Dosyaları şifreleyen fidye yazılımlarına karşı Volume Shadow Copy özelliğini kullanma

Fidye yazılımları büyük bir sorun oluşturuyor.

Son olarak, ABD’de Madison kasabasındaki devlet ofislerinde bulunan 600 pc ve 75 sunucu fidye yazılımları ile kullanılmaz hale getirildi.

Ancak 28 bin dolar tutarında fidye ödendikten sonra dosyaların şifresi çözüldü ve bilgisayarlar kullanılabilir hale geldi.

Fidye yazılımlarına önlem olarak iyi bir yedekleme sistemi oluşturmakta yarar var.

Ama yedeklerimiz yoksa ve bir şekilde bu saldırılarla karşılaştıysak dosyalarımızı kurtarmak için yararlanabileceğimiz bir özellik var:

Volume Shadow Copy (VSC)

VSC, Windows Vista’dan bu yana bizimle ama halen çok bilinmiyor, kullanılmıyor.

Dahası diskte yer sıkıntısına neden oluyor diye iptal bile edilebiliyor!

VSC, bilgisayarımızdaki ayarları ve dosyaları denetliyor.

Bu ayarlarda ve dosyalarda değişiklik olursa ayarların ve dosyaların eski durumlarını saklıyor.

VSC tam bir sürüm izleme sistemi değil:

Bir dosyada bir gün içinde 20 kez değişiklik yapmışsanız dosyanızın 20 eski halini saklamıyor.

Bu denetim günde yalnızca bir kez yapılıyor.

Ama ücretsiz oluşu ve işletim sisteminin içinde hazır bulunuşu nedeniyle çok değerli.

VSC yapılandırmasına Denetim Masası’nda Sistem altında Sistem Koruması başlığı altından erişilebilir:

Yukarıda görülen örnekte M: ve C: diskleri için koruma etkinleştirilmiş.

VSC bu diskleri denetleyecek ve değişiklik varsa disklerdeki dosyaların eski hallerini saklayacak.

Yapılandır düğmesine basılarak VSC’nin diskte kaplayacağı alanı belirleyebilirsiniz.

Sabit diskiniz büyükse VSC için daha fazla alan ayırmanızda sakınca yok.

Bilgisayarımızdaki VSC kopyalarını görmek ve bunlardan yararlanmak için komut satırından çalışan vssdamin ve mklink komutlarını kullanacağız.

Vssadmin komutu VSC’nin oluşturduğu kopyaları yönetmeye yarar: Kopyalar görüntülenir hatta silinebilir.

Fidyeleme yazılımlarının yaptığı ilk şey VSC kopyalarını silmeye çalışmaktır.

Bunu da yine vssadmin komutunu çalıştırarak yaparlar.

Ama vssadmin komutu, kullanıcının yönetici olmasını gerektirir.

Eğer kullanıcıları kendi makinelerinde yönetici yapmazsak, fidye yazılımının saldırısına uğrasa bile dosyaların eski hallerini kurtarabiliriz.

Vssadmin ve mklink komutları için bir komut satırını yönetici olarak çalıştırmak (run as admin şıkkıyla) gerekir.

Yönetici yetkileriyle açılan komut satırında “vssadmin list shadows” komutunu çalıştırarak bilgisayarımızdaki VSC kopyalarını görebiliriz:

Yukarıdaki örnekte bir kopya olduğu görünüyor. Shadow Copy Volume satırında yer alan bilgi, bu kopyanın kimlik bilgisi.

Sonra da mklink komutuyla bir VSC kopyasına işaret eden bir nokta (junction point) tanımlıyoruz.

Bu işlemi kabaca VSC kopyasını bir klasör gibi kullanıma sokmak olarak görebiliriz.

Yukarıdaki örnekte, bir VSC kopyasını C: diskinde depo klasörü adıyla kullanıma sokuyoruz.

Bu komutta sondaki işaretine dikkat edin.

Vssadmin list shadows komutunda, VSC kopyası bilgisinde bu son işaret yer almıyor ama bizim mklink komutunda kullanmamız gerekiyor.

Bu komutu da verdikten sonra bilgisayarımızda, C: diskinde, depo klasörü altında VSC kopyasına, yani dosyalarımızın eski hallerine erişebiliriz.

Fidyesiz günler dileğiyle.

E-Kitaplarım:

https://www.google.com.tr/search?hl=tr&tbo=p&tbm=bks&q=inauthor%3A%22Murat+Y%C4%B1ld%C4%B1r%C4%B1mo%C4%9Flu%22

 

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s


%d blogcu bunu beğendi: