Merhaba Arkadaşlar, CryptoLocker şimdi de ptt-posta.org ve ptt-posta.biz domainlerinden gönderilen emailler üzerinden yayılmaya çalışıyor.
Bilginize. [cid:[email protected]] İyi Çalışmalar Şenol DEMİRKOL From: NetSec [mailto:[email protected]] On Behalf Of İbrahim Halil GÜRHAN Sent: Wednesday, February 25, 2015 5:02 PM To: [email protected] Subject: Re: [NetSec] Fwd: Fwd: CryptoLocker adresler hakkında Merhaba Arkadaşlar, Farklı bir adres daha tek mail içerisinden ulaştıklarım [email protected]<mailto:[email protected]> 176.Red-81-39-245.dynamicIP.rima-tde.net<http://176.Red-81-39-245.dynamicIP.rima-tde.net> [81.39.245.176] [4.69.72.39] (helo=bgzirpzprbbnh.mjlqfkwzc.tv<http://bgzirpzprbbnh.mjlqfkwzc.tv>) [113.35.61.30] (helo=qopnn.kgjigfjvvdsh.org<http://qopnn.kgjigfjvvdsh.org> 35369715.76225511445995210533371405602678.50758618958...@yfdwpj.lhdhmwekrkr.info<mailto:35369715.76225511445995210533371405602678.50758618958...@yfdwpj.lhdhmwekrkr.info> [email protected]<mailto:[email protected]> 81.39.245.176 İbrahim Halil GÜRHAN Computer Engineer (M.S.c) 25 Şubat 2015 11:32 tarihinde Serhat Erkan <[email protected]<mailto:[email protected]>> yazdı: Merhabalar, Öncelikle Aykut bey'in dediği gibi eğer sadece temel güvenlik politikalarının çalıştığı bir Websense WSG ürününüz varsa içerisinde bulunan Advanced Classification Engine (ACE) sizi koruyacaktır. Ayrıca Websense WSG (yeni adıyla AP-WEB) ürünü, kutu üzerinde bulunan ACE sayesinde cloud kullanmadan tehdit ve URL sınıflandırması yapabildiğinden daha URL DB'ler güncellenmeden bu tür ataklara karşı müşterilerinin kullanıcılarını korumaktadır. Eğer bir URL'in hangi kategoride olduğunu ve tehdit ihtiva edip etmediğini öğrenmek istiyorsanız csi.websense.com<http://csi.websense.com> adresinden bunu yapabilirsiniz. Kategorinin yanlış olduğunu düşünüyorsanız aynı sitedeki kategori sonuçlarının altında "Suggest a different category" linkinden o URL için yeni bir ketegori önerebilirsiniz. Eğer ek olarak Mywebsense hesabınız varsa (ücretsizdir ve müşteri olmanıza gerek yoktur) ilgili işlemin sonucunu size geri döneceklerdir. Saygılarımla, Serhat Erkan, Kd Satış Mühendisi, Websense 2015-02-25 10:52 GMT+02:00 aykut aydogdu <[email protected]<mailto:[email protected]>>: Merhaba Wcg kullanyorsaniz proxy uzerinde bulunan engine ler sizi koruyor olmali. Websense i baska bir urunle entegre kullaniyorsaniz (firewall,isa...) new registered urls diye bir kategori var burayi bloklayabilirsiniz. Biraz iş yükü yapar ama yapacak bisi yok. Diger yandan database guncellemelerinde 'enable realtime security updates' diye bir alan var. Bunun aktif olduguna emin olun. Yinede garanti olmayacagindan devamli tetikte olmakta, kullanicilari ara ara uyarmakta fayda var. 25 Şub 2015 10:27 tarihinde "hasan atan" <[email protected]<mailto:[email protected]>> yazdı: Websense' in bu tarz durumlarda davranışını bilen var mı? İlgili URL' li kısa sürede blackliste ekliyor mu ? Yoksa manuel olarak eklemek mi gerekiyor? ________________________________ From: [email protected]<mailto:[email protected]> To: [email protected]<mailto:[email protected]> Date: Tue, 24 Feb 2015 12:47:00 +0000 Subject: Re: [NetSec] Fwd: Fwd: CryptoLocker adresler hakkında Selamlar, Bahsi geçen siteyi Blue Coat hemen Malicious olarak işaretlemiş. Bu malicious domain takibinde hakikaten çok başarılı bir üretici. Çözümlerini denemenizi tavsiye ederim. Cryptolocker virüsünün ilk çıkışından itibaren hemen hemen tüm domainlerini saatler içerisinde malicious olarak işaretlediğini gözlemledik. Domainleri aşağıdaki linkten test edebilirsiniz: https://sitereview.bluecoat.com/sitereview.jsp Saygılarımla, From: NetSec [mailto:[email protected]<mailto:[email protected]>] On Behalf Of Fatih Ekrem Genc Sent: Tuesday, February 24, 2015 14:29 To: [email protected]<mailto:[email protected]> Subject: [NetSec] Fwd: Fwd: CryptoLocker adresler hakkında merhaba aldığım duyuma gore şuan iturktelekom.com<http://iturktelekom.com> uzantılı domainden gelmeye baslamıs. iyi çalışmalar ---------- Forwarded message ---------- From: Ahmet Demirkıran <[email protected]<mailto:[email protected]>> Date: Tue, Feb 24, 2015 at 2:23 PM Subject: RE: [NetSec] Fwd: CryptoLocker adresler hakkında To: "[email protected]<mailto:[email protected]>" <[email protected]<mailto:[email protected]>> Merhaba Fatih Bey, @iturktelekom.com<http://iturktelekom.com> uzantısından da gelmeye başladı. Bilginize. From: NetSec [mailto:[email protected]<mailto:[email protected]>] On Behalf Of Fatih Ekrem Genc Sent: Wednesday, February 18, 2015 12:30 PM To: [email protected]<mailto:[email protected]> Subject: [NetSec] Fwd: CryptoLocker adresler hakkında mail listesi ayarları ile ilgili bir sorun var sanırım Ahmet bey bildirdi Turktelekomservis.com den de geliyormuş bilginize ---------- Forwarded message ---------- From: Ahmet Demirkıran <[email protected]<mailto:[email protected]>> Date: Wed, Feb 18, 2015 at 12:22 PM Subject: RE: [NetSec] CryptoLocker adresler hakkında To: "[email protected]<mailto:[email protected]>" <[email protected]<mailto:[email protected]>> Merhaba Fatih Bey, Listeye mail atmak istedim ama reddedildi. Size iletmek istedim. Turktelekomservis.com dan da mail gelmeye başladı. Bilginize. From: NetSec [mailto:[email protected]<mailto:[email protected]>] On Behalf Of Fatih Ekrem Genc Sent: Wednesday, February 18, 2015 11:05 AM To: [email protected]<mailto:[email protected]> Subject: Re: [NetSec] CryptoLocker adresler hakkında simdi baktimda ne palo alto nede websense bu domainleri listelememis Executive Summary Threat Severity:[https://dub124.afx.ms/att/GetInline.aspx?messageid=22736f44-bc35-11e4-80c6-d89d675c79f0&attindex=0&cp=-1&attdepth=0&imgsrc=cid%3aimage001.jpg%4001D05040.9343FDA0&cid=24aff1baf2ffdea3&shared=1&hm__login=hasan.atan&hm__domain=outlook.com&ip=10.111.28.8&d=d4320&mf=0&hm__ts=Wed%2c%2025%20Feb%202015%2006%3a40%3a59%20GMT&st=%280003BFFDB1187863%29&hm__ha=01_25565197d33e443d17e774f5d3ea56f5f8c218a969c2218a9ba4d779c6670832&oneredir=1]Low Real-time security analysis:<http://csi.websense.com/Report/Index/2a69d544-6fe0-4522-b893-a44300113120> Newly Registered Websites Classification Real-time content analysis:<http://csi.websense.com/Report/Index/2a69d544-6fe0-4522-b893-a44300113120> Newly Registered Websites Static Classification:<http://csi.websense.com/Report/Index/2a69d544-6fe0-4522-b893-a44300113120> Newly Registered Websites Suggest a different classification ><http://csi.websense.com/Report/Index/2a69d544-6fe0-4522-b893-a44300113120#suggestclass> Assessment Overview The URL analyzed is currently compromised to serve malicious content to visitors. Site Details IP Address 91.238.83.72 Hosted Country [https://dub124.afx.ms/att/GetInline.aspx?messageid=22736f44-bc35-11e4-80c6-d89d675c79f0&attindex=0&cp=-1&attdepth=0&imgsrc=cid%3aimage001.jpg%4001D05040.9343FDA0&cid=24aff1baf2ffdea3&shared=1&hm__login=hasan.atan&hm__domain=outlook.com&ip=10.111.28.8&d=d4320&mf=0&hm__ts=Wed%2c%2025%20Feb%202015%2006%3a40%3a59%20GMT&st=%280003BFFDB1187863%29&hm__ha=01_25565197d33e443d17e774f5d3ea56f5f8c218a969c2218a9ba4d779c6670832&oneredir=1]Russian Federation Bytes Received 1kb HTTP Status Code 302 Found Trusted SSL Certificate N/A Valid SSL Certificate N/A Heartbleed Vulnerability No Vulnerability Found Security Overview • Collapse all[https://dub124.afx.ms/att/GetInline.aspx?messageid=22736f44-bc35-11e4-80c6-d89d675c79f0&attindex=0&cp=-1&attdepth=0&imgsrc=cid%3aimage001.jpg%4001D05040.9343FDA0&cid=24aff1baf2ffdea3&shared=1&hm__login=hasan.atan&hm__domain=outlook.com&ip=10.111.28.8&d=d4320&mf=0&hm__ts=Wed%2c%2025%20Feb%202015%2006%3a40%3a59%20GMT&st=%280003BFFDB1187863%29&hm__ha=01_25565197d33e443d17e774f5d3ea56f5f8c218a969c2218a9ba4d779c6670832&oneredir=1] • [https://dub124.afx.ms/att/GetInline.aspx?messageid=22736f44-bc35-11e4-80c6-d89d675c79f0&attindex=0&cp=-1&attdepth=0&imgsrc=cid%3aimage001.jpg%4001D05040.9343FDA0&cid=24aff1baf2ffdea3&shared=1&hm__login=hasan.atan&hm__domain=outlook.com&ip=10.111.28.8&d=d4320&mf=0&hm__ts=Wed%2c%2025%20Feb%202015%2006%3a40%3a59%20GMT&st=%280003BFFDB1187863%29&hm__ha=01_25565197d33e443d17e774f5d3ea56f5f8c218a969c2218a9ba4d779c6670832&oneredir=1] Show all Real-time security identification Review the specific threat identified within the URL or IP address. Associated threat type There are no known threats associated with this URL or IP address. This CSI service<http://www.websense.com/content/cybersecurity-intelligence-services-overview.aspx> displays website code, highlighting lines in which ACE Insight found malicious content. Become a CSI subscriber<http://www.websense.com/content/Registration.aspx?task=signin&redir=http://csi.websense.com/Report/Malcode?id=2a69d544-6fe0-4522-b893-a44300113120&_=1424250227536> to unlock this feature. View the sample Full ACE Insight report<http://csi.websense.com/Content/ACE_Insight_Sample.pdf> to see the feature in action. URL link detection Review analysis of all links within the target URL or IP address, including detailed link properties. Link detection summary Shows the total number of links and the number of links that point to malicious destinations. Total Number of Links Malicious Links 28 0 Advanced link detection details No malicious links were detected. Domain information Shows the domain hosting the target destination. Real-time Content Analysis Domain Name Newly Registered Websites turktelekomonline.info<http://turktelekomonline.info> 2015-02-17 22:36 GMT+02:00 Sercan Kulak <[email protected]<mailto:[email protected]>>: Merhaba, CryptoLocker'ın adreslerinin hepsini toplamaya çalışıyorum twitter'dan takip etmeye çalışıyorum ama yinede emin olmak istiyorum, elinizde bunlar dışında bir adres var mı? turktelekomonline[.]net turktelekomonline[.]org turktelekom24[.].org turktelekomonline[.]info Teşekkürler, İyi çalışmalar. UYARI / NOTIFICATION Bu e-posta sadece yukarıda isimleri belirtilen kişiler arasında özel haberleşme amacını taşımaktadır. Size yanlışlıkla ulaşmışsa lütfen mesajı geri gönderiniz ve sisteminizden siliniz. Ela Quality Resort Hotel bu mesajın içeriği ile ilgili olarak hiçbir hukuksal sorumluluğu kabul etmez. This e-mail communication is intended for the private use of the persons named above. If you received this message in error, please immediately notify the sender and delete it from your system Ela Quality Resort Hotel does not accept legal responsibility for the contents of this message. UYARI / NOTIFICATION Bu e-posta sadece yukarıda isimleri belirtilen kişiler arasında özel haberleşme amacını taşımaktadır. Size yanlışlıkla ulaşmışsa lütfen mesajı geri gönderiniz ve sisteminizden siliniz. Ela Quality Resort Hotel bu mesajın içeriği ile ilgili olarak hiçbir hukuksal sorumluluğu kabul etmez. This e-mail communication is intended for the private use of the persons named above. If you received this message in error, please immediately notify the sender and delete it from your system Ela Quality Resort Hotel does not accept legal responsibility for the contents of this message. ________________________________ GIZLILIK NOTU: Bu mesaj ve ekleri yalnizca gönderildigi kisi(lere) ozeldir ve gizlidir. Mesaj sizin adiniza degilse, içerigini ve varsa ekindeki dosyalari kimseye göndermeyiniz ya da kopyalamayiniz. Bu mesajin herhangi bir sekilde açiklanmasi, kullanilmasi, kopyalanmasi, yayilmasi veya mesaj içerigi ile ilgili olarak herhangi bir islem yapilmasi kesinlikle yasaktir. Böyle bir durumda lütfen göndereni uyarip, mesaji siliniz. Türkiye Vakiflar Bankasi T.A.O. bu mesajin içerigi ve ekleri ile ilgili olarak hiçbir hukuksal sorumlulugu kabul etmez. CONFIDENTIALITY NOTICE: This message and attachments are confidential and intended solely for the individual(s) stated in this message. If you received this message although you are not the addressee, you are responsible to keep the message confidential. If you are not the intended recipient please notify the sender immediately and destroy this e-mail. Turkiye Vakiflar Bankasi T.A.O. does not accept legal responsibility for the contents and the attacments of this message.
![https://dub124.afx.ms/att/GetInline.aspx?messageid=22736f44-bc35-11e4-80c6-d89d675c79f0&attindex=0&cp=-1&attdepth=0&imgsrc=cid%3aimage001.jpg%4001D05040.9343FDA0&cid=24aff1baf2ffdea3&shared=1&hm__login=hasan.atan&hm__domain=outlook.com&ip=10.111.28.8&d=d4320&mf=0&hm__ts=Wed%2c%2025%20Feb%202015%2006%3a40%3a59%20GMT&st=%280003BFFDB1187863%29&hm__ha=01_25565197d33e443d17e774f5d3ea56f5f8c218a969c2218a9ba4d779c6670832&oneredir=1]Low](https://dub124.afx.ms/att/GetInline.aspx?messageid=22736f44-bc35-11e4-80c6-d89d675c79f0&attindex=0&cp=-1&attdepth=0&imgsrc=cid%3aimage001.jpg%4001D05040.9343FDA0&cid=24aff1baf2ffdea3&shared=1&hm__login=hasan.atan&hm__domain=outlook.com&ip=10.111.28.8&d=d4320&mf=0&hm__ts=Wed%2c%2025%20Feb%202015%2006%3a40%3a59%20GMT&st=%280003BFFDB1187863%29&hm__ha=01_25565197d33e443d17e774f5d3ea56f5f8c218a969c2218a9ba4d779c6670832&oneredir=1]Low){kind=link}
![https://dub124.afx.ms/att/GetInline.aspx?messageid=22736f44-bc35-11e4-80c6-d89d675c79f0&attindex=0&cp=-1&attdepth=0&imgsrc=cid%3aimage001.jpg%4001D05040.9343FDA0&cid=24aff1baf2ffdea3&shared=1&hm__login=hasan.atan&hm__domain=outlook.com&ip=10.111.28.8&d=d4320&mf=0&hm__ts=Wed%2c%2025%20Feb%202015%2006%3a40%3a59%20GMT&st=%280003BFFDB1187863%29&hm__ha=01_25565197d33e443d17e774f5d3ea56f5f8c218a969c2218a9ba4d779c6670832&oneredir=1]Russian](https://dub124.afx.ms/att/GetInline.aspx?messageid=22736f44-bc35-11e4-80c6-d89d675c79f0&attindex=0&cp=-1&attdepth=0&imgsrc=cid%3aimage001.jpg%4001D05040.9343FDA0&cid=24aff1baf2ffdea3&shared=1&hm__login=hasan.atan&hm__domain=outlook.com&ip=10.111.28.8&d=d4320&mf=0&hm__ts=Wed%2c%2025%20Feb%202015%2006%3a40%3a59%20GMT&st=%280003BFFDB1187863%29&hm__ha=01_25565197d33e443d17e774f5d3ea56f5f8c218a969c2218a9ba4d779c6670832&oneredir=1]Russian){kind=link}
