Ransomware GPCode Nedir?

Son zamanlarda sıklıkla başa gelen bir olayı sizlere açıklamak istedik.Bunu yapan şahıslar belirledikleri bir IP aralığını taratıp ve açık buldukları uzak masaüstü paylaşımlarına “brute force” olarak tabir edilen şifre denemeleri yapıp basit şifreleri kırarak sisteme giriyorlar.

İlk yaptıkları muhsebe,veritabanı ve PDKS bilgilerini almak ve bu dosyaları TrueCrypt veya Steganos Backup 2012 gibi bir program ile dosyalarınızı kırılmayacak şifreler ile şifrelemek ve size ulaşıp mail adreslerini verek para istemektedirler.

Ransomware kötü niyetli bir yazılım ile ağa sızma ve arkasından o bilgisayardaki verileri Gpcode ile 1024 bit formatında şifrelenmesidir.Yani bir değişle veri fidyeciliğidir.Bunun amacı verilerinizi şifreleyerek sizden para sızdırmaya çalışmaktır.Bir mail adresi verilerek bize şu kadar parayı şu zamana kadar kimseye haber vermeden şu mail adresi ile irtibata geçerek ödeyiniz.Ödemezseniz ise verileriniz silinecektir.

Virüs programları bunu yakın zamandan itibaren Trojan-Ransom.Win32.Gpcode.bn ve türevi olarak görmeye başladı.Güncel antivirüs yazılımları bunu tespit edebilmektedir.

Olay olduktan sonra ya masaüstüne aşağıdaki gibi bir txt dosya bırakılıyor ya da masaüstü fotosu olarak bu belge yapılıyor.Fotoğraflar şu şekildedir:

Bu İş Başa Gelmeden Önce Yapılacaklar:
- Verilerinizi her zaman düzenli yedek alın.Bunu bir silsileye bindirip işi otomatikleştirin.
- Modem yapılandırılması iyice gözden geçirilmelidir.(Açık port,NAT yönlendirmesi)
- Ağınıza dışarıdan girmesi için kaç kişi yetkili ve nasıl girilebilir?
- Firewall ne durumda kontrol edilmelidir.
- IPS/IDS yapısı var mı gözden geçirilmelidir.
- Sisteminiz zafiyetlerini hiç kontrol ettirdiniz mi?
- Sisteminizi sürekli en güncel ve iyi bir antivirüs yazılımı ile testlerden geçirin ve bunu hergün cihazın aktif olmadığı durumlarda tekrarlayınız. 
- TS(Terminal server) dışarıya açık ise en azından standart port 3389 u değiştiriniz.
- Şifrenizi belirlerken burada yazdığımız kurallara uygun şifre seçmeniz gerekmektedir. 

Bu İş Başa Geldikten Sonra Yapılacaklar:
- Hemen başında farketti iseniz bilgisayarının enerjisini en hızlı şekilde çekmeniz gerekmektedir.Bu şekilde verilerin bir kısmını kurtarabilirsiniz.
- 1024bit şifreleme çok çok güçlü bir şifreleme olması dolayısı ile veri kurtarma için kimse garanti veremez verse de kesinliği yoktur.Bu yüzden kimse ile pazarlık yapmayınız.
- Windows loglarında 528 kodu logon:10 ise altında rdp yapan IP adresi sizin izin verip/vermediğiniz IP adresi mi kontrol ediniz.
- Modem loglarını kontrol ediniz.
- Savcılığa elinizdeki tüm kayıtlar ile başvurunuz. 

Bu İş Başa Geldikten Sonra Yapılmayacaklar:
- Kesinlikle bilgisayarı yeniden başlatmayınız. 
- Sizden serverınızın IP'si veya herhangi bir ek bilgi istenebilir.Kesinlikle vermeyiniz.
- Kesinlikle bunu yapan kişi ile pazarlığa girmeyiniz.



"Ransomware GPCode Nedir?" Hakkında Kafanıza Takılanı Hemen Sorun

Çağrı Polat

Şu anda DEU Bilgisayar Mühendisliğinde Doktora yapmaktadır. " Kalıcı Gelişmiş Saldırılar ve Siber Güvenlik" üzerinde çalışmaktadır.


Bilgisayar Yüksek Mühendisidir. Ayrıca, Elektrik-Elektronik mühendisi ve İşletme bölümlerini bitirmiştir. Yüksek lisans tez konusu "kurumsal ağlarda sızma testleri ve önlemleri" idi.Akademik olarak da bilgi güvenliği üzerine çalışmaktadır.



Kariyerinin ilk yıllarında bilgi işlem sorumluluğu, sistem destek uzmanlığı yaptıktan sonra, IT manager, IT koordinator ve son 3 yılda da kurumsal firmalara bilgi güvenliği danışmanlığı yapmaktadır Yaklaşık 12 yıllık tecrübeye sahibidir.


9 uluslararası sınavda alınmış Microsoft sistem mühendisliği güvenlik sertifikasıyla birlikte, EC Council' den eğitim alarak CEH v9 sertifikasını almıştır. MCSE, CEH ve bilgi güvenliği başlıklarında bireysel ve kurumsal eğitimler ve seminerler vermektedir.


ISO27001:2013 BGYS konusunda baş denetçilik, eğitmenlik ve danışmanlık yapmaktadır. Ayrıca Bilirkişilik ve Kamulaştırma Bilirkişilik yetkilendirme belgesi sahibidir.