Cryptolocker

Merhaba Tanju Bey,

Edindiğim tecrübeler sonucu dediğiniz sorunun sebebi fileserver üzerindeki dosyaların clientinizde kısayol veya map edilmiş sürücü olarak bulunması olabilir. Benim rasladıklarım bu şekildeydi başka bir şekilde ağa bulaşan bir cryptolocker görmedim.Bilgi kaybı yaşamamanıza sevindim 🙂

benim canım yandı birçok önlem almama rağmen yedekleme ve kullanıcı eğitimi şart 🙂

iyi çalışmalar kolay gelsin.

file server uzerınde muhasebe,ortak ve satış uzerınde bulunan dosyalarla çalışılmaktaymış,bende o yuzden olduguna kanaat getırdım

User ıcınde zaten redırectıon oldugundan gunluk saat 7-12-17 olarak task vardı (shadowcopy)

hiç bir veri kaybı olmadan file serverı ve kullanıcınında kendı pc sındekı dosyalarını gerı dondum.

file serverdakı paylaşımlardada shadowcopy aktıf oldugundan bırazda şans çunku 12.45 gıbı olmuş olay,12 de yedek almıştı sistem.Birde yemek molasındaydı arkadaşlar 

Aslında şanssızlık olan gpo uzerınden cryptolocker engellemesı ıcın policy yazmıştım ama bır program kuramadıgım ıcın dısable etmıştın tekrar enable etmeyı unutmamış olsaydım bunlar başıma gelmeyecektı 

"Aslında şanssızlık olan gpo uzerınden cryptolocker engellemesı ıcın policy yazmıştım ama bır program kuramadıgım ıcın dısable etmıştın tekrar enable etmeyı unutmamış olsaydım bunlar başıma gelmeyecektı "

Merhaba

bu policy içerigini paylaşırmısınız.

File Screening mi yaptınız?

http://www.hakanuzuner.com/index.php/fidye-yazilimlarina-karsi-etkili-savunma-yontemleri.html

Bundan 2 Hafta Önce  Bİzden bir arkadaşda açmış mail Ama Sadece kendi bilgisayarındaki verileri şifrelemiş paylaşım olarak QNAP vardi  ordaki dosyalara hiç bir zarar vermemiş Acronisten Yedek alıyordum hergün Ordan geri döndüm Düzeldi Ağdaki bazi Everyone açık dosyalarım vardi onlara bulaşmış Taracıyı Develop ineo 283 De smb tarama için everyone yaptığım dosyalar vardi onlara bulaşmış malefes onları geri getiremedim Bence ilk Her önlemden sonra kullanıcıları bilgilendirmek gerekiyor bu olaydan sonra Herkez daha dikkatli olmaya başladı 

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

merhaba Tanju Bey

shadowcopy Özelliğini windows 7 professional de nasıl açabilirim acaba 

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

merhaba Tanju Bey

shadowcopy Özelliğini windows 7 professional de nasıl açabilirim acaba 

http://www.hakanuzuner.com/index.php/fidye-yazilimlarina-karsi-etkili-savunma-yontemleri.html

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

merhaba Tanju Bey

shadowcopy Özelliğini windows 7 professional de nasıl açabilirim acaba 

shadowcopy win7 de manuel sıstem restoreden tetıklenıyor veya wındows update veya program kurulumunda alıyor.Aşagıdakı lınkte vshadow var ama oda tam olarak aynı şeyi yapmıyor directory olarak backup aldırabılırsınız

https://msdn.microsoft.com/en-us/library/windows/desktop/bb530726(v=vs.85).aspx

usom zararlı adresler txt listesini guvenlik duvarı cihazlardında yasaklı adresler grubuna eklemek de kısmen de olsa koruma saglayabilir

kullanıcıya zararlı yazılım linki olan mail gelse bile yonlendirdiği adresten dosyayı indirip çalıştıramayacağı için (eğer henüz birkaç saatlik yeni bir adres değilse ) zarar görmekten kurtulacaktır .

https://www.usom.gov.tr/url-list.txt

iyi çalışmalar

usom zararlı adresler txt listesini guvenlik duvarı cihazlardında yasaklı adresler grubuna eklemek de kısmen de olsa koruma saglayabilir

kullanıcıya zararlı yazılım linki olan mail gelse bile yonlendirdiği adresten dosyayı indirip çalıştıramayacağı için (eğer henüz birkaç saatlik yeni bir adres değilse ) zarar görmekten kurtulacaktır .

 

https://www.usom.gov.tr/url-list.txt

 

 

iyi çalışmalar

 

 

Vasvi Bey Merhaba,

Fotigate Kulllanıyoruz Belirli siteleri yasaklayabiliyorum Web Rating Overrides bölümünden yada web filter bölümünden URL Filter yapıyorum toplu şekilde bu listeyi nasıl yasaklayabilirim 

usom zararlı adresler txt listesini guvenlik duvarı cihazlardında yasaklı adresler grubuna eklemek de kısmen de olsa koruma saglayabilir

kullanıcıya zararlı yazılım linki olan mail gelse bile yonlendirdiği adresten dosyayı indirip çalıştıramayacağı için (eğer henüz birkaç saatlik yeni bir adres değilse ) zarar görmekten kurtulacaktır .

 

https://www.usom.gov.tr/url-list.txt

 

 

iyi çalışmalar

 

 

Vasvi Bey Merhaba,

Fotigate Kulllanıyoruz Belirli siteleri yasaklayabiliyorum Web Rating Overrides bölümünden yada web filter bölümünden URL Filter yapıyorum toplu şekilde bu listeyi nasıl yasaklayabilirim 

http://camerabob.dyndns.org:5190/Fortigate/urlfilter.cgi

soldaki kısma adresleri txt olarak yapıştırıp creta butonu ile ekranın sağında cli ekranında çalıştırmanız gerekenscripti oluşturabilirsiniz

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

sadece paylaşımları şifrelediği için garip değil.

muhtemelen ağ üzerindeki paylaşımlar kısayol ya da ağ diski olarak enfekte makinada tanımlı idi.