hacklendim, .axx dosyaları ile kriptolandım ve dahası

Merhaba Öncelikle Geçmiş olsun 

Aslında firewall olması veya antivirüs vs olması birşey ifade etmez sizin ne denli doğru ürün kullandığınız ve ne derece dizayn ettiğiniz önemli 

Yedeklerimi silmiş yazdınız demekki NAS ünitenizin şifresi kolay veya dosyalar paylaşıma açık 

RDP açık mı 

shodan.io ip baktığınızda kaydınız var mı ?

mail server hangi portlar açık 

sorulacak sonu gelmeyen onca soru çıkar 

hareket planınız nedir ? Elcomsoft arşiv şifre çözme programları mevcut ücretli alarak deneme yağabilirsiniz yaşayan birçok kişiye önerdim işe yaradı dosyalar tek şifre kullanılıyor 

Merhaba,

Öncelikle geçmiş olsun sıkıntılı bir durum umarım veri kaybınız yoktur.Saldırı tam olarak nasıl olmuş bunu çözebildiniz mi? Olta yönetimi yoksa dışarı açık olan bir port üzerindenmi saldırı olmuş bence ilk bunu öğrenin tekrar aynı durumu yaşamamak için işletim sistemlerinizi kesinlikle güncel tutunuz antivirüs porgamı kullanın ve güncel olsun son kullanıcılara farkındalık eğitimleri veriniz firewall üzerinde policyleriniz düzenli olsun bilgisayarlarda local admin yetkisi var ise kaldırınız backuplarınızı farklı birkaç lokasyona birden kopyalayınız ancak bunların hepsini yapsanız bile sizi 100%100 koruyacak bir sistem yoktur bunu unutmayın.

Selamlar ;

Winrar ile  şifreleyip fidye istiyor  olması bir virus  vb zararlı yazılımdan ziyade manuel olarak  sisteminizin  hacklenip  dosyaların  şifrelenmiş olmasına  işaret %99 da  any olarak  rdp  servisi  açık olan  bir  sunucu ve/veya  pc ye sızarak bu işlemi  gerçekleştirmiş olmalılar. RDP ERİŞİMLERİ MUTLAKA  KAPALI OLMALI  AÇILMASI  GEREKIYOR İSE VPN  ARKASINDAN  VEYA  SADECE  BELIRLI IP  ADRESLERINE  AÇIK OLMALI  RDP PORTUNU DEĞİŞTİRMEK vb İŞLEMLER  MAALESEF SİZİ  KORUMAZ, ÇOK GEÇMİŞ  OLSUN.

Veeam yedeklerinizi data  recovery  programları ile  kurtarmayı  deneyebilirsiniz  ancak bu tarz fidye problemi  yaşamış ve  destek verdiğim müşterilerde  yaptığım incelemelerde  silme  işlemini de  Eraser  yazılımları  ile  yaptıkları için sildikleri  doyalardan  data  kurtarmak  da  pen mümkün olmuyor.

Firewall'ınız sizi korumaz ( Any olarak Rdp  erişiminin  açık  olduğunu ve  bu açık vesilesiyle  hacklendiğinizi varsayıyorum ) çünkü siz  Firewall Bütün iplerden  gelen 3389 port isteklerini localdeki xxx.xxx.xxx.xxx ip adresine  yönlendir diye rule yazmışssınızdır sizin yazdığınız  rule  aykırı  bir  hareket  olmadığı için geçişlere  izin vermiştir. Anti-Virus ler  bu tarz hacking  olaylarında da  korumaz  çünkü hacker  normal  olarak bilgisayara  rdp yapmış Winrar yoksa  yüklemiş ve önemli olan  dosyaları winrar ile sıkıştırmış hiçbir av bu  etkinliğe müdahalede  bulunmaz.

Dönebileceğiniz en yakın yedeğin tarihini ve  aradaki data  kaybınızın  analizini yapın size  mutlaka  bir  mail  adresi vb iletişim  bilgisi bırakmıştır  çünkü hacker ın tek  hedefi  kurbanlarından para  kopartabilmek, eğer sağlam yedekten  dönme  imkanınız  yok ise  veya dönebileceğiniz  yedek  sisteminizi oldukça  geriye  götürecek ise maalesef  hacker e  istediği  ücreti  ödemekten başka  pek de alternatifiniz  bulunmuyor.  Tekrardan GEÇMİŞ OLSUN Aydın Bey.

merhaba arkadaşlar,

bu sabah ofise geldiğimde arkadaşlar mail alamadıklarını söylediler. sisteme baktım ve durumun vehametini gördüm. hacklenmiştik. bütün serverlerimizde beni_oku.txt ile "sisteminize girdim ve herşeyi kriptoladım!" mesajı ile karşılaştım. gerçektende şerefsiz (özür dilerim ama çok sinirliyim) dokümanları şifrelemiş, exchange server database'ini, uygulama sunucularımızın databaselerini  winrar ile yedekleyerek şifrelemiş, shadow copyleri silmiş, yedekleme serverimize girip veeam yedeklerini falan ne varsa götürmüş.

elimizdeki son yedeklerden geri dönmeye çalışacağım ama asıl sorun şu: firewallarımız, antivirus yazılımlarımız vs. varken bu nasıl olur ve de bir daha olmaması için ne yapmalı? bugün yedekten döndükten sonra yarın yine aynı şey ile karşılaşır mıyım?

tecrübe ve tavsiyelerinizi paylaşırsanız minnettar olurum.

teşekkürler, iyi çalışmalar.

Merhaba Cumhur Bey,

Tamda sizin dediğiniz gibi bir senaryo ile karşı karşıyayım. Uzak ofislerimize terminal server ile uygulama yayınlıyorum. dolayısıyla firewall üzerinde de dediğiniz gibi kural mevcut. Aşağılık kişi yedekleme sunucumua da ulaşıp son yedekleri, loaderdeki teypleri ve de konfigürasyonu silmiş.

Dediğiniz gibi en son yedekten dönmeye çalışacağım. Firewall üzerindeki kurallarıda devredışı bıraktım. Admin şifrelerini değiştirdim. İnşallah en az hasar ile kurtarabilirim. Bir daha da ne benim ne de bir başkasının başına gelmez umarım.

Yedekten geri dönmek falan neyse de itibarımız zedeleniyor. Laf anlatmak zor.

Herkese kolay gelsin.

Kullanıcı hesaplarında Şifre politikanız var mıydı? Özellikle x kadar denemeden sonra hesap kilitlensin şeklinde.?? Çünkü rdp bağlantısını yapmak için brute force şifre denemeleri yapıp şifreyi tespit ediyor.

Merhaba Resul Bey, 

5 yanlış girişte 30 dakika kitlenme politikamız var ama teşhis ettiğim kadarıyla admin şifresini kırmış. 

Bugün benim için gerçekten kötü bir gün  Yedeklerime güveniyordum ama veeam, kartuşlarımı tanımamakta ıarar ediyor. 

merhaba,

geçmiş olsun, kötü bir süreç.

buna benzer olaylar artık çok sık yaşanmakta.

Cumhur hoca ve diğer arkadaşlar zaten  birçok noktaya değinmiş, ek olarak birkaç noktadan bahsedeyim.

- hasar tespiti gerçekleştirin

- işletim sistemleri üzerinde tanınmayan ajan/uygulama kontrolünü sıkı kontrol edin

( benzer bir sorunu 1/2 ay sonra içeriden tetiklenerek yaşayabilirsiniz, örnekleri mevcut )

- yedekleme yapınızı 3-2-1 kuralına uyarlayın

- erişim kurallarınızı sil baştan ve en düşük yetki seviyesi ile tekrar oluşturun

- dış erişmlerinizi filtrelediğiniz gibi, içeriden dışarıya olan trafiğinize filtreleyin.

- elinizde bulunan çözümler ve güvenlik adımlarında eğitim/danışmanlık alın

- loglarınızı merkezileştirin ve canlı alarm üretir hale getirin.

Merhaba,

Eğer backuplarınıza erişemiyorsanız ciddi sorun var demektir konuyla alakalı destek almanız gerekebilir veam ile görüşmeyi denedinizmi?

https://www.veeam.com/tr/contacts.html

ayrıca istemeyerek te olsa hacker sizden ne kadar bitcoin talep ediyor bunu öğrenebildinizimi?

Merhaba, 

Hacker ile iletişime geçtim  4000usd istiyor. Ödemeyi yaparsam bana şifre mi göndereceksiniz, diye sordum. İstersen şifre gönderirim ama yapılması gereken başka konfigurasyonlar var o yüzdsn en iyisi ben bağlanıp yapayım, rdp'den bağlanıp hallederim sonrasında kontrol edersiniz, diye cevap geldi. Bu açıklamaylada rdp attack olduğu kesinleşti. 

Son aşamada ödemeyi kabul edersek sizce şifreleri mi isteyeyim yoksa tekrar bağlanmasına izin vereyim mi?

Aydın Merhaba,

4000 doları verdiğin zaman dosyaları alacağın garantisi yok kaldı ki adama tekrardan rdp bağlantısı vereceksin sunucuya backdoor yükleyebilir backup tarafında durumlar nasıl bence onlara yoğunlaş tam olarak ne hatası alıyorsun? veam tarafında destek alabileceğin yerlerle görüş bu konuda Hakan hocamız sana destek olabilir aşağıda axx. uzantılı dosyaları linux üzerinden nasıl düzeltebileceğini gösteren video var bunun inceleyebilirsin.

https://www.youtube.com/watch?v=058Ep6PcI_4

Son zamanlarda gözlemlediğim bir durumdan bahsetmek isterim.

4 arkadaşımın firması hacklendi. 

Baya bir araştırma yaptık. Sistem sadece 2 kullanıcının RDP olarak açıktı. İki şifrede kırılması baya imkansızdı. 4 hackleme olayında da sisteme sadece finans yazılımı veren firmanın elemanları olduğu anlaşıldı. 

Diğer olaylarda bunlara benzerdi. 

Hacklenmiş süsü vererek para istemişlerdi. Tabi şu an yargıda olay 

Siz siz olun uzaktan destek aldığınız firmaya bile cok güvenmeyin...

Son zamanlarda gözlemlediğim bir durumdan bahsetmek isterim.

4 arkadaşımın firması hacklendi. 

Baya bir araştırma yaptık. Sistem sadece 2 kullanıcının RDP olarak açıktı. İki şifrede kırılması baya imkansızdı. 4 hackleme olayında da sisteme sadece finans yazılımı veren firmanın elemanları olduğu anlaşıldı. 

Diğer olaylarda bunlara benzerdi. 

Hacklenmiş süsü vererek para istemişlerdi. Tabi şu an yargıda olay 

Siz siz olun uzaktan destek aldığınız firmaya bile cok güvenmeyin...

Dışarıdan destek alınan firmalarla gizlilik sözleşmesi yoksa ve onların bağlı olduğu logları ispatlayamıyorsa yine durum kötü. Bence bunları devreye almak lazım.