Forum
Merhaba,
Sabah işe gittiğimde tüm kullanıcılara az sonra aşağıda paylaşacağım metin ana ekranlarında açılmıştır.
Adamın biri kim olduğunu bilmiyorum.3500 $ karşılığında sunucumu açacağını bildirmiştir.
Sunucuya nasıl girdiği hakkında çok fikir yürütemedim.Yedekli çalıştığımız için durumdan kurtulduk.Ama tabiki yinede
belirli bir sıkıntı yaşattı bize.
Sunucuya Steganos Backup ve AxCrypt yükleyerek gerekli database dosyalarımı *.axx uzantısı ile şifrelemiş.
portum 3389 du.Ve yapıda fortigate ve sunucuda da kaspersky virüs programı kuruydu.
Sizce nasıl girip bu işlemleri yapmış olabilir??
Msconfigden tüm kullanıcılara koyduğu metin aşağıda..
Merhabalar,
Sisteminizde önemli olduğuna inandığım bir kısım verilerinizi şifreledim.
Verilerinizi sadece benim geri getirebileceğim şekilde şifreleyip yine sizin sunucunuzda,
*.axx uzantıları ile kendi yerlerinde ya da disklerinizin ana dizininde "yedekler" ismindeki
klasörde sakladıktan sonra, orjinallerinin üzerine veri yazarak geri getirilmeyecek üzere sildim.
Eğer verilerinizi tekrar çalışır şekilde sunucunuza yüklememi arzu ederseni benimle [email protected]
e-maili aracılığı ile iletişime geçiniz. Yazacağınız e-mailin konusuna mutlaka ip numaranızı yazınız.
Sizin sisteminiz için sizden talep ettiğim bedel 3500$ dır. Anlaştığımız taktirde,
size parayı gönferebilmeniz için gerekli havale bilgilerini göndereceğim.
Bana gönderdiğiniz paranın yerine ulaşıp ulaşmadığının kontrolünü (en geç yarım saat)yaptıktan sonra sisteminize
bağlanıp eski haline getireceğim.
Sizi tanımıyorum, dolayısı ile size karşı herhangi bir düşmanlığım veya garezim olmadığından dolayı sizi gereksiz yere
sıkıntıya sokacak bir amacımın da olması mümkün değil. Amacım sadece bu fiilimden dolayı belli bir gelir elde edip
sebep olduğum bu rahatsızlığı giderip sizinle yollarımı ayırmaktır.
Sunucunuzda *.axx uzantılı dosyalar ve / veya varsa sürücülerinizin ana dizinlerinde bulunan "yedekler" klasörlerini silmeyiniz,
orjinalleri üzerinde oynayıp onları değiştirmeyiniz / bozmayınız. Bozduğunuz ya da sildiğiniz dosyalardan ötürü bilgilerinizi geriye
getirememekten ötürü sorumluluk kabul etmem.
Verilerini şifrelediğim işletmenin sorumluları dışında bilgi işlemlerine dışarıdan yazan kişi veya kurumların bu mailime cevap verip
benimle anlaşamamaları durumunda işletmenin sahiplerine / yönetimine ayrıca durumu bildirir amaçla ulaşacağımın bilinmesini isterim.
Her sunucunun kendisine has şartları, veri miktarı ve türü, işletmenin büyüklüğü / bilinirliği, verileri şifrelemede harcadığım
ve sonrasında geriye yüklerken harcayacağım zaman ve şartlara göre paranın bana ulaşmasında kullanacağım ödeme yöntemlerinin gerektirdiği
durumlara bağlı olarak her işten ayrı bir ücret talep ettiğimden bana "filan yerden şu kadar para almışsınız" şeklindeki argümanlarla
fiyatta indirim talebinde bulunmayınız.
Hard disklerinizden veri kurtarma programları ile tekrar veri elde etmeyi deneyebilirsiniz, disklerinizi veri kurtarma şirketlerine
gönderebilirsiniz, adli mercilere baş vurabilirsiniz, beni tehdit edebilirsiniz. Tüm bunların verilerinizi tekrar elde etmede bir faydasının
olmayacağını size ancak zaman kaybettireceğini, sisteminizi bir an önce çalışır duruma getirmenin benimle anlaşmaktan geçtiğini
not etmek isterim.
Sunucunuzu eski haline getirdikten sonra size hangi yolla ne şekilde sunucunuza ulaştığımı ve tekrar bu tür olayların başınıza gelmemesi için
neler yapmanız, nelere dikkat etmeniz gerektiğini anlatan bir mail göndereceğim.
Benimle iletişime geçerken hangi sunucudan bahsedildiğini anlayabilmem için konu kısmına sunucunuzun dış ip numarasını belirtiniz.
geçmiş olsun klasik uzak masaustu açığı sanırım
uzak masaüstü suunucularınızı varsayılan portta dışarıya açmayın derim hatta mumnkun ise sadece vpn ile baglantı yapılabilir hale getirin
geçmiş olsun klasik uzak masaustu açığı sanırım
uzak masaüstü suunucularınızı varsayılan portta dışarıya açmayın derim hatta mumnkun ise sadece vpn ile baglantı yapılabilir hale getirin
Ben de aynı şeyi söyleyecektim. Adam bayağı bir pişkin. Demekki işi bu.
Geçmiş olsun . rdp brute force saldırısı. Yedeğiniz yoksa yapabiliecek bir şey yok. Cryptolocker ile birlikte benzeri saldırlar türemeye başladı buda onlardan birisi. saldırıdan once sunucu veya bilgisayarda Steganos Backup veya sizin kurmadığınız programlar görürseniz hemen kaldırın.
Eğer RDP illa kullanmanız gerekirse port değiştirin ve sadece statik ip adreslerinden RDP erişimine izin verin. Genelde Rusya, Ukrayna, Tayland gibi ülke ip adreslerinden saldırıldığı görünüyor. Bu ülke ip adreslerine Fw üzerinden coğrafi filtreleme yapabilirsiniz.