Re: [NetSec] Sahte e-fatura hk.

[Nasuh Akay]

Merhaba;

ptt-turkiye.com
ptt-sistem.com
ptt-post.biz

Domainlerinden ptt kargo mailleri gelmeye devam etmektedir.

https://www.usom.gov.tr/zararli-baglantilar/1.html

İyi Çalışmalar / Bol yedekli Günler.



M. Nasuh AKAY
ICT SUPERVIZOR
HASIRCILAR A.Ş.
Yakuplu Mahallesi Haramidere Cad.
No. 36/1 Hasircilar AVM 34524
Beylikdüzü - İstanbul - Turkey
Phone:    +90 212 875 00 11
Fax:      +90 212 875 11 66
Mobile:   +90 506 294 27 15
E-Mail: na...@hasircilartextile.com
http://www.silversunkids.com

From:  Mehmet YAYLA <fosalo...@hotmail.com>
Reply-To:  <liste@netsectr.org>
Date:  Fri, 20 Mar 2015 14:28:35 +0200
To:  "liste@netsectr.org" <liste@netsectr.org>
Subject:  Re: [NetSec] Sahte e-fatura hk.

Doğru mantık :)
Rekabet açısından dedim.

Sonuçta bu forumda da bu işten ekmek yiyen, yiyecek olan kişi ve kurumlar
var.

Selçuk hocam;
Demek ki silinen gölge yedekler şifrelemeden sonra alınan kopyalarmış.
Oluşturma tarihine dikkat edilerek alınsın


Date: Fri, 20 Mar 2015 11:38:00 +0200
From: bbtom...@gmail.com
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk.

yukarlarda bir ton antivirus firmasının ismini yazdıgınızda reklam
aolmuyorsa bu ürünün de adını yazarsanız reklam olmaz.

20 Mart 2015 11:23 tarihinde Reha ERDAG <r...@kadifeteks.com> yazdı:
> En son gelen Ptt maillerinden etkilenen bir sistemde Shadow Explorer ürününün
> işe yaradığını gözlemledim. Windows üzerinde shadow copy’ler gözükmüyordu
> ancak bu ürün ile geri almak mümkün oldu.
> 
>  
> 
>  
> 
> Reha ERDAĞ
> 
> r...@kadifeteks.com <mailto:r...@kadifeteks.com>
> 
>  
> 
> From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Selçuk IRMAK
> Sent: Friday, March 20, 2015 11:02 AM
> 
> 
> To: liste@netsectr.org
> Subject: Re: [NetSec] Sahte e-fatura hk.
> 
>  
> 
> Mehmet hocam mümkün olduğunca paylaşımlarını takip ediyorum J Daha önce
> paylaşmıştınız için adını biliyorum J
> 
> Benim bizzat deneme şansım olmadı ve sizin bildiriminizi önemseyerek son
> varyantlarda zor durumda kalan kişiye denemesini önerdim.
> 
>  
> 
> Denemiş dataya ulaşmışda fakat şifreli geliyor geri bildirimini aldım. Bizzat
> deneme şansım olmadığı için eksik yapılan işlem varmı yokmu bilemiyorum.
> 
> Yardımcı olmak ve konuşmak isterseniz size yönlendirebilirim J
> 
>  
> 
> From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Mehmet YAYLA
> Sent: Friday, March 20, 2015 10:14 AM
> To: liste@netsectr.org
> Subject: Re: [NetSec] Sahte e-fatura hk.
> 
>  
> 
> Selçuk hocam ;
> Hiç silinmiş gölge kopyayı veri kazıma yöntemiyle dönmeyi denediniz mi?
> 
> ismini vermenin reklam olacağını düşündüğüm angaralı bir firma :) bu
> yöntemlerle veri kurtarıyor. Öyle iddia da ediyor.
> 
> bende de işe yaradı.
> 
>  
> 
> deneyeniniz olmadı mı?
> 
>  
> 
> 
>  
> 
> 
> From: selcuk.ir...@irene.com.tr
> To: liste@netsectr.org
> Date: Thu, 19 Mar 2015 17:02:05 +0200
> Subject: Re: [NetSec] Sahte e-fatura hk.
> 
> Yalnız versiyon 3 de kripto işlemine başlamadan önce shadowlar uçuruluyor.
> (Shadow işi maalesef eski varyantlar için geçerli. zaten XP için değişen bişey
> olmadı)
> 
>  
> 
> From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of ZEN Bilişim ve
> Teknoloji Hizmetleri
> Sent: Thursday, March 19, 2015 4:00 PM
> To: liste@netsectr.org
> Subject: Re: [NetSec] Sahte e-fatura hk.
> 
>  
> 
> Arkadaşlar öncelikle fatura virüsüne maruz kalmış arkadaşlara Allah kolaylık
> versin derim.. şu satırları sizinle paylaşmak istedim..  aşağıdaki satırlar en
> az %75 olasılıkla işinizi çözecektir diye düşünüyorum..  iyi çalışmalar
> dilerim.
> 
>  
> 
>  
> 
> C:\vssadmin list shadows /for=C:
> 
>  
> 
> Daha sonra bilgisayarınızda bulunan her Shadows Volume Copy için ayrı komutlar
> ile klasör oluşturacağız.
> 
>  
> 
>  C:\mklink /d c:\shadowCopyX \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\
> 
>  
> 
> (satırın sonundaki X değiştirilmelidir, bilgisayarınızda hangileri bulunduysa
> gölge kopyaların numaraları olmalı.)
> 
> Bu işlem ile önceki tarihlere dönerek biraz kayıpla dosyalarınızı alabilmeniz
> mümkün.
> 
>  
> 
> ZEN Bilişim ve Teknoloji Hizmetleri
> 
> Mehmet TEMÜRLENK
> 
>  
> 
>  
> 
> From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Umit Akarsu
> Sent: Monday, March 16, 2015 1:54 PM
> To: liste@netsectr.org
> Subject: Re: [NetSec] Sahte e-fatura hk.
> 
>  
> 
> Merhaba ,
> 
>  
> 
> ben bluecoat proxysg demosu yapmaktayım şu an ve 1 ay zarfında çıkan bütün bu
> tarz saldırıları gördü ve engelledi.
> 
>  
> 
>  
> 
>  
> 
> 2015-03-14 16:01 GMT+02:00 Gürsel Arici <gurselar...@gmail.com>:
> 
> Selamlar
> Trend Micro Office Scan urununun cikartmis oldugu bata service pack ile bunun
> onune gecebildigini gözlemledim.Aktif ettiğimde sadece 1 dosya encrypt edildi
> , sonrasında işlemin kill edildiğini gözlemledim.Bir kaç yerde deployment
> gerçekleştirdim ve problem yaşanmadı. Sizlerinde takip ettiği çözümler olursa
> paylasirsanız testlerimizi yapalım.
>  
> 
> Teşekkürler. 
> 
>  
> Gursel Arıcı
>     
> 
> On 14 Mar 2015 15:47, "Erman ATEŞ" <ermana...@gmail.com> wrote:
> 
> Gürsel Bey, 
> Cryptolocker savunması için davranış analizi yaparak şifrelemeyi engelleyen
> endpoint ürünü var mı? Siz hangi ürünleri incelediniz ve başarılı buldunuz ?
> Teşekkürler.
> 
> 13 Mar 2015 10:12 tarihinde "Gürsel Arici" <gurselar...@gmail.com> yazdı:
> 
> Merhabalar,
> 
>  
> 
> Bu konularla ilgili olarak , antivirus ureticileri behavior analizi yaparak
> dosya encrypt etmeye başladığında işlemleri kill eden servis geliştiriyor.(son
> yaptıgım testlerde başarılı oldugunu gözlemledim) Kullandığınız antimalware
> üreticisine bu konuyu danışmanızda fayda var.Domain ekleyerek bu işlemlerin
> önüne geçmeniz malesef çok mümkün değil arkadaslar. Daha efektif çözüm ise,
> email gateway'inizle entegre çalışabilecek apt çözümleridir.
> 
>  
> 
> İyi calismalar.
> 
>  
> 
> Gürsel.
> 
>  
> 
> 2015-03-12 22:24 GMT+02:00 VEDAT ELCIGIL <elci...@gmail.com>:
> 
> Bu paraları ödeyenler nedeni ile bu fatura virusunun hiti ve versiyonları
> arttı,, 
> 
> Bence gem vurup ödeme yapılmayacak,, yada bu tahsilatı yapan kişileri
> yakalatmanın yolu bulunacak..
> 
> Her kişiden 800 aldığı düşünülürse,  şimdiden bogazda yalıyı almıştır.
> 
>  
> 
> 
> ------------------------------------------------------
> Saygılarımla İyi Çalışmalar Dilerim,
> Vedat ELÇİGİL
> 
>  
> 
> 2015-03-12 15:08 GMT+02:00 Mustafa Gulmus <mustafa.gul...@mkk.com.tr>:
> 
> Merhaba,
> 
>  
> 
> Bizim bir arkadaşın firmasında (küçük bir muhasebe firması) olmuş (tüm
> dosyaları şifrelemiş) 800 TL eft yapmasını istiyorlarmış.
> 
>  
> 
> Sizce ne yapsın?
> 
>  
> 
>  
> 
> Mustafa  GÜLMÜŞ
> 
>  
> 
> From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Rauf Güney
> Sent: Tuesday, March 10, 2015 4:04 PM
> 
> 
> To: liste@netsectr.org
> Subject: Re: [NetSec] Sahte e-fatura hk.
> 
>  
> 
> Merhaba 
> sahte fatura cryptolocker ile ilgili IP numaralarına yani kimlik tespiti ile
> ilgili ne yapılabilir yardımcı olabilirmisiniz, sanal bilgisayar ortamında bu
> dosyaların eylemleri incelenebilirmi
> 
>  
> 
> 
> Date: Fri, 13 Feb 2015 20:42:53 +0200
> From: b...@gulata.com
> To: liste@netsectr.org
> Subject: Re: [NetSec] Sahte e-fatura hk.
> 
> Turktelekom24.net hala aktif dün geldi bana
> 
> 13 Şub 2015 16:58 tarihinde "İbrahim Halil GÜRHAN" <i.halilgur...@gmail.com>
> yazdı:
>> 
>> Merhaba Arkadaşlar,
>> 
>>  
>> 
>> Gökhan Beyin dediği ett.turktelekomonline.net
>> <http://ett.turktelekomonline.net>  adresine girip e-faturayı indirmeniz için
>> link veriyor ve faturayı indirdiğiniz zip formatında dosya iniyor. Fatura
>> numarası adında ve exe uzantılı bir dosya çıkıyor zip klasöründe bu exeye
>> tıkladığınız adan saniyler içerisinde tüm bilgisayarınızdaki
>> zip,rar,jpg,xls,doc vs. gibi tüm dosyaların uzantılarını *.encrypted şeklinde
>> şifreliyor ve her şifrelediği dosya yanına şifrelemeden nasıl kurtulacağınız
>> nereye para yatıracağınız hakkında txt dosyası ekliyor. Şifrelenen dosyaların
>> uzantsı silindiğinde o dosya eğer zip,rar gibi bir dosya ise içerik
>> kurtarılabiliyor fakat resim word excel vb. gibi dosyalar tamam kriptolandığı
>> için bozuluyor.
>> 
>>  
>> 
>> Bilginize
>> 
>>  
>> 
>>  
>> 
>> İbrahim Halil GÜRHAN
>> 
>> Computer Engineer (M.S.c)
>> 
>> ​
>> 
>>  
>> 
>>  
>> 
>> 12 Şubat 2015 16:47 tarihinde gökhan çakıl <gokhanca...@gmail.com> yazdı:
>>> 
>>>  
>>> 
>>> Merhaba arkadaşlar,
>>> 
>>>  
>>> 
>>> Yeniden artış gösteren sahte e-fatura olarak bildiğimiz cryptolocker
>>> ransomware içeren e-mailler  gelmeye başladı.
>>> 
>>>  
>>> 
>>> Benim araştırdığım kadarı ile 178.208.0.0/16 <http://178.208.0.0/16>   ve
>>> 93.95.98.0- 93.95.99.255 ip lerinden smtp yapılıyor.
>>> 
>>>  
>>> 
>>> Domainler ;  turktelekomonline.net <http://turktelekomonline.net>  ve
>>> turktelekomonline.org <http://turktelekomonline.org>  şeklinde olabiliyor.
>>> 
>>>  
>>> 
>>>  
>>> 
>>> Bilgilerinize.
>>> 
>>>  
>>> 
>>>  
>>> 
>>>  
>>> 
>>> Gökhan Çakıl 
>>> 
>>>  
>>> 
>>> Senior Security Consultant
>>> 
>>>  
>>> 
>>> TEAM Information Technologies
>>> 
>>>  
>>> 
>>>  
>> 
>>  
> 
>  
> 
> 
> 
> Bu mesaj ve ekleri mesajda gönderildiği belirtilen kişi/kişilere özeldir ve
> gizlidir. Bu mesaj tarafınıza yanlışlıkla ulaşmış olsa da mesaj içeriğinin
> gizliliği ve bu gizlilik yükümlülüğüne uyulması zorunluluğu tarafınız için de
> söz konusudur. Böyle bir durumda, lütfen gönderen kişiyi bilgilendiriniz ve
> mesajı sisteminizden siliniz. Mesaj ve eklerinde yer alan bilgilerin doğruluğu
> ve güncelliği konusunda gönderenin ya da Merkezi Kayıt Kuruluşu A.Ş.'nin
> herhangi bir sorumluluğu bulunmamaktadır. Merkezi Kayıt Kuruluşu A.Ş. mesajın
> ve bilgilerinin size değisikliğe uğrayarak veya geç ulaşmasından, bütünlüğünün
> ve gizliliğinin bozulmasından, virus içermesinden ve bilgisayar sisteminize
> verebileceği herhangi bir zarardan sorumlu tutulamaz.
> 
> This message and attachments are confidential and intended solely for the
> individual(s) stated in this message.If you received this message although you
> are not the addressee you are responsible to keep confidential the message. In
> that case please inform the sender and delete the message. The sender has no
> responsibility for the accuracy or correctness of the information in the
> message and its attachments. Merkezi Kayit Kurulusu A.S. shall have no
> liability for any changes or late receiving,loss of integrity and
> confidentiality, viruses and any damages caused in any way to your computer
> system.
> 
>  
> 
>  
> 
>  
> 
> 
> ------------------- Liste Web Adresi: www.netsectr.org
> <http://www.netsectr.org>  -------------------
> 
> -------------------
> Liste Web Adresi: www.netsectr.org <http://www.netsectr.org>
> -------------------


------------------- Liste Web Adresi: www.netsectr.org -------------------
       
------------------- Liste Web Adresi: www.netsectr.org -------------------


-------------------
Log Yönetimi, Analizi Ve SIEM Korelasyon Eğitimi - 30 - 31 Mart  2015
http://blog.bga.com.tr/2015/03/log-yonetimi-analizi-ve-siem-korelasyon.html
-------------------