Forum
Merhabalar vakti ile iş yerinde bir bilgisayarıma ransomware bulaştı diğer bilgisayarlara her hangi bir şey olmadı,
Firmada HyperV üzerinde DC File Server terminal server sunucularım var client lerde Domain ortamına katılmaktalar, Labris marka firewall ve Eset cloud securty antivirüs yazılımı var,
nslookup google.com veya facebook.com gibi bir çok dns çözümlemesi yaptığımda sürekli 185.53.177.30 lu ip geliyor ve bu ip adresi kontrol edildiğinde aşağıdaki linklerde zararlı bir yazılım olduğu tespit ettim, Network trafiğimizi dinliyor olabilir diye düşünüyorum,
Sorunlu olan client de Antivirüs taramasını hem eset ile hemde trend micro ile yaptım bir şey bulmadı,
DC ve DC ye bağlı olan tüm sunucu ve client lerimde bu sorun var,
https://otx.alienvault.com/indicator/ip/185.53.177.30
https://www.virustotal.com/gui/ip-address/185.53.177.30/detection
Gandcrab ransomware
https://blog.malwarebytes.com/detections/ransom-gandcrab/
https://www.malwarebytes.com/gandcrab/
https://otx.alienvault.com/pulse/5c583805d7c0781958cb0839
Bu zararlı yazılımın temizlenmesi konusunda desteğinizi rica ederim,
Sizin için yorucu bir iş olur. Bütün cihazlarını baştan sona elden geçirmeniz gerekir. malwarebytes bu tip konularda genellikle iyidir. Alternatif antitroj larla sisteminizi elden geçirmeniz gerekir. AV üreticilerin buna yönelik decrpytper değilde remover uygulamaları varsa deneyin. ramsomware'in sürümleri ve farklı bulaşma klasörleri olduğu anlaşılıyor. Sunucu ve client'larda host dosyalarını kontrol edin. Çözümleme noktasında sorun olduğuna göre dns, host'lara odaklanmalısınız. firewall üzerinden tüm trafiği takip ederekte içerdeki kaynağı bulabilirsiniz. Gerekirse tüm dış erişimlerinizi kapatıp kademeli açarak yol almalısınız. Bu sırada tor ve rdp erişimini olmamasına dikkat etmelisiniz.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
@ibrahimyildiz merhabalar dc dahil tüm client lerde host dosyalarında bu ip adresi yok yani olması gerektiği gibi malwarebytes ile tarama yaptım hiç bir şey bulmadı ve bilgisayarlarda sunucum dahil hiç bir anormal durum yok lakin dns çözümlemesi yaptığımda sürekli bu ip çıkıyor, daha başka ne yapabilirim acaba
DNS sunucusu üzerinde nslookup enter set type=A enter www.cozumpark.com sorgusunun çıktısı nedir?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************