Silinmiş shadowa ulaşma için R-Studio yazılımı denenebilir. :) Ben sorunu yaşayan birine önerdim denemiş olmadığını bilgisini verdi. Shadow açıkmıydı gölge kopya varmı şeklinde sordum var yanıtı aldım. Kurtarma yapıldığı ve verilerin şifreli olduğu söylendi. Bizzat denemediğim bir yazılım ve süreç. Angaralı firma kurtarırken ne kullanıyor bilemiyorum ayrıntılar Mehmet hocada. Burada paylaşmaması onun hassasiyetinden dir. Dilerse hizmet almak isteyene bence özelden paylaşabilir. Karar tabiki kendisinin :)
From: NetSec [mailto:[email protected]] On Behalf Of barış tombul Sent: Friday, March 20, 2015 11:38 AM To: [email protected] Subject: Re: [NetSec] Sahte e-fatura hk. yukarlarda bir ton antivirus firmasının ismini yazdıgınızda reklam aolmuyorsa bu ürünün de adını yazarsanız reklam olmaz. 20 Mart 2015 11:23 tarihinde Reha ERDAG <[email protected]> yazdı: En son gelen Ptt maillerinden etkilenen bir sistemde Shadow Explorer ürününün işe yaradığını gözlemledim. Windows üzerinde shadow copy’ler gözükmüyordu ancak bu ürün ile geri almak mümkün oldu. Reha ERDAĞ [email protected] From: NetSec [mailto:[email protected]] On Behalf Of Selçuk IRMAK Sent: Friday, March 20, 2015 11:02 AM To: [email protected] Subject: Re: [NetSec] Sahte e-fatura hk. Mehmet hocam mümkün olduğunca paylaşımlarını takip ediyorum ☺ Daha önce paylaşmıştınız için adını biliyorum ☺ Benim bizzat deneme şansım olmadı ve sizin bildiriminizi önemseyerek son varyantlarda zor durumda kalan kişiye denemesini önerdim. Denemiş dataya ulaşmışda fakat şifreli geliyor geri bildirimini aldım. Bizzat deneme şansım olmadığı için eksik yapılan işlem varmı yokmu bilemiyorum. Yardımcı olmak ve konuşmak isterseniz size yönlendirebilirim ☺ From: NetSec [mailto:[email protected]] On Behalf Of Mehmet YAYLA Sent: Friday, March 20, 2015 10:14 AM To: [email protected] Subject: Re: [NetSec] Sahte e-fatura hk. Selçuk hocam ; Hiç silinmiş gölge kopyayı veri kazıma yöntemiyle dönmeyi denediniz mi? ismini vermenin reklam olacağını düşündüğüm angaralı bir firma :) bu yöntemlerle veri kurtarıyor. Öyle iddia da ediyor. bende de işe yaradı. deneyeniniz olmadı mı? ________________________________________ From: [email protected] To: [email protected] Date: Thu, 19 Mar 2015 17:02:05 +0200 Subject: Re: [NetSec] Sahte e-fatura hk. Yalnız versiyon 3 de kripto işlemine başlamadan önce shadowlar uçuruluyor. (Shadow işi maalesef eski varyantlar için geçerli. zaten XP için değişen bişey olmadı) From: NetSec [mailto:[email protected]] On Behalf Of ZEN Bilişim ve Teknoloji Hizmetleri Sent: Thursday, March 19, 2015 4:00 PM To: [email protected] Subject: Re: [NetSec] Sahte e-fatura hk. Arkadaşlar öncelikle fatura virüsüne maruz kalmış arkadaşlara Allah kolaylık versin derim.. şu satırları sizinle paylaşmak istedim.. aşağıdaki satırlar en az %75 olasılıkla işinizi çözecektir diye düşünüyorum.. iyi çalışmalar dilerim. C:\vssadmin list shadows /for=C: Daha sonra bilgisayarınızda bulunan her Shadows Volume Copy için ayrı komutlar ile klasör oluşturacağız. C:\mklink /d c:\shadowCopyX \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\ (satırın sonundaki X değiştirilmelidir, bilgisayarınızda hangileri bulunduysa gölge kopyaların numaraları olmalı.) Bu işlem ile önceki tarihlere dönerek biraz kayıpla dosyalarınızı alabilmeniz mümkün. ZEN Bilişim ve Teknoloji Hizmetleri Mehmet TEMÜRLENK From: NetSec [mailto:[email protected]] On Behalf Of Umit Akarsu Sent: Monday, March 16, 2015 1:54 PM To: [email protected] Subject: Re: [NetSec] Sahte e-fatura hk. Merhaba , ben bluecoat proxysg demosu yapmaktayım şu an ve 1 ay zarfında çıkan bütün bu tarz saldırıları gördü ve engelledi. 2015-03-14 16:01 GMT+02:00 Gürsel Arici <[email protected]>: Selamlar Trend Micro Office Scan urununun cikartmis oldugu bata service pack ile bunun onune gecebildigini gözlemledim.Aktif ettiğimde sadece 1 dosya encrypt edildi , sonrasında işlemin kill edildiğini gözlemledim.Bir kaç yerde deployment gerçekleştirdim ve problem yaşanmadı. Sizlerinde takip ettiği çözümler olursa paylasirsanız testlerimizi yapalım. Teşekkürler. Gursel Arıcı On 14 Mar 2015 15:47, "Erman ATEŞ" <[email protected]> wrote: Gürsel Bey, Cryptolocker savunması için davranış analizi yaparak şifrelemeyi engelleyen endpoint ürünü var mı? Siz hangi ürünleri incelediniz ve başarılı buldunuz ? Teşekkürler. 13 Mar 2015 10:12 tarihinde "Gürsel Arici" <[email protected]> yazdı: Merhabalar, Bu konularla ilgili olarak , antivirus ureticileri behavior analizi yaparak dosya encrypt etmeye başladığında işlemleri kill eden servis geliştiriyor.(son yaptıgım testlerde başarılı oldugunu gözlemledim) Kullandığınız antimalware üreticisine bu konuyu danışmanızda fayda var.Domain ekleyerek bu işlemlerin önüne geçmeniz malesef çok mümkün değil arkadaslar. Daha efektif çözüm ise, email gateway'inizle entegre çalışabilecek apt çözümleridir. İyi calismalar. Gürsel. 2015-03-12 22:24 GMT+02:00 VEDAT ELCIGIL <[email protected]>: Bu paraları ödeyenler nedeni ile bu fatura virusunun hiti ve versiyonları arttı,, Bence gem vurup ödeme yapılmayacak,, yada bu tahsilatı yapan kişileri yakalatmanın yolu bulunacak.. Her kişiden 800 aldığı düşünülürse, şimdiden bogazda yalıyı almıştır. ------------------------------------------------------ Saygılarımla İyi Çalışmalar Dilerim, Vedat ELÇİGİL 2015-03-12 15:08 GMT+02:00 Mustafa Gulmus <[email protected]>: Merhaba, Bizim bir arkadaşın firmasında (küçük bir muhasebe firması) olmuş (tüm dosyaları şifrelemiş) 800 TL eft yapmasını istiyorlarmış. Sizce ne yapsın? Mustafa GÜLMÜŞ From: NetSec [mailto:[email protected]] On Behalf Of Rauf Güney Sent: Tuesday, March 10, 2015 4:04 PM To: [email protected] Subject: Re: [NetSec] Sahte e-fatura hk. Merhaba sahte fatura cryptolocker ile ilgili IP numaralarına yani kimlik tespiti ile ilgili ne yapılabilir yardımcı olabilirmisiniz, sanal bilgisayar ortamında bu dosyaların eylemleri incelenebilirmi ________________________________________ Date: Fri, 13 Feb 2015 20:42:53 +0200 From: [email protected] To: [email protected] Subject: Re: [NetSec] Sahte e-fatura hk. Turktelekom24.net hala aktif dün geldi bana 13 Şub 2015 16:58 tarihinde "İbrahim Halil GÜRHAN" <[email protected]> yazdı: Merhaba Arkadaşlar, Gökhan Beyin dediği ett.turktelekomonline.net adresine girip e-faturayı indirmeniz için link veriyor ve faturayı indirdiğiniz zip formatında dosya iniyor. Fatura numarası adında ve exe uzantılı bir dosya çıkıyor zip klasöründe bu exeye tıkladığınız adan saniyler içerisinde tüm bilgisayarınızdaki zip,rar,jpg,xls,doc vs. gibi tüm dosyaların uzantılarını *.encrypted şeklinde şifreliyor ve her şifrelediği dosya yanına şifrelemeden nasıl kurtulacağınız nereye para yatıracağınız hakkında txt dosyası ekliyor. Şifrelenen dosyaların uzantsı silindiğinde o dosya eğer zip,rar gibi bir dosya ise içerik kurtarılabiliyor fakat resim word excel vb. gibi dosyalar tamam kriptolandığı için bozuluyor. Bilginize İbrahim Halil GÜRHAN Computer Engineer (M.S.c) 12 Şubat 2015 16:47 tarihinde gökhan çakıl <[email protected]> yazdı: Merhaba arkadaşlar, Yeniden artış gösteren sahte e-fatura olarak bildiğimiz cryptolocker ransomware içeren e-mailler gelmeye başladı. Benim araştırdığım kadarı ile 178.208.0.0/16 ve 93.95.98.0- 93.95.99.255 ip lerinden smtp yapılıyor. Domainler ; turktelekomonline.net ve turktelekomonline.org şeklinde olabiliyor. Bilgilerinize. Gökhan Çakıl Senior Security Consultant TEAM Information Technologies ________________________________________ Bu mesaj ve ekleri mesajda gönderildiği belirtilen kişi/kişilere özeldir ve gizlidir. Bu mesaj tarafınıza yanlışlıkla ulaşmış olsa da mesaj içeriğinin gizliliği ve bu gizlilik yükümlülüğüne uyulması zorunluluğu tarafınız için de söz konusudur. Böyle bir durumda, lütfen gönderen kişiyi bilgilendiriniz ve mesajı sisteminizden siliniz. Mesaj ve eklerinde yer alan bilgilerin doğruluğu ve güncelliği konusunda gönderenin ya da Merkezi Kayıt Kuruluşu A.Ş.'nin herhangi bir sorumluluğu bulunmamaktadır. Merkezi Kayıt Kuruluşu A.Ş. mesajın ve bilgilerinin size değisikliğe uğrayarak veya geç ulaşmasından, bütünlüğünün ve gizliliğinin bozulmasından, virus içermesinden ve bilgisayar sisteminize verebileceği herhangi bir zarardan sorumlu tutulamaz. This message and attachments are confidential and intended solely for the individual(s) stated in this message.If you received this message although you are not the addressee you are responsible to keep confidential the message. In that case please inform the sender and delete the message. The sender has no responsibility for the accuracy or correctness of the information in the message and its attachments. Merkezi Kayit Kurulusu A.S. shall have no liability for any changes or late receiving,loss of integrity and confidentiality, viruses and any damages caused in any way to your computer system. ------------------- Liste Web Adresi: www.netsectr.org ------------------- ------------------- Liste Web Adresi: www.netsectr.org ------------------- ------------------- Liste Web Adresi: www.netsectr.org -------------------
