Forum

Malware Saldırısı (...
 
Bildirimler
Hepsini Temizle

Malware Saldırısı (Ransomware)

2 Yazılar
2 Üyeler
0 Reactions
1,096 Görüntüleme
(@OsmanKARA)
Gönderiler: 11
Active Member
Konu başlatıcı
 

Malware Saldırısı (MALicious SoftWARE)-(Kötü niyetli Yazılım)

Son zamanlarda 2 kez karşılaştığımız Ransome (Fidye) Malware
 
2 çeşiti mevcuttur;
 
 1-) Tam ekran bildirimli,
 2-) Sistemde bulunan belirlediği dosyaları şifrelemeli,
Bizim karşılaştığımız 1. Tam Ekran bilidirimli, 

1-Temp klasörüne, daha önceden oluşturmuş olduğu website ya da exe leri bırakıyor. Hangi aşamada aktif edildiğini tespit edemedim.
 Emniyet Genel Müdürlüğü'nün ve İnterpol'ün logosunu kullanarak, bulaştığı bilgisayarın ip adresini kullanıp ISS aracılığıyla konum belirleyip, username bilgisini çekip, kamera görüntüsünü alıp, index.html oluşturup, ekrana belirli konumlara yapıştırıyor.
 
 Farklı ülkelerde o ülkenin güvenlik güçlerinin logolarını kullanıyor.
 Eğer ki bu aşamada son kullanıcı, telaşa kapılıp parayı öderse, iş şahsın bankasının bilgi işlemine kalıyor, güvenlik önlemini almışsa, ödemeyi bloklamıştır, para geri gönderilir. Bizim karşılaştığımız, Ukash üzerinden işlemini gerçekleştiriyor. Ukash.com.tr sitesinde gerekli uyarıyı yapmıştır.

Temizleme İşlemimiz;
1-)Öncelikle Microsoft Safety Scanner indiriyoruz,
2-)Restart ardından F8 ile Güvenli Mod,
3-)Microsoft Safety Scanner ile tarama işlemini başlatıyoruz,
4-)Eğer tehlike bulunduysa, PC mizi gerçek zamanlı koruyan bir anti-virüs ile tarıyoruz, MSE ya da Esed
Bu yöntem başarılı olmazsa,
1-)Bootable virüs taraması ile sonuca ulaşabiliriz, WDO
Takip ettiği sistem değişikli;
Trojan:Win32/Reveton.C
  • Başlangıca bu isimle eklenir:
    <startup folder>\ctfmon.lnk
  • Registry üzerindeki değişikliği:

    In subkey: HKCU\Software\Microsoft\Internet Explorer\Main
    Sets value: "NoProtectedModeBanner"
    With data: "1"

    In subkey: HKCU\Software\Microsoft\Internet Explorer\Toolbar
    Sets value: "Locked"
    With data: "1"

Başlangıca kopyaladığı konum;
'%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup'.
İletişime geçtiği yer;
80 ve 443 portunu kullanarak,
213.152.172.101(erişilemiyor)
ve
willber.com (kapanmış)
eğer ulaşım sağlayan bir host olursa, 
-internet bağlantısını kontrol ediyor,
-sahibine rapor gönderiyor,
-kaynağa yeni dataları ve ayarlamaları gönderiyor
-kaynaktan execute indiriyor ya da varolanı güncelliyor,
-bunların ardından uzak bağlantı saldırısını başlatıyor.
Antivirüs programımız bu malware i engelleme konusunda başarısız ancak temizleme konusunda başarılı.(eep)
Güvenlik Taraması;
 
Gönderildi : 13/06/2013 22:47

(@resulsoydas)
Gönderiler: 1658
Noble Member
 

Merhaba

Bir kullanıcımızın bilgisayarına bulaşmış. Bilgisayarı
farklı bir kullanıcı ile açtığımızda herhangi birşey gelmiyordu.
Temizleme Yöntemi olarak şu yolu izledim.

c:\Users\username\AppData\Roaming

Klasörünün
altındaki skype.dat ve skype.ini dosyalarını silip yerine aynı
isimlerde text dosya oluşturup salt okunur yapın. Yada bu dosyaların
güvenlik ayarlarından kullanıcının yetkilerini kaldırın.

 

 

 
Gönderildi : 14/06/2013 15:48

Paylaş: