Forum

Bildirimler
Hepsini Temizle

Cryptolocker

14 Yazılar
7 Üyeler
0 Reactions
665 Görüntüleme
(@anonim)
Gönderiler: 1789
Famed Member
Konu başlatıcı
 

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

 
Gönderildi : 03/10/2016 17:35

(@HalitSiMSEK)
Gönderiler: 93
Estimable Member
 

Merhaba Tanju Bey,

 

Edindiğim tecrübeler sonucu dediğiniz sorunun sebebi fileserver üzerindeki dosyaların clientinizde kısayol veya map edilmiş sürücü olarak bulunması olabilir. Benim rasladıklarım bu şekildeydi başka bir şekilde ağa bulaşan bir cryptolocker görmedim.Bilgi kaybı yaşamamanıza sevindim 🙂

benim canım yandı birçok önlem almama rağmen yedekleme ve kullanıcı eğitimi şart 🙂

 

iyi çalışmalar kolay gelsin.

 
Gönderildi : 03/10/2016 17:55

(@anonim)
Gönderiler: 1789
Famed Member
Konu başlatıcı
 

file server uzerınde muhasebe,ortak ve satış uzerınde bulunan dosyalarla çalışılmaktaymış,bende o yuzden olduguna kanaat getırdım

User ıcınde zaten redırectıon oldugundan gunluk saat 7-12-17 olarak task vardı (shadowcopy)

hiç bir veri kaybı olmadan file serverı ve kullanıcınında kendı pc sındekı dosyalarını gerı dondum.

file serverdakı paylaşımlardada shadowcopy aktıf oldugundan bırazda şans çunku 12.45 gıbı olmuş olay,12 de yedek almıştı sistem.Birde yemek molasındaydı arkadaşlar 

Aslında şanssızlık olan gpo uzerınden cryptolocker engellemesı ıcın policy yazmıştım ama bır program kuramadıgım ıcın dısable etmıştın tekrar enable etmeyı unutmamış olsaydım bunlar başıma gelmeyecektı 

 
Gönderildi : 03/10/2016 19:01

(@rahmiaydn)
Gönderiler: 100
Estimable Member
 

"Aslında şanssızlık olan gpo uzerınden cryptolocker engellemesı ıcın policy yazmıştım ama bır program kuramadıgım ıcın dısable etmıştın tekrar enable etmeyı unutmamış olsaydım bunlar başıma gelmeyecektı "

Merhaba

bu policy içerigini paylaşırmısınız.

 
Gönderildi : 04/10/2016 16:33

(@resulsoydas)
Gönderiler: 1661
Noble Member
 

File Screening mi yaptınız?

 
Gönderildi : 04/10/2016 19:07

(@anonim)
Gönderiler: 1789
Famed Member

(@irfan-deveci)
Gönderiler: 271
Reputable Member
 

 

Bundan 2 Hafta Önce  Bİzden bir arkadaşda açmış mail Ama Sadece kendi bilgisayarındaki verileri şifrelemiş paylaşım olarak QNAP vardi  ordaki dosyalara hiç bir zarar vermemiş Acronisten Yedek alıyordum hergün Ordan geri döndüm Düzeldi Ağdaki bazi Everyone açık dosyalarım vardi onlara bulaşmış Taracıyı Develop ineo 283 De smb tarama için everyone yaptığım dosyalar vardi onlara bulaşmış malefes onları geri getiremedim Bence ilk Her önlemden sonra kullanıcıları bilgilendirmek gerekiyor bu olaydan sonra Herkez daha dikkatli olmaya başladı 

 
Gönderildi : 04/10/2016 22:55

(@irfan-deveci)
Gönderiler: 271
Reputable Member
 

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

merhaba Tanju DemirÇevrim dışı. Son etkinliği:10-04-2016, 16:48Tanju Bey

shadowcopy Özelliğini windows 7 professional de nasıl açabilirim acaba 

 
Gönderildi : 05/10/2016 00:40

(@vasviuysal)
Gönderiler: 7890
Üye
 

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

merhaba Tanju DemirÇevrim dışı. Son etkinliği:10-04-2016, 16:48Tanju Bey

shadowcopy Özelliğini windows 7 professional de nasıl açabilirim acaba 

 

http://www.hakanuzuner.com/index.php/fidye-yazilimlarina-karsi-etkili-savunma-yontemleri.html

 
Gönderildi : 05/10/2016 11:24

(@anonim)
Gönderiler: 1789
Famed Member
Konu başlatıcı
 

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

merhaba Tanju DemirÇevrim dışı. Son etkinliği:10-04-2016, 16:48Tanju Bey

shadowcopy Özelliğini windows 7 professional de nasıl açabilirim acaba 

 

shadowcopy win7 de manuel sıstem restoreden tetıklenıyor veya wındows update veya program kurulumunda alıyor.Aşagıdakı lınkte vshadow var ama oda tam olarak aynı şeyi yapmıyor directory olarak backup aldırabılırsınız

https://msdn.microsoft.com/en-us/library/windows/desktop/bb530726(v=vs.85).aspx

 
Gönderildi : 05/10/2016 17:31

(@vasviuysal)
Gönderiler: 7890
Üye
 

usom zararlı adresler txt listesini guvenlik duvarı cihazlardında yasaklı adresler grubuna eklemek de kısmen de olsa koruma saglayabilir

kullanıcıya zararlı yazılım linki olan mail gelse bile yonlendirdiği adresten dosyayı indirip çalıştıramayacağı için (eğer henüz birkaç saatlik yeni bir adres değilse ) zarar görmekten kurtulacaktır .

 

https://www.usom.gov.tr/url-list.txt

 

 

iyi çalışmalar

 

 

 
Gönderildi : 05/10/2016 18:15

(@irfan-deveci)
Gönderiler: 271
Reputable Member
 

usom zararlı adresler txt listesini guvenlik duvarı cihazlardında yasaklı adresler grubuna eklemek de kısmen de olsa koruma saglayabilir

kullanıcıya zararlı yazılım linki olan mail gelse bile yonlendirdiği adresten dosyayı indirip çalıştıramayacağı için (eğer henüz birkaç saatlik yeni bir adres değilse ) zarar görmekten kurtulacaktır .

 

https://www.usom.gov.tr/url-list.txt

 

 

iyi çalışmalar

 

 

Vasvi Bey Merhaba,

Fotigate Kulllanıyoruz Belirli siteleri yasaklayabiliyorum Web Rating Overrides bölümünden yada web filter bölümünden URL Filter yapıyorum toplu şekilde bu listeyi nasıl yasaklayabilirim 

 
Gönderildi : 06/10/2016 02:21

(@vasviuysal)
Gönderiler: 7890
Üye
 

usom zararlı adresler txt listesini guvenlik duvarı cihazlardında yasaklı adresler grubuna eklemek de kısmen de olsa koruma saglayabilir

kullanıcıya zararlı yazılım linki olan mail gelse bile yonlendirdiği adresten dosyayı indirip çalıştıramayacağı için (eğer henüz birkaç saatlik yeni bir adres değilse ) zarar görmekten kurtulacaktır .

 

https://www.usom.gov.tr/url-list.txt

 

 

iyi çalışmalar

 

 

Vasvi Bey Merhaba,

Fotigate Kulllanıyoruz Belirli siteleri yasaklayabiliyorum Web Rating Overrides bölümünden yada web filter bölümünden URL Filter yapıyorum toplu şekilde bu listeyi nasıl yasaklayabilirim 

 

http://camerabob.dyndns.org:5190/Fortigate/urlfilter.cgi

 

soldaki kısma adresleri txt olarak yapıştırıp creta butonu ile ekranın sağında cli ekranında çalıştırmanız gerekenscripti oluşturabilirsiniz

 
Gönderildi : 06/10/2016 11:37

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

merhaba gelen maıli muhasebe muduru açmış ve butun dosyaları şifrelenmiş,odin uzantısıyla degiştirilmiş.Bazı Ag uzerındekı dosyalarıda şifrelemiş excel vb.ama bir çogu duruyor.

Ag uzerındekı dosyaları şifrelemesi garip degilmi,fileserverdakı dosyaları şifrelemiş ve belgelerim için redirection kullanıyordum onlarıda şifrelemiş ama hepsini degil.Fileserver için shadowcopy ile yedekleri dondum,clientında yenı alınmış bir shadowcopy yedegı vardı uzerınde onlarıda dondum kayıp yok gıbı ama ag uzerındekı dosyaları şifrelemesini anlayamadım.

 

sadece paylaşımları şifrelediği için garip değil.

muhtemelen ağ üzerindeki paylaşımlar kısayol ya da ağ diski olarak enfekte makinada tanımlı idi.

 

 
Gönderildi : 26/10/2016 19:47

Paylaş: