Selamlar Trend Micro Office Scan urununun cikartmis oldugu bata service pack ile bunun onune gecebildigini gözlemledim.Aktif ettiğimde sadece 1 dosya encrypt edildi , sonrasında işlemin kill edildiğini gözlemledim.Bir kaç yerde deployment gerçekleştirdim ve problem yaşanmadı. Sizlerinde takip ettiği çözümler olursa paylasirsanız testlerimizi yapalım.
Teşekkürler. Gursel Arıcı On 14 Mar 2015 15:47, "Erman ATEŞ" <[email protected]> wrote: > Gürsel Bey, > > Cryptolocker savunması için davranış analizi yaparak şifrelemeyi > engelleyen endpoint ürünü var mı? Siz hangi ürünleri incelediniz ve > başarılı buldunuz ? > > Teşekkürler. > 13 Mar 2015 10:12 tarihinde "Gürsel Arici" <[email protected]> yazdı: > >> Merhabalar, >> >> Bu konularla ilgili olarak , antivirus ureticileri behavior analizi >> yaparak dosya encrypt etmeye başladığında işlemleri kill eden servis >> geliştiriyor.(son yaptıgım testlerde başarılı oldugunu gözlemledim) >> Kullandığınız antimalware üreticisine bu konuyu danışmanızda fayda >> var.Domain ekleyerek bu işlemlerin önüne geçmeniz malesef çok mümkün değil >> arkadaslar. Daha efektif çözüm ise, email gateway'inizle entegre >> çalışabilecek apt çözümleridir. >> >> İyi calismalar. >> >> Gürsel. >> >> 2015-03-12 22:24 GMT+02:00 VEDAT ELCIGIL <[email protected]>: >> >>> Bu paraları ödeyenler nedeni ile bu fatura virusunun hiti ve >>> versiyonları arttı,, >>> Bence gem vurup ödeme yapılmayacak,, yada bu tahsilatı yapan kişileri >>> yakalatmanın yolu bulunacak.. >>> Her kişiden 800 aldığı düşünülürse, şimdiden bogazda yalıyı almıştır. >>> >>> >>> ------------------------------------------------------ >>> Saygılarımla İyi Çalışmalar Dilerim, >>> Vedat ELÇİGİL >>> >>> >>> 2015-03-12 15:08 GMT+02:00 Mustafa Gulmus <[email protected]>: >>> >>>> Merhaba, >>>> >>>> >>>> >>>> Bizim bir arkadaşın firmasında (küçük bir muhasebe firması) olmuş (tüm >>>> dosyaları şifrelemiş) 800 TL eft yapmasını istiyorlarmış. >>>> >>>> >>>> >>>> Sizce ne yapsın? >>>> >>>> >>>> >>>> >>>> >>>> *Mustafa GÜLMÜŞ* >>>> >>>> >>>> >>>> *From:* NetSec [mailto:[email protected]] *On Behalf Of *Rauf >>>> Güney >>>> *Sent:* Tuesday, March 10, 2015 4:04 PM >>>> >>>> *To:* [email protected] >>>> *Subject:* Re: [NetSec] Sahte e-fatura hk. >>>> >>>> >>>> >>>> Merhaba >>>> sahte fatura cryptolocker ile ilgili IP numaralarına yani kimlik >>>> tespiti ile ilgili ne yapılabilir yardımcı olabilirmisiniz, sanal >>>> bilgisayar ortamında bu dosyaların eylemleri incelenebilirmi >>>> >>>> >>>> ------------------------------ >>>> >>>> Date: Fri, 13 Feb 2015 20:42:53 +0200 >>>> From: [email protected] >>>> To: [email protected] >>>> Subject: Re: [NetSec] Sahte e-fatura hk. >>>> >>>> Turktelekom24.net hala aktif dün geldi bana >>>> >>>> 13 Şub 2015 16:58 tarihinde "İbrahim Halil GÜRHAN" < >>>> [email protected]> yazdı: >>>> >>>> Merhaba Arkadaşlar, >>>> >>>> >>>> >>>> Gökhan Beyin dediği ett.turktelekomonline.net adresine girip >>>> e-faturayı indirmeniz için link veriyor ve faturayı indirdiğiniz zip >>>> formatında dosya iniyor. Fatura numarası adında ve exe uzantılı bir dosya >>>> çıkıyor zip klasöründe bu exeye tıkladığınız adan saniyler içerisinde tüm >>>> bilgisayarınızdaki zip,rar,jpg,xls,doc vs. gibi tüm dosyaların uzantılarını >>>> *.encrypted şeklinde şifreliyor ve her şifrelediği dosya yanına >>>> şifrelemeden nasıl kurtulacağınız nereye para yatıracağınız hakkında txt >>>> dosyası ekliyor. Şifrelenen dosyaların uzantsı silindiğinde o dosya eğer >>>> zip,rar gibi bir dosya ise içerik kurtarılabiliyor fakat resim word excel >>>> vb. gibi dosyalar tamam kriptolandığı için bozuluyor. >>>> >>>> >>>> >>>> Bilginize >>>> >>>> >>>> >>>> >>>> >>>> *İbrahim Halil GÜRHAN* >>>> >>>> *Computer Engineer (M.S.c)* >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> 12 Şubat 2015 16:47 tarihinde gökhan çakıl <[email protected]> >>>> yazdı: >>>> >>>> >>>> >>>> Merhaba arkadaşlar, >>>> >>>> >>>> >>>> Yeniden artış gösteren sahte e-fatura olarak bildiğimiz cryptolocker >>>> ransomware içeren e-mailler gelmeye başladı. >>>> >>>> >>>> >>>> Benim araştırdığım kadarı ile 178.208.0.0/16 ve 93.95.98.0- >>>> 93.95.99.255 ip lerinden smtp yapılıyor. >>>> >>>> >>>> >>>> Domainler ; turktelekomonline.net ve turktelekomonline.org şeklinde >>>> olabiliyor. >>>> >>>> >>>> >>>> >>>> >>>> Bilgilerinize. >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> *Gökhan Çakıl * >>>> >>>> >>>> >>>> *Senior Security Consultant* >>>> >>>> >>>> >>>> *TEAM Information Technologies* >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> ------------------------------ >>>> >>>> Bu mesaj ve ekleri mesajda gönderildiği belirtilen kişi/kişilere >>>> özeldir ve gizlidir. Bu mesaj tarafınıza yanlışlıkla ulaşmış olsa da mesaj >>>> içeriğinin gizliliği ve bu gizlilik yükümlülüğüne uyulması zorunluluğu >>>> tarafınız için de söz konusudur. Böyle bir durumda, lütfen gönderen kişiyi >>>> bilgilendiriniz ve mesajı sisteminizden siliniz. Mesaj ve eklerinde yer >>>> alan bilgilerin doğruluğu ve güncelliği konusunda gönderenin ya da Merkezi >>>> Kayıt Kuruluşu A.Ş.'nin herhangi bir sorumluluğu bulunmamaktadır. Merkezi >>>> Kayıt Kuruluşu A.Ş. mesajın ve bilgilerinin size değisikliğe uğrayarak veya >>>> geç ulaşmasından, bütünlüğünün ve gizliliğinin bozulmasından, virus >>>> içermesinden ve bilgisayar sisteminize verebileceği herhangi bir zarardan >>>> sorumlu tutulamaz. >>>> >>>> This message and attachments are confidential and intended solely for >>>> the individual(s) stated in this message.If you received this message >>>> although you are not the addressee you are responsible to keep confidential >>>> the message. In that case please inform the sender and delete the message. >>>> The sender has no responsibility for the accuracy or correctness of the >>>> information in the message and its attachments. Merkezi Kayit Kurulusu A.S. >>>> shall have no liability for any changes or late receiving,loss of integrity >>>> and confidentiality, viruses and any damages caused in any way to your >>>> computer system. >>>> >>>> >>>> >>> >>
