Wannacry hk.

[khazadum]

Selam,

Bir arkadaşın Windows Server 2012 sunucusu mevcut. Birisine program yazdıyorken uzak masaüstü bağlantısını açmış ve açık bırakmış aylarca. 2 gün önce sanırım uzak masaüstünü kullanarak sunucuya sızıp wannacry virüslerinden birisini bulaştırmışlar. Bende de yardım istedi. Dün gece baya bir uğraştım üzerinde ama bir çözümünü bulamadım. Normal anti-virüsler zararlı yazılımı tespit edip silebiliyor lakin dosyalar kilitlenmiş durumda. Arkadaşın sunucusu kritik bilgiler içeriyor. (Muhasebe, faturalar, kasa kayıtlatı, vb. gibi)

Çoğu anti-virüs 'ün çıkardığı randsomware file decrtpy programını denedim. Her virüs için farklı farklı toollar mevcut üşenmeden hepsini indirip denedim. Hiçbirisi çözüm olmadı.

Aslında arkadaş parasını verip dosyalarını almak istedi (Bu arada 3 bitcoin istiyorlar. 1 bitcoin'in 10.000$ civarlarında seyrettiğini düşünürsek fiyatı duyunca ağzı açık kaldı. 3 bin falan zannetmiş.) Tabi parasını ödedikten sonra dosyalarının geri açılacağının da garantisi bulunmamakta.

Herneyse konuyu çok uzatmadan dosyalarımızın uzantısı .nemesis olmuş. Masaüstünde şöyle bir txt dosyası mevcuttu;

	ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***

	To decrypt your files you need to buy the special software – 

	«Nemesis decryptor» You can find out the details / buy decryptor + key / ask questions by email: 

	[email protected]

	Reserve contact for communication (online chat): 

	http://jz3sncvmveprhihk.onion (need Tor-browser)

	https://jz3sncvmveprhihk.onion.rip , 

	https://jz3sncvmveprhihk.onion.cab ,

	https://jz3sncvmveprhihk.hiddenservice.net (not need Tor-browser)

	Your personal ID: 2513610250

	

İnternetteki çoğu tuto da dosyaları silip geri getirme konusuna yüklenilmiş ama dediğim gibi dosyalar çok çok önemli bilgiler içeriyor firma için. Silinip bir daha gelmezse çok büyük bir zahmete girecekler.

Daha önce böyle bir durumla karşılaşmış bir kişi izlediği yolları bana anlatabilirse çok sevineceğim.

Teşekkürler şimdiden.

[axedice]

Yedeklerden geri yükleme ya da parasını ödeme. Bizim IT firmasının baktığı bi yerde firewallu iptal edip benzer şekilde uzak masaüstünü açık bırakmışlar falan, gg hiç bi şekilde dosyaları kurtaramamışlar.

Hiç yedek almadılarsa 3bcden 0,5e indirmeye çalışsın pazarlık yapsın falan. Verirler belki.

[roket adam]

Okumadan yazmışım, sorrey

[khazadum]

Kaspersky, AVG, McAfee, Avast, Trend Micro, Emsisoft yazılımlarının tüm toollarını denedim :)

[Dragonfire]

bunla ilgili baya bir yazı/döküman/bilgi paylaşan security grupları vardı linkedin'de. çözümü var mı bilmiyorum da hiç birşey bulamazsan onlara bir bak bence. bulabilrsem grupları paylaşırım bir bakayım.

[quuq]

gg. çok hayati veriler varsa, pazarlık ederek bir ihtimal verileri alabilirsiniz. bundan sonrası içinde daha dikkatli olarak, ortama bir tane nas server alıp, yedekleri ftp ile alırsınız.

[sardalya]

gecmis olsun :(

[Lancelion]

gecmis olsun, pazarlik yapabilirsin, sirketimizde o kadar para yok, su kadara su datalari acabilir misiniz tarz falan filan.

[TheGreatWall]

Pazarlık mantıksal.
Büyük ihtimalle fiyatı düşürürler.
Ayrıca yedekleri nasıl olmaz dosyaların?
Belirli bir tarihe kadar illaki vardır.

[BonePART]

Günlük yedek tutmuyorsan finansal datada 2 güblük kayıp bile çile oluyor genelde. Faturadır girdidir çıktıdır tekrarlamak aynı yoğun tempodayken bitiriyor insanı.

[Xenus]

bu tarz bi sorunu bi tool ile çözmüştü biri, daha yeni 2-3 haftalık bi topikte. tim'di hatta yanılmıyorsam. bulamadım ama topiki.

edit: bacyo'ymuş. topiki buraya eklemişler.

https://forum.paticik.com/read.php?6,8410919,8782166#msg-8782166