Forum

TTNET Cryptolocker ...
 
Bildirimler
Hepsini Temizle

TTNET Cryptolocker virüsü nasıl temizlenir

117 Yazılar
43 Üyeler
0 Reactions
14.5 K Görüntüleme
Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

29.03.2016 itibarı ile,
Türkiye'de görülen varyantlardan;
TeslaCrypt 2.0 çözüldü : 
http://www.cozumpark.com/blogs/gvenlik/archive/2016/01/17/teslacrypt-sifrelenmis-dosyalarin-cozum-islemleri.aspx
Tesla 3 çözümsüz : ( xxx,ttt,mp3,micro)
Tesla 4 çözümsüz : ( dosya uzantısı değişmiyor )

Torlocker v1 çözüldü : ( encypted) 
http://blog.zemana.com/2014/03/FatmalDecrypter.html
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
Torlocker v2-v3 çözüldü : yurtdışı kaynaklı bir firma - ücrete mukabil

Cryptowall 3-4 : çözümsüz ( dosya uzantıları ve isimleri değişiyor )
Locky : Çözümsüz
Xtbl : Çözümsüz

Nemucod ( crypted ) : çözüldü
http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/

Umbercrypt, HydraCrypt : Çözüldü
http://emsi.at/DecryptHydraCrypt

Sonuç: belki tamamı olmasa da, birçok varyant gelecekte çözülecektir. dosyaların mutlaka yedeklenip saklanmasını tavsiye ederim

Bilgi için teşekkürler

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 29/03/2016 23:04

(@EmrahOzgiray)
Gönderiler: 62
Trusted Member
 

Arkadaşlar 2 gün önce şirket te bir bilgisayara bulaştu virüs. Epeyce araştırmama rağmen çözüm bulamadım. İnternetten bir bilgisayar firması çözbildiğini belirtmiş. Deneme amaçlı 1 excel dosyası yolladım 2 saat sonra çözüp yolladılar. 1500TL para istiyorlar 🙂

20 dosya var dedim sadece bunlar ne olur deyince dip fiyatımız 1500TL dediler. Virüsü yayan vatandaş 900TL istiyor siz neden bu kadar fazla para istiyorsunuz diye sorduğumda sizin yapacağınız ödeme sonrası veri kurtarmanın garantisi yok biz garantili yapıyoruz dediler.

Özetle anladığım kadarı ile bunlar virüsün sahipleri ile beraber işbirliği halindeler. Adamlara 900TL yatırıp kalanı kendileri alıyor.

 

Bilginiz olsun.

 
Gönderildi : 30/03/2016 13:48

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Arkadaşlar 2 gün önce şirket te bir bilgisayara bulaştu virüs. Epeyce araştırmama rağmen çözüm bulamadım. İnternetten bir bilgisayar firması çözbildiğini belirtmiş. Deneme amaçlı 1 excel dosyası yolladım 2 saat sonra çözüp yolladılar. 1500TL para istiyorlar 🙂

20 dosya var dedim sadece bunlar ne olur deyince dip fiyatımız 1500TL dediler. Virüsü yayan vatandaş 900TL istiyor siz neden bu kadar fazla para istiyorsunuz diye sorduğumda sizin yapacağınız ödeme sonrası veri kurtarmanın garantisi yok biz garantili yapıyoruz dediler.

Özetle anladığım kadarı ile bunlar virüsün sahipleri ile beraber işbirliği halindeler. Adamlara 900TL yatırıp kalanı kendileri alıyor.

Bilginiz olsun.

 

bu posttan linki kaldırmanız yerinde olur.

 

 
Gönderildi : 30/03/2016 16:34

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Evet bunu ne yazık ki gelir kapısı haline getirenler var.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 30/03/2016 23:14

(@EmrahOzgiray)
Gönderiler: 62
Trusted Member
 

Arkadaşlar 2 gün önce şirket te bir bilgisayara bulaştu virüs. Epeyce araştırmama rağmen çözüm bulamadım. İnternetten bir bilgisayar firması çözbildiğini belirtmiş. Deneme amaçlı 1 excel dosyası yolladım 2 saat sonra çözüp yolladılar. 1500TL para istiyorlar 🙂

20 dosya var dedim sadece bunlar ne olur deyince dip fiyatımız 1500TL dediler. Virüsü yayan vatandaş 900TL istiyor siz neden bu kadar fazla para istiyorsunuz diye sorduğumda sizin yapacağınız ödeme sonrası veri kurtarmanın garantisi yok biz garantili yapıyoruz dediler.

Özetle anladığım kadarı ile bunlar virüsün sahipleri ile beraber işbirliği halindeler. Adamlara 900TL yatırıp kalanı kendileri alıyor.

Bilginiz olsun.

 

bu posttan linki kaldırmanız yerinde olur.

 

Hocam çok darda kalıp çok önemli verisi olanlar olabiliyor. En azından bi çıkar yol olarak ekledim. Tabiki yapılan çok kötü birşey.

Kaldırılmış zaten. Kolay gelsin.

 
Gönderildi : 30/03/2016 23:51

(@emrahyilmaz-2)
Gönderiler: 1087
Noble Member
 

Çaresizlik insana yanlış yöntemler denemeyi kolaylaştırıyor. Bu yüzden en azından aracı olmamalıyız düşüncesiyle Mehmet hocam uyarmış sağolsun.

 
Gönderildi : 31/03/2016 12:34

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Arkadaşlar 2 gün önce şirket te bir bilgisayara bulaştu virüs. Epeyce araştırmama rağmen çözüm bulamadım. İnternetten bir bilgisayar firması çözbildiğini belirtmiş. Deneme amaçlı 1 excel dosyası yolladım 2 saat sonra çözüp yolladılar. 1500TL para istiyorlar 🙂

20 dosya var dedim sadece bunlar ne olur deyince dip fiyatımız 1500TL dediler. Virüsü yayan vatandaş 900TL istiyor siz neden bu kadar fazla para istiyorsunuz diye sorduğumda sizin yapacağınız ödeme sonrası veri kurtarmanın garantisi yok biz garantili yapıyoruz dediler.

Özetle anladığım kadarı ile bunlar virüsün sahipleri ile beraber işbirliği halindeler. Adamlara 900TL yatırıp kalanı kendileri alıyor.

Bilginiz olsun.

 

bu posttan linki kaldırmanız yerinde olur.

 

Hocam çok darda kalıp çok önemli verisi olanlar olabiliyor. En azından bi çıkar yol olarak ekledim. Tabiki yapılan çok kötü birşey.

Kaldırılmış zaten. Kolay gelsin.

 

Duyduğuma göre, belli bir süre dosya gönderildikten sonra bekleyip, olmuyor ama çalışma süremizi de faturalandıracağız diyen firmalar varmış. onun içinde yönlendirme olsun istemedim. Tabii karar vericiler forum yöneticileridir, benimki sadece tavsiye idi.

 

 
Gönderildi : 01/04/2016 20:47

(@MertCakir)
Gönderiler: 12
Eminent Member
 

Arkadaşlar 2 gün önce şirket te bir bilgisayara bulaştu virüs. Epeyce araştırmama rağmen çözüm bulamadım. İnternetten bir bilgisayar firması çözbildiğini belirtmiş. Deneme amaçlı 1 excel dosyası yolladım 2 saat sonra çözüp yolladılar. 1500TL para istiyorlar 🙂

20 dosya var dedim sadece bunlar ne olur deyince dip fiyatımız 1500TL dediler. Virüsü yayan vatandaş 900TL istiyor siz neden bu kadar fazla para istiyorsunuz diye sorduğumda sizin yapacağınız ödeme sonrası veri kurtarmanın garantisi yok biz garantili yapıyoruz dediler.

Özetle anladığım kadarı ile bunlar virüsün sahipleri ile beraber işbirliği halindeler. Adamlara 900TL yatırıp kalanı kendileri alıyor.

Bilginiz olsun.

 

bu posttan linki kaldırmanız yerinde olur.

 

Hocam çok darda kalıp çok önemli verisi olanlar olabiliyor. En azından bi çıkar yol olarak ekledim. Tabiki yapılan çok kötü birşey.

Kaldırılmış zaten. Kolay gelsin.

 

Duyduğuma göre, belli bir süre dosya gönderildikten sonra bekleyip, olmuyor ama çalışma süremizi de faturalandıracağız diyen firmalar varmış. onun içinde yönlendirme olsun istemedim. Tabii karar vericiler forum yöneticileridir, benimki sadece tavsiye idi.

 

 

Mehmet Bey merhaba,

Yaklaşık 1 aydır nemucodlarla uğraşıyorum, çözüldü bitti onlar.

Fakat yeni bir encrypted virüsü daha bulaştı, ama hangisi olduğunu nasıl anlayabiliriz?

Uzantısı .encrypted. Tesla mı? Nemucod'mu? Malware taramaları yaptım, virüs bulmadı.

"Tüm dosyalarınız Crypt0l0cker virüs tarafından şifrelenmiştir" uyarısı veriyor sadece.

 

29.03 itibari varyantla başlayan postunuzdakileri uyguladım, çözüm bulamadım.

3,4 ay önceki bulaşan .encrypted virüsünü gölge kopya(shadow) ile geri getirmiştim, kurtulmuştuk. Şimdiki gölge kopyalarıda silmiş 🙂

 
Gönderildi : 02/04/2016 18:25

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Mert Bey, yanlış anlamayın ama sürekli bulaşıyor olması normal mi? Yani Office 365 ATP veya Trend Micro CloduApp Security gibi bir ürün alın yada sandbox destekli bence daha doğru olur? Maşallah tüm sürümleri yemişsiniz 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/04/2016 19:41

(@MetinTEMEL)
Gönderiler: 23
Eminent Member
 

Zamaninda calistigim bir firmanin muhasebe muduru ayni virusu ttnet versiyonundan yemisti, guvenlik duvari ve antivirus kullanmiyordum prensip olarak 🙂 admin oturumuna gectim ve son golge kopyasini aldiktan sonra kullanicisini kaldirip tekrar domaine login oldum dosyalarini geri attim sorun cozuldu.

Tek guvenligim AD uzerindeki dogru gpo kisitlamalari oldu, her zaman da kendime guvendim bu konuda, kullaniciyi kendi oturumundan disariyi goremeyecek sekilde kisitladim ve paylasimdaki erisimlerle de oynadim biraz 🙂 emin olun okusun yazsin calistirsin ama degistiremesin silemesin gibi basit izinler gununuzu kurtaracak derecede etkili olabiliyor.

Erp olsun,  Sql tabanli calisan uygulamalar  olsun paylasimda tum isletmede hizmet verdigi icin en onemli kisim buradaki calistirilabilir dosyalara dogru izni vermektir, fazla kisitlamak temp dosyalarini olusturmasina izin vermez hata alir data kaybedersiniz, az kisitlarsaniz virus ulastigi taktirde gecmis olsun dileklerimi simdiden iletirim.

Dogru kisitlamalarla guzel isler basarabilirsiniz 🙂

 

 
Gönderildi : 04/04/2016 02:39

(@MertCakir)
Gönderiler: 12
Eminent Member
 

Mert Bey, yanlış anlamayın ama sürekli bulaşıyor olması normal mi? Yani Office 365 ATP veya Trend Micro CloduApp Security gibi bir ürün alın yada sandbox destekli bence daha doğru olur? Maşallah tüm sürümleri yemişsiniz 🙂

 

Hakan Bey merhaba,

Bana göre bu virüsü yemek kullanıcı hatasıdır. Dosyayı indirirken, rar'dan açarken, install etmeden önce lisanslı Eset uyarıyor. Kullanıcı hala yüklemek istiyorsa yapabilecek birşeyim yok sanırım 🙂

"Neden yaptınız bu kadar uyarıya rağmen?" dediğimde, "ama o dosyayı açmam gerekirdi" dediklerinde yapacak birşeyim kalmıyor 🙂

 

 
Gönderildi : 04/04/2016 10:33

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

eğer shadow explorer uygulaması ile gölge yedeklerinize ulaşamıyorsanız şunu denemelisiniz.
command prompt'u admin yetkisi ile açınız;
vssadmin list shadows  
komutu ile gölge yedekleri teyit ediniz.
daha sonra bu gölge yedeği diskinizde herhangi bir alana linklemek için;
"mklink /d c:\shadowCopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\" 
komutunu kullanabilirsiniz

Not:
c:\shadowcopy : linkleneceği alan
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\ : list shadow komutuyla aldığınız ekrandaki "Shadow Copy Volume" alanı

 

 
Gönderildi : 04/04/2016 11:39

(@MertCakir)
Gönderiler: 12
Eminent Member
 

eğer shadow explorer uygulaması ile gölge yedeklerinize ulaşamıyorsanız şunu denemelisiniz.
command prompt'u admin yetkisi ile açınız;
vssadmin list shadows  
komutu ile gölge yedekleri teyit ediniz.
daha sonra bu gölge yedeği diskinizde herhangi bir alana linklemek için;
"mklink /d c:\shadowCopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\" 
komutunu kullanabilirsiniz

Not:
c:\shadowcopy : linkleneceği alan
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy\ : list shadow komutuyla aldığınız ekrandaki "Shadow Copy Volume" alanı

 

Merhaba,

4 gölge yedeğim mevcut, onlarda virüs yedikten sonrası 🙂 

Hangi encrypted virüsünü yediğimi nasıl anlayabileceğim?

 
Gönderildi : 04/04/2016 15:39

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

bu uygulamayı kullanarak version tanımlaması yapabilirsiniz:
https://id-ransomware.malwarehunterteam.com/

 

Yine her versiyon için detaylı bilgiyi şu adreste paylaşıyorum:

http://mehmetyayla.com/cryptolocker-v2/

 
Gönderildi : 04/04/2016 15:48

(@resulsoydas)
Gönderiler: 1661
Noble Member
 

Son günlerde yine gönderenin TNet Servis ve TTelekom göründüğü içeriğinde Türk Telekom yazan mailler gelmeye başladı. Size bir deneyimimi paylaşacağım.

Bu mailden bir kullanıcımız vasıtası ile bizde haşır neşir olduk. Çözüm arayışlarına girdik. Tabii önceliğimiz bu maillerin kullanıcılara ulaşmasını nasıl engelleriz oldu.

Mevcutta Panda EndPoint Protection Plus ürünü var. Antivirus ve Antispam özellikleri mevcut. Ancak Antispam tarafı bu mailleri filtrelemedi.

Bunun üzerine asıl işi Antispam olan ürünlere yöneldik.

Şu an Trend Micro Hosted e-Mail Security ürününü test ediyoruz. (Kendi sunucularınızda host etmek isterseniz IMSVA var)

Ürünün bu içerikli mailleri filtreleyebildiğini gördük. Bknz. Resim

(Raporlarda daha da fazla bloklanan mail var)

Ayrıca Kaspersky Mail Security for Exchange Server ve Kaspersky Secure Mail Gateway'i de kullanıyoruz. Bunun bu mailleri kaçırdığını söyleyebilirim.

 

 
Gönderildi : 08/04/2016 14:34

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

TTNET şeklinde Torrentlocker zararlısı barındıran ciddi bir mail trafiği yaşanmakta. Bizim sunucularımıza gelen ve engellenen mail sayısı her gün yaklaşık 30'u buluyor.

Bunun dışında Petya için çözüm bulundu. ( Türkiye'de çok görülmüyor )
dosya uzantılarını .cerber olarak değiştiren bir sürüm daha tespit edildi. bu sürüm usb flash disklerden de bulaşabiliyor.
Flash diskleri makinanıza takmadan evvel mutlaka taramanız her zamanki gibi önerimizdir.

 
Gönderildi : 11/04/2016 11:53

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Petya Ransomware için çözüm:
https://github.com/leo-stone/hack-petya

 
Gönderildi : 12/04/2016 15:24

(@CemErkan)
Gönderiler: 76
Estimable Member
 

Merhaba  Proofpoint Protection kesin çözümdür bilginize

 
Gönderildi : 23/05/2016 14:33

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Merhaba  Proofpoint Protection kesin çözümdür bilginize

 

kesin çözüm demek çok iddialı olmuş . Ürünü inceledim, mail ekindeki .js'leri engellediğini söylemekte;
lakin bir ürüne sahip olmadan da bunu yapabilmek mümkün

http://www.mehmetyayla.com/zararli-yazilimlardan-korunma-yeni-yaklasimlar/

 
Gönderildi : 25/05/2016 14:52

Sayfa 5 / 7
Paylaş: