Forum

Crypto Virüsü Temiz...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Crypto Virüsü Temizleme Hk.

7 Yazılar
5 Üyeler
2 Reactions
849 Görüntüleme
(@guneyozcan)
Gönderiler: 103
Estimable Member
Konu başlatıcı
 

Merhaba.

Dün Client bilgisayarlardan bir tanesine Crypto virüsün bir versiyonu bulaştı.

Bilgisayarı ağdan çıkardım.

ancak bir süre sonra sunuculardan bir tanesi üzerindeki uygulama da çalışmadı. incelediğimde sql verilerinin şifrelenmediğini ancak programın bazı dosyaları şifrelendiği için çalışmadığını gördüm.

yeniden kurulum yaptığımda sorun kalmayacak. ciddi bir veri kaybı olmadığı için çok fazla sorun yaşamadık. şimdilik başka bir bilgisayarda veya sunucuda da görmedim. 

ancak virüsü sistemden tamamen temizlemek veya yayılmasını önlemek için yapılması gerekenler nelerdir?

 

teşekkürler. 

 
Gönderildi : 22/07/2020 09:34

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4573
Co-Helper
 

Tek bir türev, tip olmadığı için ajanın ismini tespit ederek int den arayınız yaygın bir türev ise anti çözümlerin support sitelerinde bulaşma alanları ve çözüm yöntemleri yazar.
Disk yedeğiniz varsa bulaşan dosyaları geri yükleyebilirsiniz. Anlaşıldığı kadarıyla güncel bir anti çözümünüz yok yada yeni türevi tespit edemiyor. Sistemden ayırdığınız cihaz üzerinden farklı ürünlerle analiz yapmanız fikir verir.
Akabinde de bulaşan yöntemine göre aksiyonlar almalısınız mail filter çözümü, dışarı açık portları kapatma gibi bunlarla ilgili konular mevcut forumda ve makalelerde.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/07/2020 11:00

(@erdemyaglikara)
Gönderiler: 1165
Noble Member
 

Merhaba,

Öncelikle geçmiş olsun zor bir süreci atlamışsınız tekrar bu tarz saldırılar yaşamamak adına sistemde bulunan açıkları gözden geçirmeniz önemli ayrıca saldırının nasıl olduğunu bulmanız gerekiyor.

Aşağıdaki postları incelemenizi tavsiye ederim.

https://www.cozumpark.com/community/forum/449663/

https://www.cozumpark.com/community/windows_server-4/cryptolocker/

 
Gönderildi : 22/07/2020 11:02

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

https://www.youtube.com/watch?v=SwwY-bXzrNc

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/07/2020 12:13

(@omeryilmaz)
Gönderiler: 150
Estimable Member
 

Hocam, O Client PC ye antivirüs ve formatlama işlemi yapmadan virüsün kodu var session numarası onları bir yere not edin/yedekleyin.  Anti Virüs firmaları bazı türevleri için çözüm sunduğunu iddia ediyor fakat PC deki şifreli kodlara ihtiyaç duyuyor. Amatörce bilgi edinmek için Virüs bulaşmış PC yi antivirüs ile temizlemiştim, fakat harici diskte ne var ne yok 1TB lık veriyi şifrelemiş. Çözüm için deneme yaptığım programlar PC antivirüs ile temizlendiği için işlem yapamadı. 

İbrahim hocamın dediği gibi çok türevi var araştırmalarım sonucu bir şahıs açık kaynak kodlu şifreleme olarak projeyi paylaşım sitesine ekliyor. Art niyetli kişilerde bilgi ve zekasını faydalı işler yerine, faydasız işler için kullandıklarından her geçen gün yeni türevi çıkıyor, bence çıkmaya da devam edecek proje github sitesinde halen duruyor olabilir.

 

 
Gönderildi : 23/07/2020 10:09

(@guneyozcan)
Gönderiler: 103
Estimable Member
Konu başlatıcı
 

@omeryilmaz

 

öncelikle cevaplar için teşekkürler .

 

açıkçası bu seferlik şifrelenen verilerin çok önemi yok. sunucuda bir sorun yaratmadı. client üzerindeki dosyalar da hayati önemde değil. o yüzden sunucuyu antivirüsle taradım, client'a da doğrudan format atacağım. 

şimdilik yapmak istediğim şey öncelikle sistemi tamamen bu virüsten temizlemek. daha sonra da tekrar bulaşmasını engellemek.

 

şuan için sistemdeki tüm cihazları tarıyorum. sunuculardaki ve clientlerdeki varsa eksik güncellemeleri tamamlıyorum. 

tüm önemli verileri manuel olarak sistem dışında yedekledim. 

paylaşımdaki ortak klasörleri bir süreliğine durdurdum. bunların yetkileriyle ilgili düzenlemeler yapacağım. (dosya paylaşım güvenliğini artırmak için önerilere açığım)

tüm clientleri local admin yetkisinden çıkardım. 

domain kullanıcılarının da yetkilerini inceliyorum, gereksiz olanları kaldırıyorum. 

 

şimdilik farklı cihazlara bulaşmaması için aldığım önemler bunlar. ancak virüsün nasıl bulaştığını tespit edemedim. neden sadece 2 cihazda kaldığını da anlayamadım. 

Bu ileti 4 yıl önce hakan şimşek tarafından düzenlendi
 
Gönderildi : 23/07/2020 14:25

(@omeryilmaz)
Gönderiler: 150
Estimable Member
 

Geçmiş olsun iyi çalışmalar dilerim,
Size bulaşan dosya uzantılar nedir, yedeklediğiniz bölümde o uzantıyı arama kutusunda arayınız gözden kaçan bir şeyler olabilir. Umarım olmamıştır eğer olursa o virüslü PC işinize yarama ihtimali var yukarıda bahsettiğim mevzu.

File Server için önlem amaçlı Hakan hocanın paylaşımı var değerlendirin.
https://www.cozumpark.com/file-system-resource-manager-fsrm-ile-anti-ransomware-list-kullan-m/  

Şu konuları da gözden geçirmenizi tavsiye ederim.
https://www.cozumpark.com/community/forum/484894/
https://www.cozumpark.com/community/forum/470305/

Fidyeciler bilgisayarda ne yapıyor fikir olması açısından aşağıdaki linki de Mert Sarıca makalesini inceleyiniz güzel bir taktik (o fidyeci maildeki faturalardan değil, dışarıdan ulaştıysa tuzak sistem ile bir ihtimal yakalarsanız şifreleri görmüş olursunuz ek olarak zor bir ihtimal).
https://www.mertsarica.com/tuzak-sistem-ile-hacker-avi/  

 
Gönderildi : 23/07/2020 16:30

Paylaş: