[NetSec] Hacker yada virüs?

[Umut Aksoy]

Merhaba,

Turkcell 3g ile internete bağlı bir sisteme girilmiş ve aşağıdaki not bırakılmış. 

Bu not yada benzeri ile karşılan oldu mu acaba? Sistemi henüz görmediğim için detaylı bilgi veremiyorum ama virüs olduğunu zannetmiyorum. Ve dosyalar .rar ile şifrelenmiş muhtemelen. Sizce virüs müdür yoksa gerçekten birisi sisteme girmiş midir?

Teşekkürler

[Hakkı YÜCE]

Bildiğimiz Cryptolocker

19 Nis 2016 11:45 tarihinde "Umut Aksoy" <umut...@gmail.com> yazdı:

-------------------
Uygulamalı Ağ Güvenliği Eğitimi

06-08 Mayıs 2016 - ISTANBUL

-------------------

[Abdullah Güney]

Disariya acik portlardan özellikle 3390 gibi rdp portlardan şifrenin zayıflığından faydalanılarak giriş yapılan bilgisayarlarda sıkça rastlanan bir durum oluşmuş sanırım. Eğer tüm dosyalarınız şifrelendiyse kurtarmak pek mümkün değil. Yedekleriniz varsa yedeklerden dönebilirsiniz.

Monday, April 18, 2016, 3:25:49 PM, şunu yazdınız:

Merhaba, Turkcell 3g ile internete bağlı bir sisteme girilmiş ve aşağıdaki not bırakılmış.  Bu not yada benzeri ile karşılan oldu mu acaba? Sistemi henüz görmediğim için detaylı bilgi veremiyorum ama virüs olduğunu zannetmiyorum. Ve dosyalar .rar ile şifrelenmiş muhtemelen. Sizce virüs müdür yoksa gerçekten birisi sisteme girmiş midir?

Teşekkürler

-- 
Saygılar,
 Abdullah                            mailto:abdulla...@emo.org.tr

[Erkan Sertoğlu]

Selamlar,

Ransomware ya da populer ismi ile cryptolocker yüklenmiş gibi.

Eğer veri yedeklenmiş ise temiz bir kopyadan geri dönüş yapmak veya yedeği yok ve veri kritik ise parayı ödemek gerekiyor. Son opsiyon ise makine formatlamaktır. Parayı ödeyip ödememe ile farklı yorumlar (işin etikliği vb.)var. Ancak parayı ödediğiniz de dahi  verinin geri döndürülememesi riski bulunuyor. Bu tip hackerlar genellikle sözlerinde duruyorlar çünkü aksi durum repütasyon kaybı oluyor. Polise gidilebilir ancak genelde bunun sonucunda bir şey elde edilemiyor.

Asıl kritik olan giriş noktasını bulup bunu kapatmanız ve bu cihazın bir atlama taşı olarak kullaılıp kullanılmadığının değerlendirilmesi olacaktır.

Bu arada giriş metodu ile ilgili daha detaylı bilgi verebilir miydiniz? Benzer bir açıklığa sahip olanlar için vereceğiniz bilgiler kritik olabilir.

Teşekkürler,

---

Bu e-posta'nin içerdigi bilgiler gizlidir. Onayimiz olmaksizin üçüncü kisilere açiklanamaz. Fibabanka A.S. , bu mesajin içerdigi bilgilerin dogrulugu veya eksiksiz oldugu konusunda garanti vermemektedir. Bu nedenle bilgilerin ne sekilde olursa olsun içeriginden, iletilmesinden, alinmasindan, saklanmasindan sorumlu degildir. Bu mesajin içerigi yazarina ait olup, Fibabanka A.S.'nin görüslerini içermeyebilir.

The information contained in this e-mail is confidential. It must not be disclosed to any person without our authority. Fibabanka A.S. makes no warranty as to the accuracy or completeness of any information contained in this message and hereby excludes any liability of any kind for the information contained therein or for the information transmission, reception, storage or use of such in any way whatsoever. Any opinions expressed in this message are those of the author and may not necessarily reflect the opinions of Fibabanka A.S.

---

[ibrahim]

merhaba

öncelikle geçmiş olsun. evet tanıdığım bir firmanın sistemine rdp açığından girilip bu şekilde bir not bırakılmıştı. ama mail adresi yandex.com uzantılıydı. veriler .rar ile şifrelenmişti. yedek olduğu için çok fazla sorun oluşturmadı.

18 Nisan 2016 15:25 tarihinde Umut Aksoy <umut...@gmail.com> yazdı:

-------------------
Uygulamalı Ağ Güvenliği Eğitimi

06-08 Mayıs 2016 - ISTANBUL

-------------------

--

-- 

Saygılarımla,

İbrahim Halil KURTGÖZ

PHP, MySQL, JAVA Geliştiricisi

[Hakkı YÜCE]

shadowexplorer deneyin.

19 Nis 2016 14:58 tarihinde "ibrahim" <ibrah...@gmail.com> yazdı:

[Mustafa Kahraman]

Gecmis olsun Umut bey,

Bu tarz saldırıları otomatik yapiyorlar.
Dosyalarınızı bir algoritma ile sifreliyorlar geri alabilmek icin onlara para odemeniz gerekiyor...

Mail de de fark edeceginiz gibi kim oldugunuzu anlamak icin ip adresinizi istiyorlar...

Sevgi ve Saygı ile...
Mustafa Kahraman

18 Nisan 2016 15:25 tarihinde Umut Aksoy <umut...@gmail.com> yazdı:

Merhaba,

[Kayhan Yüksel]

Merhaba,

Muhtemelen cryptolock variantı bir zararlı yazılım ile karşı karşıyasınız. Sıkıştırılmış olan dosyanın da keyi sadece bu yazılımın yayılımını yapan şahısta bulunuyor. Bu noktada tüm işletim sistemini yeniden kurup , yedeklerinize güvenmek en iyi çözüm olabilir, mümkünse bu cihazı ağdan izole ederek korunma süreçlerine başlayabilirsiniz,Yasal takip sürecini , internetten ilgili kurumları bularak başlatabilirsiniz,

Tekrar geçmiş olsun,

İyi çalışmalar,

-------------------
Uygulamalı Ağ Güvenliği Eğitimi

06-08 Mayıs 2016 - ISTANBUL

-------------------

--

Kayhan Yüksel
Bilgisayar Mühendisi/Computer Engineer

[M.Oğuzhan Susam]

Hocam sisteminizin önünde bir fw olmadığı için 3389 rdp portu internete açık. Rdp ile gelip administrator şifresini çözdükten sonra bilgilerinizi zipleyip çıkmış. Recovery ile diskteki eski verileri getirmeniz mümkün değil çünkü diski tahrip ediyor. Diskin boş alanlarına 3-4 kere veri yazıp siliyorlar. Shadow copyleri siliyorlar. Kurtarmak neredeyse imkansız hale geliyor. Zip şifresini çözmek neredeyse imkansız. Audit loglara bakarsanız belli bir tarihte audit logların silinmiş olduğunu görebilirsiniz. Gerçekten girip girmediği ile ilgili özelden mail atarsanız yardımcı olabilirim. 

18 Nisan 2016 Pazartesi tarihinde, Umut Aksoy <umut...@gmail.com> yazdı:

[M.Oğuzhan Susam]

Hocam ceyptolocker değil bu durum. Adam sunucuya rdp yapıp işlerini manuel olarak yapmış. Sunucu aıdit loglarda zaten görülür eğer audit loglarını silmediyse

19 Nisan 2016 Salı tarihinde, Erkan Sertoğlu <Erkan.S...@fibabanka.com.tr> yazdı:

[Mesut Kara]

Muhtemelen biri sisteme sızmış dosyaların .rar ile şifreleneceğini pek sanmıyorum benzer bir olay ile karşılaştım evet ve sürücülerde, bazı klasörlerde ve başlangıçta bu text dosyası geliyordu.

C:\+BACKUP  C dizininde  "+BACKUP" isimli klasör vardı dosya boyutu 6 GB kadardı.Sistemde herhangi bir zararlı yazılım bulgusuna rastlamadım.

saldırganın bıraktığı mail adresi : mega.p...@mail.ru

18 Nisan 2016 15:25 tarihinde Umut Aksoy <umut...@gmail.com> yazdı:

Merhaba,

-------------------
Uygulamalı Ağ Güvenliği Eğitimi

06-08 Mayıs 2016 - ISTANBUL

-------------------

--

MESUT KARA

GSM         : +90 537 745 1058

E - mail     : mesutk...@gmail.com

E - mail     : dinato...@hotmail.com

E - mail     : me...@karakoc.com

facebook/mesut.kara.334      twitter/@mesutkara334      linkedin/Mesut Kara      www.karakoc.com

[Oykun Satis]

Merhaba,

Bu ara oldukça popüler bu yöntem, Türk İşi Ransomware diyorum bunlara :)

Muhtemelen dışarıya açık bir RDP ve zayıf bir parola kullanıyordunuz, buradan girmişler anlaşılan. Winrar hangi metodla şifreliyor hatırlamıyorum ama çok kolay çözüleceğini düşünmüyorum. 

Selamlar,

Oykun

Oykun

2016-04-18 15:25 GMT+03:00 Umut Aksoy <umut...@gmail.com>:

[Umut Aksoy]

Merhaba,

Yanıtlarınız için çok teşekkürler. Ben de rdp açığı yada  zayıf şifreleme yoluyla girildiğini düşünüyordum. Sistemin yedeği olduğu için sorun olmadı ama bu iyi bir tecrübe oldu.

İyi çalışmalar dilerim

[✩ Selçuk IRMAK]

Port kapatma için ISP görüşebilirsiniz zayıf bir ihtimal ama statik IP ise port kapatılmasında belki yardımcı olabilirler.

Dışarıdan sisteme RDP bağlantı açık değilse işletim sisteminde RPD servisini disable yapmalısınız.

Eğer RDP kullanılıyorsa bağlantı yapılan sistemlerin statik IP leri mevcutsa Vista üstü işletim sistemleride Windows firewalldan IP ye göre izin verebilirsiniz. Vista altı bir işletim sistemi varsa 3.party firewall yazılımı kullanarak aynı işlemi yapabilirsiniz.

 

RDP portunun default port olması public açık olması zaafiyetinden daha önemlisi sistemde tanımlı kullanıcı şifrelerinin zayıf olması en büyük zaafiyettir. Bunun için en az 8 karakter büyük küçük rakam ve özel karakterlerden oluşan bir parola belirleyebilirseniz şu durumunuza göre bu tarz saldırıya karşı riski minimize etmiş olursunuz.

[M.Oğuzhan Susam]

Hocam sizin bahsettiğiniz durum steganos backup 2012 uygulaması ile backup alınıp şifrelenmiş. Bu case de ise dosyalar ziplenerek şifrelenmiş farklı yöntem. 

19 Nisan 2016 13:01 tarihinde Mesut Kara <mesutk...@gmail.com> yazdı:

[HASAN GÖKTAŞ]

Sisteme sızan falan yok. Kullanıcıların yanlış bir dosya veya link indirmeleri neticesinde zararlı bir Exe bunu otomatik yapıyor. Benzer bir olay müşterimizde oldu. SQL dosyalarını office dosyalarını şifrelemişti. Farklı bir ortama aldığımız sql yedeği ile sorunu gidermiştik. 

HASAN GÖKTAŞ

Kıdemli Yazılım Uzmanı

GSM: +905376467039 | İstanbul : +90 212 282 8265 | Antalya +902425200001 

Adres: Şirintepe Mah. Fatih Sok. No:20/2 

Kağıthane / İSTANBUL

www.sifatefsiri.com | www.goktas.net 

19 Nis 2016 tarihinde 13:01 saatinde, Mesut Kara <mesutk...@gmail.com> şunları yazdı:

<BENI OKU.jpg>

Muhtemelen biri sisteme sızmış dosyaların .rar ile şifreleneceğini pek sanmıyorum benzer bir olay ile karşılaştım evet ve sürücülerde, bazı klasörlerde ve başlangıçta bu text dosyası geliyordu.

C:\+BACKUP  C dizininde  "+BACKUP" isimli klasör vardı dosya boyutu 6 GB kadardı.Sistemde herhangi bir zararlı yazılım bulgusuna rastlamadım.

saldırganın bıraktığı mail adresi : mega.p...@mail.ru

18 Nisan 2016 15:25 tarihinde Umut Aksoy <umut...@gmail.com> yazdı:

Merhaba,

Turkcell 3g ile internete bağlı bir sisteme girilmiş ve aşağıdaki not bırakılmış. 

Bu not yada benzeri ile karşılan oldu mu acaba? Sistemi henüz görmediğim için detaylı bilgi veremiyorum ama virüs olduğunu zannetmiyorum. Ve dosyalar .rar ile şifrelenmiş muhtemelen. Sizce virüs müdür yoksa gerçekten birisi sisteme girmiş midir?

<image.png>

Teşekkürler

-------------------
Uygulamalı Ağ Güvenliği Eğitimi

06-08 Mayıs 2016 - ISTANBUL

-------------------

--

MESUT KARA

GSM         : +90 537 745 1058

E - mail     : mesutk...@gmail.com

E - mail     : dinato...@hotmail.com

E - mail     : me...@karakoc.com

facebook/mesut.kara.334      twitter/@mesutkara334      linkedin/Mesut Kara      www.karakoc.com

[Umut Aksoy]

Sistem gelince inceleyip detayları paylaşacağım. Yanıtlarınız için teşekkür ederim.

[Hakan YAVAŞ]

bu eposta adresi yabancı gelmiyor açıkçası kısa bir süre önce bende yedim w2008 servere girmişler zaten sistem boştu masaüstündeki 2-3 kısayolları şifrelenmiş halde bırakmışlar bide hemen hemen her dizin altında bu tarz bi metin vardı tam anlamadın translate.google git falan da yazmışlar

18 Nisan 2016 15:25 tarihinde Umut Aksoy <umut...@gmail.com> yazdı:

Merhaba,

[Umut Aksoy]

Fidye metnini tekrar okuyunca virüs ihtimali azaldı. Fidyeciler IP adresi istemişler fiyat biçmek vs için. Virüslerde ise karşı taraf sizden IP adresi vs istemiyor. Cünkü işlemler tam otomatik olarak yapılıyor. bilgileriniz karşıya yükleniyor. Fidye ödeme linkleriniz oluşturuluyor vb. Siz sadece gidip parayı veriyorsunuz. Burada manuel bir çalışma olmuş gibi görünüyor.