• 04-02-2023, 14:08:17
    #55
    by_hidrojen adlı üyeden alıntı: mesajı görüntüle
    Kurtardığın makine Windowsmu linuxmu?
    Hocam merhaba, sadece data olarak mı ulaştınız, sistemi ayağa kaldıra bildiniz mi acaba?

    Diğer arkadaşlara ek olarak bu durumu ben şu şekilde kısmen çözümleye bildim. Diskin bağlı olduğu sanal makineye kali iso dosyasını taktım. Portable işletim sistemini iso üzerinden çalıştırdım.

    Testdisk aracılığı ile windows disk içerisindeki tüm klasörlere erişe bildim. Fakat sistemi ayağa kaldıramadım. Farklı yöntemler deniyorum bir sonuca ulaşırsam paylaşırım.
  • 04-02-2023, 14:09:22
    #56
    sunucuoptimizasyon.com
    ertunc23 adlı üyeden alıntı: mesajı görüntüle
    Dün twitterda ovh ve scaleway çalışanları çok büyük bir açık olduğunu paylaşmıştı.OVH de dün 18:00 civarı mail atmış.Esxi sunucunuz eski hack mağduru olabilirsiniz diye.Yedekleri alıp esxi 7.0.3 geçmiştim hemen.Bu kadar kişinin mağdur olacağını bilseydim forumda konu açardım.
    Hack faaliyetleri dün öğleden sonra başladı bizim müşterilerden 3-4 tanesi iletişime geçti durumu bildirdi anası belli babası elli olan saldırgan kişi yada kişiler sisteme not bıraktığı için crpytolocker virüsü olduğu hemen anlaşıldı, logları incelediğimde saldırganın 127.0.0.1 ip adresi üzerinden vmware arayüzüne ulaştığı firewall kurallarını devre dışı bırakıp ssh'yi aktif ettiğini ve ssh üzerinden işlemleri gerçekleştirdiğini tespit ettik. İlk başta hep soyoustart/ovh sunucularda sorun olduğunu görünce soyoustart/ovh taraflı bir açık mı var diye düşünürken farklı verimerkezlerindeki sunuculara da girildiği bilgisi geldi 4 buçuk gibi scaleway/online.net ceo'su tweet attı, onlara ait sunuculardan da binlercesi ele geçirilmişti. Tam emin olduktan sonra 6 gibi ilk konuyu açtım fakat pek kimsenin dikkatini çekmedi ilerleyen saatlerde yayılma daha da artınca gündem oldu.

    https://www.r10.net/site-server-admi...k-uyarisi.html

    İlerleyen saatlerde fransa devletinin güvenlik departmanı bu açığı resmi olarak duyurdu, ardından diğer verimerkezleri de uyarı geçti. Tabi bu zamana kadar onbinlerce sunucuya sızılmıştı. Ardından yurtdışındaki network ve güvenlik uzmanları açığın 427 portunda çalışan ve donanım istatistik verisi gönderen openslp servisinde olduğunu açıkladı. Açık geçen aylarda kapatılmış fakat açığın ciddiyeti açık için güncel bir exploit yazılmasıyla anlaşıldı.

    Neyse ki flat-vmdk dosyası şifrelenemediği için kurtarma şansı var, @mselim üstad sağolsun döküman paylaşarak büyük bir iyilik yapmıştır sektöre. Bu olayla birlikte yedeklemenin ne kadar önemli olduğu da anlaşılmıştır, birçok müşterimiz 1-2 sene önce yedek almış hatta hiç yedek almayanlar var. Bu kadar fazla cesaret beni korkuttu.

    Herkese geçmiş olsun.
  • 04-02-2023, 14:28:47
    #57
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Win10_1-000001.vmdk
    Win10_1-000001-sesparse.vmdk
    Win10_1-000002.vmdk
    Win10_1-000002-sesparse.vmdk
    Win10-000001.vmdk
    Win10-000002.vmdk
    Win10-flat.vmdk

    gibi bolumleri olan bir vmde nasıl bir işlem yapmamız gerekiyor. işlemleri uyguluyorum diski tanımıyor. Sadece windows değil linuxte bu yapıda olan vmlerde var.
  • 04-02-2023, 15:07:47
    #58
    cryptolocker virüsü seneler önce bilgisayarıma bulaşıp her şeyimi şifrelemişti. O dönemlerdeki bilgisayarımdaki en önemli dosyalar aile resimlerimiz. Hala şifreli hallerini saklıyorum. Ama kullanılan şifreli yapıyı çözebilecek, dosyayı kurtarabilecek bir sistem hala yok sanırım doğru mudur hocam ? Resimlerin uzantısı .mijvbag şeklinde
  • 04-02-2023, 16:02:22
    #59
    emrahisler adlı üyeden alıntı: mesajı görüntüle
    cryptolocker virüsü seneler önce bilgisayarıma bulaşıp her şeyimi şifrelemişti. O dönemlerdeki bilgisayarımdaki en önemli dosyalar aile resimlerimiz. Hala şifreli hallerini saklıyorum. Ama kullanılan şifreli yapıyı çözebilecek, dosyayı kurtarabilecek bir sistem hala yok sanırım doğru mudur hocam ? Resimlerin uzantısı .mijvbag şeklinde
    https://www.emsisoft.com/en/ransomware-decryption/

    Burada bazıları için çözücüler var işini görebilir
  • 04-02-2023, 16:53:04
    #60
    Piramitweb adlı üyeden alıntı: mesajı görüntüle
    Hocam merhaba, sadece data olarak mı ulaştınız, sistemi ayağa kaldıra bildiniz mi acaba?

    Diğer arkadaşlara ek olarak bu durumu ben şu şekilde kısmen çözümleye bildim. Diskin bağlı olduğu sanal makineye kali iso dosyasını taktım. Portable işletim sistemini iso üzerinden çalıştırdım.

    Testdisk aracılığı ile windows disk içerisindeki tüm klasörlere erişe bildim. Fakat sistemi ayağa kaldıramadım. Farklı yöntemler deniyorum bir sonuca ulaşırsam paylaşırım.
    Ben datalari alip yeni kurulum yapip aktardim
  • 04-02-2023, 16:53:38
    #61
    Platin üye
    Merhaba arkadaşlar tekrardan herkese geçmiş olsun. .vmdk kurtardıktan sonra işletim sistemini boot edemeyen veya onaramayanlar için nasıl .vmdk içerisindeki dosyaları kurtaracağınızı konuyu editleyerek anlattım. İhtiyacı olan kontrol edebilir kolay gelsin.
  • 04-02-2023, 17:44:30
    #62
    Merhabalar, ESXi 6.7.0U3 uzeirnden sanallastirdigim windows 10 vds ler var? Bu acik beni de ilgilendiriyor sanirim. Su an icin vds lerde bir sorunla karsilasmadim ama olmamasi icin alabilecegim onlemler nelerdir acaba? Bilgisi olan arkadaslar yardimci olabilrler mi? Sunucu aldigim yerden https://www.vmware.com/security/advi...2022-0030.html bu linkteki patch i yapmam gerektigini soylemisler ama nasil yapacagim konusunda teknik bilgim yok. Bunun disinda yapilacak birsey var mi?
  • 04-02-2023, 18:16:53
    #63
    Merhabalar,

    Bu saldırıdan biz kendi adımıza etkilenmedik ancak nasıl bir panik hali olduğunu ve bir çok sistem yönetcisinin gecede çalıştıklarını biliyoruz.

    ESXiArgs Ransomware saldırısını ve Esxi güvenlik açığını (OpenSLP) r10 da ilk duyuran sanırım @Elazığlı168,
    Bu saldırıdan etkilenenlerin *-flat.vmdk dosyalarını nasıl kurtarabileceklerini en detaylı anlatan ise @mselim

    adlı sistem uzmanı arkadaşlarımız. Bu bilgiler değerlidir, etkilenenler hatta etkilenmeyenler bile bu konuyu favorilere eklemeliler.

    Yeni Esxi kurdunuz herşey güzel, ancak unutmayın ki OpenSLP servisini kapatmalısınız. Hatta bizce network tarafında 427 portu bile kapatılabilir. Esxi ssh ve web arayüzün public olması bile en baştan bir hatadır bunu asla es geçmemelisiniz arkadaşlar. Esxi kurdunuz ilk yapacağınız iş bu ikisidir. Daha sonra build update / version upgrade işleminizi zaten yaparsınız. Bu iki duruma önem verin lütfen.

    İyi çalışmalar.