Merhabalar, Bugün aşağıdaki domainden eposta aldık.
Bilginize. Akın. turktelekomonline.info From: NetSec [mailto:[email protected]] On Behalf Of berk gülata Sent: Friday, February 13, 2015 8:43 PM To: [email protected] Subject: Re: [NetSec] Sahte e-fatura hk. Turktelekom24.net hala aktif dün geldi bana 13 Şub 2015 16:58 tarihinde "İbrahim Halil GÜRHAN" <[email protected] <mailto:[email protected]> > yazdı: Merhaba Arkadaşlar, Gökhan Beyin dediği ett.turktelekomonline.net <http://ett.turktelekomonline.net> adresine girip e-faturayı indirmeniz için link veriyor ve faturayı indirdiğiniz zip formatında dosya iniyor. Fatura numarası adında ve exe uzantılı bir dosya çıkıyor zip klasöründe bu exeye tıkladığınız adan saniyler içerisinde tüm bilgisayarınızdaki zip,rar,jpg,xls,doc vs. gibi tüm dosyaların uzantılarını *.encrypted şeklinde şifreliyor ve her şifrelediği dosya yanına şifrelemeden nasıl kurtulacağınız nereye para yatıracağınız hakkında txt dosyası ekliyor. Şifrelenen dosyaların uzantsı silindiğinde o dosya eğer zip,rar gibi bir dosya ise içerik kurtarılabiliyor fakat resim word excel vb. gibi dosyalar tamam kriptolandığı için bozuluyor. Bilginize İbrahim Halil GÜRHAN Computer Engineer (M.S.c) 12 Şubat 2015 16:47 tarihinde gökhan çakıl <[email protected] <mailto:[email protected]> > yazdı: Merhaba arkadaşlar, Yeniden artış gösteren sahte e-fatura olarak bildiğimiz cryptolocker ransomware içeren e-mailler gelmeye başladı. Benim araştırdığım kadarı ile 178.208.0.0/16 <http://178.208.0.0/16> ve 93.95.98.0- 93.95.99.255 ip lerinden smtp yapılıyor. Domainler ; turktelekomonline.net <http://turktelekomonline.net> ve turktelekomonline.org <http://turktelekomonline.org> şeklinde olabiliyor. Bilgilerinize. Gökhan Çakıl Senior Security Consultant TEAM Information Technologies
