Steganos Backup 2012 nedir
Uluslar arası bir şebeke, uzak masaüstü (remote desktop) bağlantısı ile ticari işletmelerin sunucularına bağlanmakta ve güvenlik açıklarından yararlanıp saldırı yapmaktadır. Saldırıya maruz kalan firmaların ticari bilgileri şifrelenerek kullanılmaz hale getirilmektedir. Bilgilerin kullanılabilir hale getirilmesi için, aşağıdaki ileti gönderilmekte ve başlangıçta yüksek meblağlar daha sonra anlaşılan rakamların uzak doğu bankalarından birine transferinin yapılması istenmektedir. Transfer yapıldıktan sonra sunucuya yükledikleri şifre çözücü
(AxCrypt-1.7.2976.0-Setup.exe-Axcrypt Installer with Open C Axantum Software AB)
programı ile bilgilerin şifresi çözülerek kullanılabilir hale döndürülmektedir. Özellikle ticari yazılım ya da güvenlik gerektiren bilgi barındıran kullanıcıların bu sorunla karşılaşmamaları için daha dikkatli olmaları gerekmektedir.
Serverinizde (ve bir çok başka serverde) bulunan bir güvenlik açığından faydalanarak serverinize girdim ve kayda değer bulduğum bilgilerinizin yedeklerini şifreleyerek aldım ve orjinallerini üstüne veri yazarak tekrar kurtarılamayacak şekilde sildim.
Verilerinizi geriye bulduğum şekilde koymamı isterseniz bunun şartları konusunda anlaşmak üzere bana ......@gmail.com adresine serverinizin ip numarasını da içeren bir mail atınız koşullar konusunda anlaşalım.
Son zamanlarda sıklıkla başa gelen bir olayı sizlere açıklamak istedik.Bunu yapan şahıslar belirledikleri bir IP aralığını taratıp ve açık buldukları uzak masaüstü paylaşımlarına “brute force” olarak tabir edilen şifre denemeleri yapıp basit şifreleri kırarak sisteme giriyorlar.
İlk yaptıkları muhsebe,veritabanı ve PDKS bilgilerini almak ve bu dosyaları TrueCrypt veya Steganos Backup 2012 gibi bir program ile dosyalarınızı kırılmayacak şifreler ile şifrelemek ve size ulaşıp mail adreslerini verek para istemektedirler.
Ransomware kötü niyetli bir yazılım ile ağa sızma ve arkasından o bilgisayardaki verileri Gpcode ile 1024 bit formatında şifrelenmesidir.Yani bir değişle veri fidyeciliğidir.Bunun amacı verilerinizi şifreleyerek sizden para sızdırmaya çalışmaktır.Bir mail adresi verilerek bize şu kadar parayı şu zamana kadar kimseye haber vermeden şu mail adresi ile irtibata geçerek ödeyiniz.Ödemezseniz ise verileriniz silinecektir.
Virüs programları bunu yakın zamandan itibaren Trojan-Ransom.Win32.Gpcode.bn ve türevi olarak görmeye başladı. Güncel antivirüs yazılımları bunu tespit edebilmektedir.
Olay olduktan sonra ya masaüstüne aşağıdaki gibi bir txt dosya bırakılıyor ya da masaüstü fotosu olarak bu belge yapılıyor.Fotoğraflar şu şekildedir:
Bu İş Başa Geldikten Sonra Yapılacaklar:
- Hemen başında farketti iseniz bilgisayarının enerjisini en hızlı şekilde çekmeniz gerekmektedir.Bu şekilde verilerin bir kısmını kurtarabilirsiniz.
- 1024 bit şifreleme çok çok güçlü bir şifreleme olması dolayısı ile veri kurtarma için kimse garanti veremez verse de kesinliği yoktur.Bu yüzden kimse ile pazarlık yapmayınız.
- Windows loglarında 528 kodu logon: 10 ise altında rdp yapan IP adresi sizin izin verip/vermediğiniz IP adresi mi kontrol ediniz.
- Modem loglarını kontrol ediniz.
- Savcılığa elinizdeki tüm kayıtlar ile başvurunuz.
Çözüm önerileri:
1) Sunucularda varsayılan yönetici kullanıcı “Administrator” adının değiştirilmesi,
2) Yönetici kullanıcı, diğer ve uzak kullanıcı şifrelerinin özel karakterler (harf ve sayılar) içerecek şekilde değiştirilmesi,
3) İşletmeye ait statik IP adresinin ve bilgilerinin kullanıcılar dışında paylaşılmaması,
4) Gereksiz iletilere cevap verilmemesi ve istenmeyen sitelere girilmemesi,
5) Yazılımsal ya da donanımsal güvenlik duvarlarının oluşturulması,
6) Yedeklemelerin düzenli alınması ve bağımsız bir ortamda saklanması
fayda sağlayacaktır.
(AxCrypt-1.7.2976.0-Setup.exe-Axcrypt Installer with Open C Axantum Software AB)
programı ile bilgilerin şifresi çözülerek kullanılabilir hale döndürülmektedir. Özellikle ticari yazılım ya da güvenlik gerektiren bilgi barındıran kullanıcıların bu sorunla karşılaşmamaları için daha dikkatli olmaları gerekmektedir.
Serverinizde (ve bir çok başka serverde) bulunan bir güvenlik açığından faydalanarak serverinize girdim ve kayda değer bulduğum bilgilerinizin yedeklerini şifreleyerek aldım ve orjinallerini üstüne veri yazarak tekrar kurtarılamayacak şekilde sildim.
Verilerinizi geriye bulduğum şekilde koymamı isterseniz bunun şartları konusunda anlaşmak üzere bana ......@gmail.com adresine serverinizin ip numarasını da içeren bir mail atınız koşullar konusunda anlaşalım.
Son zamanlarda sıklıkla başa gelen bir olayı sizlere açıklamak istedik.Bunu yapan şahıslar belirledikleri bir IP aralığını taratıp ve açık buldukları uzak masaüstü paylaşımlarına “brute force” olarak tabir edilen şifre denemeleri yapıp basit şifreleri kırarak sisteme giriyorlar.
İlk yaptıkları muhsebe,veritabanı ve PDKS bilgilerini almak ve bu dosyaları TrueCrypt veya Steganos Backup 2012 gibi bir program ile dosyalarınızı kırılmayacak şifreler ile şifrelemek ve size ulaşıp mail adreslerini verek para istemektedirler.
Ransomware kötü niyetli bir yazılım ile ağa sızma ve arkasından o bilgisayardaki verileri Gpcode ile 1024 bit formatında şifrelenmesidir.Yani bir değişle veri fidyeciliğidir.Bunun amacı verilerinizi şifreleyerek sizden para sızdırmaya çalışmaktır.Bir mail adresi verilerek bize şu kadar parayı şu zamana kadar kimseye haber vermeden şu mail adresi ile irtibata geçerek ödeyiniz.Ödemezseniz ise verileriniz silinecektir.
Virüs programları bunu yakın zamandan itibaren Trojan-Ransom.Win32.Gpcode.bn ve türevi olarak görmeye başladı. Güncel antivirüs yazılımları bunu tespit edebilmektedir.
Olay olduktan sonra ya masaüstüne aşağıdaki gibi bir txt dosya bırakılıyor ya da masaüstü fotosu olarak bu belge yapılıyor.Fotoğraflar şu şekildedir:
Bu İş Başa Geldikten Sonra Yapılacaklar:
- Hemen başında farketti iseniz bilgisayarının enerjisini en hızlı şekilde çekmeniz gerekmektedir.Bu şekilde verilerin bir kısmını kurtarabilirsiniz.
- 1024 bit şifreleme çok çok güçlü bir şifreleme olması dolayısı ile veri kurtarma için kimse garanti veremez verse de kesinliği yoktur.Bu yüzden kimse ile pazarlık yapmayınız.
- Windows loglarında 528 kodu logon: 10 ise altında rdp yapan IP adresi sizin izin verip/vermediğiniz IP adresi mi kontrol ediniz.
- Modem loglarını kontrol ediniz.
- Savcılığa elinizdeki tüm kayıtlar ile başvurunuz.
Çözüm önerileri:
1) Sunucularda varsayılan yönetici kullanıcı “Administrator” adının değiştirilmesi,
2) Yönetici kullanıcı, diğer ve uzak kullanıcı şifrelerinin özel karakterler (harf ve sayılar) içerecek şekilde değiştirilmesi,
3) İşletmeye ait statik IP adresinin ve bilgilerinin kullanıcılar dışında paylaşılmaması,
4) Gereksiz iletilere cevap verilmemesi ve istenmeyen sitelere girilmemesi,
5) Yazılımsal ya da donanımsal güvenlik duvarlarının oluşturulması,
6) Yedeklemelerin düzenli alınması ve bağımsız bir ortamda saklanması
fayda sağlayacaktır.
