Önce Network kablosunu çek! CryptoLock=0 Ben=1

no ransomware crypto lock
no ransomware crypto lock

Çalıştığım firmada 14 yıl sonra ilk defa bir virüs vakası yaşadık. Diyebilirsiniz internete hiç mi girmiyorlar sizin firmada çalışanlarınız. Dikkat ederseniz virüs saldırısı demedim vakası dedim. Çünkü her gün mail ile gelen virüslerin %99’unu daha kullanıcıya gelmeden silebiliyoruz. Ancak gelin görün ki biz her ne kadar kendimizi bu savaşa hazırlarsak da eninde sonunda en güvenli sistemin bile tıkandığı yerde bizde tıkanıp kalıyoruz.

Eminim bir çoğunuz bu tıkanıklığın ne olduğunu merak ediyorsunuzdur ; hiç etmeyin sizsiniz ve ayrıca benim. Yani olabilecek en güvenli sistemin içerisine insanı soktunuz mu? Heh işte zaten otomatik olarak sistem güvensiz hale geliyor bu faktörle. Geyik olsun diye söylemiyorum inanıyorsanız eğer aynı hata faktörü insanoğlunun cennetten atılma sebebi olduğunu da bilirsiniz; o elmayı yemeyecektiniz arkadaş , protokoller gayet açık :D

Peki bu kadar geyikten sonra ki böyle bir saldırıya maruz kaldıysanız ve bu yazıyı okuyorsanız belki bir dakikalığına kafanızdaki kara bulutları dağıtmış olabilirim ama gerçekler yan taraftaki bilgisayarınızda duruyordur büyük ihtimal ile.

Yazımı buradan itibaren ikiye ayıracağım birincisi acelesi olanlar ve daha fazla geyik ile uğraşmak istemeyen arkadaşlara ikincisi ise daha yakalanmamış ama bu tarz saldırılara karşı yapılabilecek basit önlemleri bilmek ve yakalandığı takdirde ne yapması gerektiğini bilmek isteyenlere.

Ransomware nedir ve ne yapabilirim ?

Ransomware bilgisayarınızdaki kaynakları açık kaynak kodlu şifreleme sistemleri ile sisteminizdeki açıklar sayesinde ele geçirmiş ve bu sayede sizden bazı taleplerde bulunulmasını sağlayan yazılımlar demek doğru bir tanım olacaktır.

Dikkat ederseniz başlık esasında bu crypto lock / ransomware yazılımlarından korunmanın en doğru yöntemini tek satır ile anlatıyor ; ama bunun detaylarını ikinci bölümde anlatacağım çünkü şu anda birinci bölüm yani yangını söndürme bölümündeyiz.

İnterneti/ağınızı keserek önce bilgisayarınızın  dışarıya bilgi aktarmasını ve daha büyük zararlar vermesini engellemek istiyoruz. Bu elbette ki dosyalarınızı şimdilik geri getirmeyecek ama bir yan makine ve diğer ağınızdaki/networkteki dosyalara daha ulaşmadıysa ulaşmasını engellemiş oluyorsunuz. Hasarı azaltmak bile başlangıç için iyi bir adım. Esasında bir yangın ile karşı karşıya olduğunuz bilinci ile soğukkanlı ve panik yapmadan ve çalışanlarınız/iş arkadaşlarınız ile beraber hareket ederseniz minimal ile durumu atlatmış olacaksınız.

İkincisi yedeklerinizin tam , eksiksiz ve mümkünse dün alınmış olmasına dua edeceksiniz; çünkü şifrelenmiş dosyalarınızın yedeği yoksa dosyalarınızın geri gelme ihtimali çok zayıf. Ancak güzel bir haber vereyim eğer saldırı noransomware.org sitesinde paylaşılan decryptor / çözücü  tarafından geri alınabilecek bir ransomware ve ya cryptolock  saldırısı ise geçmiş olsun. Bu siteden bu ilgili dosyaları indirebilir ve belki dosyalarınızı geri alabilirsiniz. Size yapılan saldırının versiyonunu bilmiyorsanız yukarıdaki Crypto Sheriff linkinden iki tane 1mb’i geçmeyecek dosyayı ve size bırakılan html/txt dosyasını paylaşarak ŞANSLI iseniz bulabilme ihtimaliniz var.

Diyelim ki bu sitede bulunan decryptorların hiç biri işinize yaramadı; o zaman yedekleriniz sizi kurtaracak tek şey. Boşu boşuna internette gezinmeyin sayfalarca yazılar arasında karşınıza çıkacak tek şey dosyalarınızın sonsuza kadar cryptolock ve ya ransomware tarafından tarihin tozlu sayfalara gömüldüğü olacaktır.

İkinci bölüme geçmeden önce network kablosunu hala takmamanız gerektiğini hatırlatmak istiyorum. Daha bilgisayarınızdaki virüsü silmiş değilsiniz. Elbette anti-virüs programınıza saydırıyor olabilirsiniz ama işte bu virüs değil ransomware yani kullanıcı izinli çalıştırılabilir bir uygulama. Siz internetten tıpış tıpış bilgisayarınıza bu dosyayı indirir ve üstüne üstlük çalıştırırsanız (bu ikisi bir kerede de yapılabiliyor linki tıklayıp çalıştırmasına izin vererek) anti-virus ne yapsın.

Bilgisayarınızı tamamen virüslerden ve ransomware’lerden temizledikten sonra FIREWALL kurmayı unutmayın ya da de-aktif ettiyseniz /edildiyse aktifleştirin. Artık yedekleriniz varsa geri yükleyebilirsiniz.

He tabi istifa mektubu da bazı şirketlerde ve durumlarda  işe yarayabilir ; gerçekten administrator şifresi diye bir şeyden haberiniz yok muydu ?

Ransomware yada Cryptolock’tan nasıl korunurum ?

İnternette bulacağınız bir çok yazıyı buraya kopyala / yapıştır yapmayacağım ama yine de size aşağıda bir kaç tane link yazacağım ; muhakkak o yazıları da gözden geçirmelisiniz.

Peki ben başıma gelen bu vakada nasıl yara almadan kurtuldum kısaca anlatayım size.

  1. Şirketimizde var olan bütün bilgisayarlarda lokalde admin ve diğer yetkili kullanıcıları iptal etmiştik; yetkili erişim sadece domain yetkilisi  2 kişinin bildiği  şifreler ile yapılmaktaydı.
  2. Sunucularda hiç bir kullanıcıya kendi dizinleri harici erişim yetkisi vermedik.
  3. Sunucularda her kullanıcı kendisine ait bir şifre ile erişim sağlayabilir bir yapı kurduk.
  4. Tüm bilgisayarlarda ve sunucularda gerekli güvenlik yazılımlarını kurmuştuk ve güncel tuttuk.
  5. Her akşam ve her güne ait haftalık bir yedekleme yapısı kurmuştuk.
  6. Kullanıcıların her akşam bilgisayarlarını kapatmaları konusunda bazı yaptırımlar yaptık.

Bu ilk beş adım 14 yıldır şirketimizde hali hazırda var olan bir yapı. Her akşam bilgisayarları kapatma konusunda hala sıkıntı yaşıyoruz! Hayır forcequit diye bir şey var yaparım yapmasına ama yazık dosyalarını kaydetmeden şirketten çıkıyorlar artık nereye kaçıyorlarsa  :D

Elbette yeterli değil ve burada size uzun uzun anlatamayacağım diğer güvenlik çalışmalarımız var elbet ama bu basit önlemler bile sizi çok büyük dertlerden korumaya yeter de artar. Koskoca şirketi basit yöntemlerle korumuyoruz elbette ama yukarıda yazdıklarımdan sonra yapılacak hemen hemen her adımın döviz cinsinden karşılığı var. Yani bilgi işlem departmanınıza ait bir bütçeniz olmalı .

Not:  Bu yazım taslaklarda kalmış ve üstünden 2023 itibarı ile 6-7 sene geçmiş ama yazım hala güncel :D Yayımlamak bu güneymiş .

About the Author

Melih Melik SÖNMEZ
1976'da İstanbul'da doğdum.