olması gerekiyor. ayrıca watchguard ın bu saldırıyı nasıl geçirdiğini çözemedim. qnaplarımızın ip adreslerine kadar biliyor olması da ilginç geldi. yedek falan hiçbirşey yok elimizde şirketin bütün verileri kilitlenmiş durumda ne yapacağm konusunda da hiçbir fikrim yok şuan
Selamlar ;
Öncelikle geçmiş olsun cloud/tape backup vb network erişimi olmayan bir backup/disaster sisteminiz yok ise pek bir şansınız olmayabilir, Dosyaları silerken yüksek ihtimalle eraser yazılımları ile silmişlerdir deleted recovery yazılımları da çözüm olmayabilir ancak bir deneme yapabilirsiniz veya winrar brut force yapan password toolları mevcut ancak kuvvetle muhtemel hacker kompleks bir şifre kullandığı için şifreyi bulmasıı çok uzun sürecektir.
aslına bakarsanız erken konuşmuşum sanırım. bayram ve bayram öncesi ev taşıması yüzünden evde internet olmadığı için sistemimi tam kontrol edememiştim. bugün sunucularımı kontrol ettiğimde sunucularımda bir çok dosyanın winrar ile şifrelendiğini ve yedeklerimizin silindiğini gördüm açıkcası şuan dünya başıma yıkıldı diyebilirim event loglardan kontrol ettiğimde rdp saldırısı almış fakat saldırı yapılan bilgisayar kendi içerimizde kullanılan bir bilgisayar ve sürekli logon olmaya çalışmış bayram dolayısı ile 9 gün tatildik bu sürede fabrikada kimse yoktu ve bu bilgisayarın kapalı olması gerekiyor. ayrıca watchguard ın bu saldırıyı nasıl geçirdiğini çözemedim. qnaplarımızın ip adreslerine kadar biliyor olması da ilginç geldi. yedek falan hiçbirşey yok elimizde şirketin bütün verileri kilitlenmiş durumda ne yapacağm konusunda da hiçbir fikrim yok şuan
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.