Tag Archive for 'PDKS'

Mutlaka Yedekli Çalışın!

Son dönemlerde etrafımdan da duyduğum bir saldırı yöntemi gerçekten can sıkıyor.

Bir şekilde bilgisayarınıza sızan hackerlar, bilgisayarınızdaki önemli verileri tespit edip şifreliyor. Bu veriler genellikle, excel, word dosyalarınız gibi, önem arz eden belgeleriniz oluyor.

Şifrelenen bu dosyaları sizin açmanıza imkan yok. Bunun için sizden para talep ediliyor.

Sözü fazla uzatmadan birkaç tavsiyem.

Hiçbir kapınızı şifresiz bırakmayın.
Hiçbir kullanıcı adınızı ve parolanızı varsayılan şekilde (default) bırakmayın.
Mutlaka ama mutlaka yedekli çalışın.Yedekleriniz şifre ile erişilemeyen bir yerde olsun. (Ör: çekmecedeki disk)
Yedekleriniz birden fazla yerde olsun. (Senkronizasyonla çalışan bulut depolama sistemleri)
Kimseye güvenmeyin, giriş adreslerinizi, bilgilerinizi, şifreleriniz kimseyle paylaşmayın ve karmaşık şifreler kullanın. Mümkünse içinde harf ve rakam dışında karakterler olsun.

Başınıza geldikten sonra pişman olmanın bir anlamı yoktur. Bu duyguyu yaşamanızı tavsiye etmem.

Konuyla ilgili güzel bir alıntı paylaşıyorum.

 

Alıntı:

 

Uluslar arası bir şebeke, uzak masaüstü (remote desktop) bağlantısı ile ticari işletmelerin sunucularına bağlanmakta ve güvenlik açıklarından yararlanıp saldırı yapmaktadır. Saldırıya maruz kalan firmaların ticari bilgileri şifrelenerek kullanılmaz hale getirilmektedir. Bilgilerin kullanılabilir hale getirilmesi için, aşağıdaki ileti gönderilmekte ve başlangıçta yüksek meblağlar daha sonra anlaşılan rakamların uzak doğu bankalarından birine transferinin yapılması istenmektedir. Transfer yapıldıktan sonra sunucuya yükledikleri şifre çözücü

(AxCrypt-1.7.2976.0-Setup.exe-Axcrypt Installer with Open C Axantum Software AB)

programı ile bilgilerin şifresi çözülerek kullanılabilir hale döndürülmektedir. Özellikle ticari yazılım ya da güvenlik gerektiren bilgi barındıran kullanıcıların bu sorunla karşılaşmamaları için daha dikkatli olmaları gerekmektedir.

İLETİ:

———————-

Serverinizde (ve bir çok başka serverde) bulunan bir güvenlik açığından faydalanarak
serverinize girdim ve kayda değer bulduğum bilgilerinizin yedeklerini şifreleyerek aldım ve orjinallerini üstüne veri yazarak tekrar kurtarılamayacak şekilde sildim.
Verilerinizi geriye bulduğum şekilde koymamı isterseniz bunun şartları konusunda
anlaşmak üzere bana [email protected] adresine
serverinizin ip numarasını da içeren bir mail atınız koşullar konusunda anlaşalım.
——

Son zamanlarda sıklıkla başa gelen bir olayı sizlere açıklamak istedik.Bunu yapan şahıslar belirledikleri bir IP aralığını taratıp ve açık buldukları uzak masaüstü paylaşımlarına “brute force” olarak tabir edilen şifre denemeleri yapıp basit şifreleri kırarak sisteme giriyorlar.

İlk yaptıkları muhsebe,veritabanı ve PDKS bilgilerini almak ve bu dosyaları TrueCrypt veya Steganos Backup 2012 gibi bir program ile dosyalarınızı kırılmayacak şifreler ile şifrelemek ve size ulaşıp mail adreslerini verek para istemektedirler.

Ransomware kötü niyetli bir yazılım ile ağa sızma ve arkasından o bilgisayardaki verileri Gpcode ile 1024 bit formatında şifrelenmesidir.Yani bir değişle veri fidyeciliğidir.Bunun amacı verilerinizi şifreleyerek sizden para sızdırmaya çalışmaktır.Bir mail adresi verilerek bize şu kadar parayı şu zamana kadar kimseye haber vermeden şu mail adresi ile irtibata geçerek ödeyiniz.Ödemezseniz ise verileriniz silinecektir.

Virüs programları bunu yakın zamandan itibaren Trojan-Ransom.Win32.Gpcode.bn ve türevi olarak görmeye başladı.Güncel antivirüs yazılımları bunu tespit edebilmektedir.

Olay olduktan sonra ya masaüstüne aşağıdaki gibi bir txt dosya bırakılıyor ya da masaüstü fotosu olarak bu belge yapılıyor.Fotoğraflar şu şekildedir:

Bu İş Başa Geldikten Sonra Yapılacaklar:
– Hemen başında farketti iseniz bilgisayarının enerjisini en hızlı şekilde çekmeniz gerekmektedir.Bu şekilde verilerin bir kısmını kurtarabilirsiniz.
– 1024bit şifreleme çok çok güçlü bir şifreleme olması dolayısı ile veri kurtarma için kimse garanti veremez verse de kesinliği yoktur.Bu yüzden kimse ile pazarlık yapmayınız.
– Windows loglarında 528 kodu logon:10 ise altında rdp yapan IP adresi sizin izin verip/vermediğiniz IP adresi mi kontrol ediniz.
– Modem loglarını kontrol ediniz.
– Savcılığa elinizdeki tüm kayıtlar ile başvurunuz.

Çözüm önerileri:

1) Sunucularda varsayılan yönetici kullanıcı “Administrator” adının değiştirilmesi,
2) Yönetici kullanıcı, diğer ve uzak kullanıcı şifrelerinin özel karakterler (harf ve sayılar) içerecek şekilde değiştirilmesi,
3) İşletmeye ait statik IP adresinin ve bilgilerinin kullanıcılar dışında paylaşılmaması,
4) Gereksiz iletilere cevap verilmemesi ve istenmeyen sitelere girilmemesi,
5) Yazılımsal ya da donanımsal güvenlik duvarlarının oluşturulması,
6) Yedeklemelerin düzenli alınması ve bağımsız bir ortamda saklanması

fayda sağlayacaktır.

Hacker İle aramda geçen konuşma.

Ben
serverimizi bize geri vermek için ne kadar istiyorsun bizden.
Hacker Peter Pan
Verilerin iadesi için talep ettigim bedel 2500$ dir.
Anlasirsak eger bedeli Çin’e size verecegim isme Western Union yolu ile havale etmenizi isteyecegim.
Havale belgesini bana mail atar atmaz sunucunuza uzak masa üstü yolu ile baglanarak verilerinizi en kisa zamanda tekrar kullanilabilir hale getirecegim.
Saygilar.
Ben
Peki sunucumu bana saglam sekilde geri vereceginizden nasil emin olacagim.
ve bu sekilde magdur edip sunucularini düzeltip geri verdiginiz kimse varmi.
Internette arastirdim magdur edip parasini alip sunucularini temizlemediginiz kisiler varmis.
Hacker Peter Pan
Sizi tanimiyorum bile, dolayisi ile size karsi bir garezimin olmasina da
imkan yok. Bu isi para için yapiyorum. Paranizi alarak size zaten yeterince
zarar veriyorum. Özellikle de bana para veren birilerine karsi zarar vermem
için hiç bir sebebim yok. Bana ödeme yapar yapmaz ödemeyi teyit ettirip
hemen verilerinizi serverinizde geri yerine koyacagim/
Evet, yedek dosyalarini sildikleri ya da sifreledigim dosyalarin orjinalleri ile fazla oynayip bozduklari için verilerini açamadigim ya da kismen açamadigim bir kaç kisi var
ancak bunlar benden kaynaklanan ve verileri geri verme niyetim ile ilgili sorunlar degildir.
Saygilar.
Ben
Istediginiz miktar çok fazla fiyatta bir seyler yapabilir misiniz?

Hacker Peter Pan
Sirketlerin büyüklüklerine, isimlerine, ödeme gücüne, içindeki verilerin büyüklügüne ve sifrelemek içn harcadigim zaman ve açmak için de harcayacagim olasi zaman ve emege göre belirliyorum fiyati. Sizin serveriniz için belirledigim fiyat gayet uygun bana göre.

Ben
hayir bizim firma öyle sandiginiz gibi büyük firma degil toplam zaten 10 kisi çalismakta
bilgi islem diye bir bölüm yok ben muhasebeciyim
ben bile muhasebe bölümünde tek çalisiyorum
sizden ricam lütfen su isi uygun bir fiyata halladelim yoksa benim için çok kötü olacak

Hacker Peter Pan
En son 1750$’a olur. Daha asagiya inmeyecegim.

Ben
Peki bu gün tekrar eski haline döner mi serverimiz, ayni gün helledebilir misin.

Hacker Peter Pan
Evet ödemeyi yapip makbuzunu mail attiktan 15 dakika içinde serverinize uzak masa üstü baglantisi yolu ile baglanip 1-2 saat içinde eski haline getirecegim.

Ben
Parayi nasil gönderecegiz peki? Ayrintilari gönderirsen hemen halledelim daha fazla geç kalmadan müsterilere cevap veremiyoruz bir an önce halledelim.

Hacker Peter Pan
TOFIK ALIEV
Rusya

1750$

Yukarida adini (TOFIK ) ve soyadini ( ALIEV ) verdigim kisiye Rusya’ya WESTERN UNION ile 1750$ çikarip dekontunu tarayip bana mail attiginiz taktirde havaleyi 10-15 dk içinde teyit ettirip sisteminize baglanip verilerinizi eski haline getirecegim. Bankanin verdigi makbuzu kontrol edip isim soy ismin dogru yazilip yazilmadigini kontrol ediniz zira yanlis oldugunda düzelttirmek zaman almaktadir.

Saygilar.

Ben

Peki hemen çikiyorum parayi yatirdiktan sonra makbuzunu size mail atacagim.

Hacker Peter Pan

Tamam ben buradayim, bekliyorum.

—————————–

Ben
Peter, parayi yatirdim dekont ekta bir an önce hallediver gözünü seveyim.

Hacker Peter Pan

Dekontu aldim gerekli yerlere yolladim kontrol etmeleri için. Haber gelir gelmez baglanacagim serverinize.

Ben

Bekliyorum

Hacker Peter Pan
Para isi tamam baglaniyorum serverinize, bittiginde haber verecegim.

Ben

Bekliyorum

————————

Ben

Durum nedir bitmedi mi daha sorun yok degil mi

Hacker Peter Pan

Hayir devam ediyor bir sorun yok.

Hacker Peter Pan

Bitti, kontrol edebilirsiniz. Beni de haberdar ederseniz sevinirim.

Ben

Size haber verecegim test edelim size dönecegim.

Hacker Peter Pan

ok ben buradayim.

———————————

Ben

Tesekkür ederim sözünüzde durdugunuz için, her sey tamam görünüyor, bir sorun olursa size daha sonra yazarim

Hacker Peter Pan

Ben tesekkür ederim bana güvendiginiz için.
Iyi günler dilerim.

Saygilar.

Kaynak : http://www.myrize.org/bu-hackere-dikkat-mny4ptr-pn-peter-pan.html




Culha.NET