Merhabalar;
Son zamanlarda cryptolocker virüsüne paralel olarak çok sayıda uzak masaüstü açığı kullanılarak yapılan veri şifreleme vakası ile karşılaşmaktayım.
Uzak masaüstü bağlantısı görece olarak kolay bir bağlantı sağlamakla birlikte, gelebilecek olan dış saldırılara karşı oldukça güvensiz bir yapı sunmaktadır. Tespit edilmiş RDP açıkları, bu zaafiyetleri değerlendirebilecek yazılımlar aracılığı ile kolayca sisteminize sızmaya sebebiyet verebiliyor.
Bu açıkların nasıl kapatılacağı, nelere dikkat edilmesi gerektiği konularda ve eğer bu zaafiyetten dolayı zarar görmüşseniz, neler yapabileceğinizi aşağıda yazmaya çalıştım.
Açık nasıl kapatılır?
+ RDP Portunu modemden kapatın ( Uzak masaüstünü VPN iletişimi ile sağlayın )
Eğer bunu yapamıyorsanız riski daha minimize etmek için;
+ Varsayılan RDP Portunu değiştirin.
+ Eğer 3389 varsayılan RDP portu ile bağlanıyorsanız lütfen bu portu farklı bir portla değiştirin.
Sisteminizi sürekli güncel tutun. Zira microsoft sürekli yayınladığı güvenlik yamalarıyla bu ve benzeri zaafiyetleri olabildiğince hızlı kapatıyor.
+ Ayrıca administrator hesabınızın ismini değiştirmeyi ve güçlü bir şifre koymayı ihmal etmeyin lütfen.
+ Ayrıca Server 2012 seviyesinde bir işletim kullanıyorsanız RDP Restriction Modu aktif edebilirsiniz :
Makale için : Tıklayınız
+ TSPLUS gibi RDP ile aynı işi yapan ama uçtan uca güvenlik sağlayan bir yazılım da kullanabilirsiniz.
+ IDS ( Intrusion Prevention System ) servisi kullanın.
+ GPO ile şifre denemeyi sınırlandırın.
Bu zaafiyetten etkilenmişseniz ne yapılabilir?
Bu zaafiyeti kullanan biri tarafından tüm verileriniz şifrelenmiş ve size
bir mesaj bırakılmışsa, önce sakin olmalı ve panikleyerek makinenizde kalıcı hasarlara kendiniz yol açmamalısınız. Zira makineyi formatlamanız hiç bir işe yaramayacaktır.
Genel olarak bu tür yollarla sistemlere sızan ve verileri şifreleyen kötü niyetli kişiler, sildiği verinin üzerine veri yazmakta ve geri getirilemez şekilde yok etmektedirler.
Fakat bazen nedenini bilemeyeceğimiz sebeplerle bu işlemin gerçekleşemediği de görülmüştür. Ve veriler diskten yoğun bir gayretin neticesinde kurtarılabilmektedir.
Yedeğiniz varsa acilen yedekten dönmeye gayret edin, yoksa ise mutlaka profesyonel bir destek almalısınız.
Herhangi bir sorunuzda ve öneriye ihtiyacınız var ise benimle de iletişime geçebilirsiniz.
İletişim için : ben@mehmetyayla.com
Bu yazının hiç muhatabı olmamanız dileğiyle…
Not (10.08.2015 ) : şifrenin çözülmesine dair bir teknik :
http://blog.cylance.com/cracking-ransomware
Merhaba,
Bizim başımıza aynı olay geldi. secxhelps@gmail.com ‘dan mail geldi 3000 usd para istiyorlar. Bununla ilgili ne yapabiliriz? Yardımcı olabilir misiniz?
Teşekkürler
Aysel
merhabalar
Not (10.08.2015 ) : Bu vakalarda bir güvenlik firması tersine mühendislik yaparak şifreyi çözebildiğini iddia etmektedir
bu firma hakkında daha fazla bilgi almam mümkünmüdür. teşekkürler.