Forum

TTNET Cryptolocker ...
 
Bildirimler
Hepsini Temizle

TTNET Cryptolocker virüsü nasıl temizlenir

117 Yazılar
43 Üyeler
0 Reactions
14.1 K Görüntüleme
(@emrahyilmaz-2)
Gönderiler: 1087
Noble Member
 

Merhabalar

 

Bizim bir kullanıcımız da maalesef marus kalmis (24.06.2015)

Son 2-3 gun gelen butun email arsivini taradim fakat sorunun kaynagini, nereden bulastigini tespit edemedim.

Butun datalari Network share uzerinde, fakat oraya da bulasmis.

Sunucu da ortak kullanılan binlerce ofis dokumani sifrelenmis.

Tum uzantilara ve tum klasorlere bulasamamis anladigim kadariyla. 

Sorunun kaynagini bilen var mi ?

Email sistemi firewall vs uzerinde IP araligi, keyword veya domain bloklama vs yaparım en azından.

TTNET ve PTT versiyonlarinda oyle yapmistim.

İsle ilgili takılan mailler de oldu tabi bu yuzden ama yapacak birsey yok. 

Backuplar olmasa issiz kalacagiz bu vicdansizlar yuzunden, ekmegimizle oynuyorlar, bu isin sakasi yok gercekten.

Zira backup olsa dahi mutlaka kayip/zarar oluyor, isverenleri nereye kadar idare edecegiz ?  

İşvereni idare etmek nedir ???? Öyle bir misyon yüklemeyin kendinize.

Sistem sorumlusu,uzmanı, yöneticisi vs. ne ünvana sahipseniz, siz yedeinizi alırsınız, mail güvenliği sağlarsınız, kullanıcıları bu tür maillere karşı düzenli olarak uyarırsınız. Buna rağmen birisi çıkıp bu tür mailleri açıyorsa, siz neden idare ediyorsunuz.

Yöneticileri idare etmek mantığına biraz sinirleniyorum kusura bakmayın. Siz bilginiz ve emeğinizi sunuyorsunuz ve karşılığını alıyorsunuz. Bilgi değerlidir arkadaşlar. Emek değerlidir. İşinizi hakkıyla yapın, karşılığını alın.. bu kadar.

Selamlar.

 
Gönderildi : 26/06/2015 12:28

(@m-oguzhanozkurt)
Gönderiler: 1323
Noble Member
 

Turhan Gürsu bey Merhaba,

Virüsün yeni versiyonu hakkında biraz bilgi vermeniz mümkün mü? E-posta ile gelen ek dosyanın türü, dosyanın adında geçen kelime, gelen firma olarak ne görünüyor, konu kısmında yazan kelimelerden bazıları, mümkünse dosyaya tıklandığında linkin sizi götürdüğü ip veya domain adı vs.

Bu bilgileri paylaşmanız durumunda önlem almamız kolaylaşacaktır. 

 
Gönderildi : 26/06/2015 13:17

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Virüsün son varyantı hakkında detaylı inceleme

Saldırı phishing yapılan marka ile alakasız yeni alınan ter temiz IP
adreslerden yapılıyor. Örnek. [email protected] ,
[email protected] 
Phishing epostanın URL nin gövdesinde bulunan linkler saldırganlar
tarafından hacklenmiş konudan bihaber domain adreslerden oluşuyor. Örnek.
xxxx://atamaze.com 
Hacklenen web sunucuda saldırganların yönlendirme sistemleri çalışıyor gelen
link talebi belirli aralıklarla değiştirilen phishingi yapılan markanın
adının geçtiği yeni açılan domain adreslere yönlendiriliyor. En son örnek.
xxxx://e-turkcell.net/ohcq59wn.php?id=bmF6QGdva2NlLmF2LnRy

25 Haz. gece 02:00 civarında başlayan saldırıdan bu yana tespit edilen sahte
URL adresleri;

xxxx://turkcell1.com/f7a9qs7o.php?id=bmF6QGdva2NlLmF2LnRy
xxxx://iturkcell.net/u9j7rphw.php?id=Z29ya2VtLmdva2NlQGdva2NlLmF2LnRy
xxxx://turkcell24.net/klqxm94b.php?id=a3VicmEuY2VsaWtAaGl0aXRndW1ydWsuY29t
xxxx://turkcell-efatura.com/dbnugka.php?id=Ym9yYUBnb2tjZS5hdi50cg==

Bu adresler her yeni phising email saldırısından sonra bu şekilde değişicek
gibi görünüyor.
Şuana Kadar Fake URL adresleri barındırdığı sunucuların IP bloğu:
146.185.249.0/24
Zararlı dosya Yandex Disk de barındırılıyor zararlı dosyanın varyantı

belirli aralıklarla değiştiriliyor.

( Kaynak : avira )  

 
Gönderildi : 29/06/2015 17:43

(@TurhanGursu)
Gönderiler: 17
Eminent Member
 

Merhaba Oğuzhan Bey,

Daha önceden gelen saldırılar TTNET ve PTT kargo görünümündeydiler. Bu sefer Mehmet Bey'in en son göndermiş olduğu iletideki gibi Turkcell faturası görünümündeydi. [email protected] adresine benzer bir yerden gelmişti. Maalesef maili hemen sildiğim için şu an tam adrese ulaşabilmem mümkün değil. Şans eseri shadow explorer ile 1 gün öncesine dönerek herhangi bir dosya kaybı yaşamadım. Fakat ağ üzerinden başka bir ortak bilgisayara daha bulaşmış. O bilgisayarda da shadow explorer ile 1 gün öncesine dönebildim. Ama orada toplamda 8 adet excel dosyasına bulaşmıştı ve dosyaların tamamı bozulduğu için onları kaybettim. Onun sebebinin de ne olduğunu sanırım tahmin edebiliyorum. Ben kullanıcının yanına geldiğimde bilgisayarı kitlenmiş durumdaydı ve hiç bir tepki vermiyordu. O esnada  aslında ağ üzerinde ulaşmış olduğu bilgisayarın dosyalarını şifrelemekle meşgul olduğunu ve ben bilgisayarı kapatmamla beraber şifreleme işlemi tamamlanmadığı için dosyaların bozulduğunu düşünüyorum.

Aslında kullanıcı biraz sorgulasa Turkcell'in o isimde bir mail adresi kullanmayacağını anlayacak ve dosyayı açmayacak. İşin trajikomik tarafı kullanıcı Turkcell üyesi bile değil...

 
Gönderildi : 30/06/2015 17:31

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Bu ve yeni saldırılar için şimdiden önlemler almak lazım.
Çözümsüz sorunlar değil 

 
Gönderildi : 30/06/2015 17:39

(@CanSirvan)
Gönderiler: 8
Active Member
 

Oğuzhan Bey Merhaba

Virüs dün bize de geldi ve yapılan tüm uyarılara rağmen ne yazık ki arkadaşlarımızdan biri Turkcell güvenlidir mantığı ile maili açmış.

Mail ekinin ne zaman açıldığı ya da ne kadar süre içinde etki gösterdiğini bilemiyorum. Ancak konu bana geldiğinde mailin açıldığı bilgisayarda ki excel dosyaları .encryted uzantılı hale dönüşmüş ve kilitlenmiş durumdaydı. Aslında bu konudan daha da önemlisi network te ki tüm açık paylaşımlarda kilitlenmiş olmasıydı. Tüm xml, conf ve xls dosyaları kullanılamaz duruma gelmişti. 

Mail Turkcell <[email protected]> adresinden geldi. Virüs için yönlendirilen link ise  "xxxx://firmuscamerasystems.com/system/logs/[email protected]" şekildedir.

 Mailin konusu ise Turkcell Fatura Bilgilendirme olarak gözüküyoruz.

 Mail de telefon numarası ya da isim yazmıyor. Bu da maili açanları direk dosyayı indirmeye itiyor.

 Aslında mail info ya geldiği için domain user kullanıcılarda bu maili açtığını farketik ancak  sistem yönetici şifresi isteyince virüs aktif olamamış ama local admin yetkisine sahip biri açınca virüs direk etkili oldu. Artık sınırlı sayıda ki local admin kullanıcılarının da yetkilerini kaldırmak bir daha bu sorunla karşılaşmamak için etkili olacak. Ayrıca paylaşımda klasörleri de elden geçirmek gerekecektir. Şu an için karşılaştıklarım bunlar yine de baska sorunlar tespit edersem sizleri bilgilendirim.

 
Gönderildi : 01/07/2015 16:11

(@m-oguzhanozkurt)
Gönderiler: 1323
Noble Member
 

Bilgilendirmeniz için teşekkür ederim. Geçmiş olsun, iyi çalışmalar.

 
Gönderildi : 02/07/2015 18:28

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Arkadaşlar bu konuda en güncel ip, domain ve bilgileri mail grubundan canlı olarak paylaşıyoruz, Güvenlik Listesine üye olarak takip edebilirsiniz.

 

www.cozumpark.com.tr

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/07/2015 20:58

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Arkadaşlar bu konuda en güncel ip, domain ve bilgileri mail grubundan canlı olarak paylaşıyoruz, Güvenlik Listesine üye olarak takip edebilirsiniz.

 

www.cozumpark.com.tr

 

Mail grubuna daha kolay üyelik sağlanması bence faydalı olur.
mail adresine boş mail atmak kadar kolay mesela 🙂

 

 

 
Gönderildi : 14/07/2015 21:10

(@SefaYUKSEL)
Gönderiler: 66
Trusted Member
 

Arkadaşlar bu konuda en güncel ip, domain ve bilgileri mail grubundan canlı olarak paylaşıyoruz, Güvenlik Listesine üye olarak takip edebilirsiniz.

 

www.cozumpark.com.tr

 

Hocam bencede gruba üyelik işlemini  kolaylaştırmanız daha iyi olacaktır bizler için.

 
Gönderildi : 15/07/2015 05:08

(@ugurburma)
Gönderiler: 1973
Üye
 

Guruba üyelik kolaylaştığı takdirde ilgili ilgisiz herkes üye olacağı için gelecek olan spam mail ler engellenemez ve diğer üyeleri rahatsız eder. Bu da gurubun amacının çıkmasına ve asıl hedef kitleyi kaybetmemize yol açar. Forum kısmıda dahil amacımız kurumsal bir ortam yaratarak amacına uygun bir platform oluşturmak.

 
Gönderildi : 15/07/2015 11:23

(@MuratDeniz)
Gönderiler: 1
New Member
 

Bu ve yeni saldırılar için şimdiden önlemler almak lazım.
Çözümsüz sorunlar değil 

 

Merhabalar

konuyu hortlatıyorum ama bu konu hakkında net bir çözüme ulaşan var mı? 

 
Gönderildi : 25/07/2015 12:00

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Merhaba, bulaştıktan sonra yapılacak bir şey yok, ya para ödeyeceksiniz yada shadow Explorer var ise geçmiş kopyasına dönebilirsiniz.

Bulaşmadan önce diyorsanız çok fazla çözüm var ama en temizi URL kontrolü yapan bir Proxy ve benzeri ürün. AV konusunda ise Trend Micro bu konuda bir takım özel çözümler sunuyordu, mutlaka diğer AV lerde de vardır ama Trend en azından bu konuda hazır. 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/07/2015 16:07

(@BarisKemiksiz)
Gönderiler: 150
Estimable Member
 

Parayı ödemekten başka çare yok shadow explorer daki dosyalarda bozuk geliyor açılmıyor uğraşmayın bu sefer uğraştığınız dosyalar parayı ödedikten sonra bile düzelmiyor 1 hafta içinde 2 olayla karşılaştım size bir dosya yolluyorlar Decryption_Software adında elimde 2 adet farklı dosya mevcut ilk dosyayı ikinci bilgisayarda denedik çözmedi isterseniz 2 dosyayı gönderiyim deneyin farklı makinada çalıştırmayın tüm dosyalar bozulur yazıyor ama bozmuyor fakat çözmedi de her dosya için farklı bir şifrelememi yapıyorlar yoksa 8-10 farklı methotmu var bilmiyorum ama çok lanet bir virüs aracı kuruma ödediğiniz rakamlar ile 1.030 tl gibi bir rakam gidiyor mail göndermeyin cevap veren yok herşey sistemle yürüyör geçmiş olsun dilerseniz elimdeki dosyaları gönderebilirim bir şansınnız deneyin kolay gelsin.

 
Gönderildi : 29/07/2015 13:52

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Parayı ödemekten başka çare yok shadow explorer daki dosyalarda bozuk geliyor açılmıyor uğraşmayın bu sefer uğraştığınız dosyalar parayı ödedikten sonra bile düzelmiyor 1 hafta içinde 2 olayla karşılaştım size bir dosya yolluyorlar Decryption_Software adında elimde 2 adet farklı dosya mevcut ilk dosyayı ikinci bilgisayarda denedik çözmedi isterseniz 2 dosyayı gönderiyim deneyin farklı makinada çalıştırmayın tüm dosyalar bozulur yazıyor ama bozmuyor fakat çözmedi de her dosya için farklı bir şifrelememi yapıyorlar yoksa 8-10 farklı methotmu var bilmiyorum ama çok lanet bir virüs aracı kuruma ödediğiniz rakamlar ile 1.030 tl gibi bir rakam gidiyor mail göndermeyin cevap veren yok herşey sistemle yürüyör geçmiş olsun dilerseniz elimdeki dosyaları gönderebilirim bir şansınnız deneyin kolay gelsin.

 

 

Her şifrelenen bilgisayar için farklı private key oluşturulduğundan key'i alsanız bile sadece tek makinada işe yarar.

Bu özel anahtar da özel bir anahtarla şifrelenerek veritabanına aktarılıyor. Yani hem dosyalarınız hem de bu dosyalarınızı şifreleyen özel anahtar şifreli 🙂

Biraz karışık gelebilir.

Şifre çok güçlü olduğu için kırılması imkansıza yakın. Virüs son varyantında shadowları yetkisi varsa siliyor/bozuyor doğrudur.
Daha önce bazı çalışan yöntemler artık çalışmıyor.

Virüsün gelişimi şöyle;
+ bulut yedekleri de şifreleyebiliyor
+ sql veritabanlarını da servisi durdurarak şifreleyebiliyor.

Yapılması gerekenler
+ Yedek alın ( ortam dışına çıkarın ) 
+ cryptoprevent ya da cryptomonitor uygulamalarını kurun.

 

 
Gönderildi : 29/07/2015 15:03

(@BarisKemiksiz)
Gönderiler: 150
Estimable Member
 

En hızlı virüs veritabanı sanırım sophos firmasında bu tipte gelen mailleri açıp bu  https://www.virustotal.com sitede tarama yaptırdım sophos her sorguda dosyaları virus olarak gördü diğer antivirüs yazılımları 4-5 saat sonra bazen 2-3 gün sonra veritabanına ekleyenler oldu sophos antivirüs kullanan varmı bilgi verebilirseniz sevinirim ayrıca gelen mail dosyayı indirip kullanmış olduğunuz antivirüs yazılım firmasına gönderrirseniz ilgileniyorlar örneğin biz drweb kullanıyoruz  https://vms.drweb.com/sendvirus/?lng=en bu link üzerinden dosya gönderebiliyoruz ben birçok dosya gönderdim kendilerine 2-3 dakika içerisinde veritabanlarına eklediler bu yolla da virüsün yayılma oranını azaltmış olabiliriz kolay gelsin. 

 
Gönderildi : 30/07/2015 07:19

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Arkadaşlar bu işin en temiz çözümü ATP, gelin beraber yapalım 🙂

http://sozluk.cozumpark.com/goster.aspx?id=3760&kelime=Exchange-Online-Advanced-Threat-Protection-ATP

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 30/07/2015 14:59

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Virüs yine mutasyona uğradı ve şuan türkcell'den "Ayrıntılı Fatura Bilgisi" konusu ile geliyor.
Mail sunucularınızda gerekli önlemleri alınız.

 
Gönderildi : 03/08/2015 19:00

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Bilgi için teşekkürler

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 13/08/2015 19:30

Sayfa 2 / 7
Paylaş: