Sağolun Selçuk Bey, Dün bunlarda birincisini denedik ve bir bilgisayarımıza bulaştırdık. Üzerinde çalışıyoruz. 25 Mar 2015 10:43 tarihinde "Selçuk IRMAK" <[email protected]> yazdı:
> ptt-sistem.net > > > > *From:* NetSec [mailto:[email protected]] *On Behalf Of *Nasuh > Akay > *Sent:* Tuesday, March 24, 2015 5:21 PM > *To:* [email protected] > *Subject:* Re: [NetSec] Sahte e-fatura hk. > > > > Merhaba; > > > > ptt-turkiye.com > > ptt-sistem.com > > ptt-post.biz > > > > Domainlerinden ptt kargo mailleri gelmeye devam etmektedir. > > > > https://www.usom.gov.tr/zararli-baglantilar/1.html > > > > İyi Çalışmalar / Bol yedekli Günler. > > > > > > > > M. Nasuh AKAY > > ICT SUPERVIZOR > > HASIRCILAR A.Ş. > > Yakuplu Mahallesi Haramidere Cad. > > No. 36/1 Hasircilar AVM 34524 > > Beylikdüzü - İstanbul - Turkey > > Phone: +90 212 875 00 11 > > Fax: +90 212 875 11 66 > > Mobile: +90 506 294 27 15 > > E-Mail: [email protected] > > http://www.silversunkids.com > > > > *From: *Mehmet YAYLA <[email protected]> > *Reply-To: *<[email protected]> > *Date: *Fri, 20 Mar 2015 14:28:35 +0200 > *To: *"[email protected]" <[email protected]> > *Subject: *Re: [NetSec] Sahte e-fatura hk. > > > > Doğru mantık :) > Rekabet açısından dedim. > > > > Sonuçta bu forumda da bu işten ekmek yiyen, yiyecek olan kişi ve kurumlar > var. > > Selçuk hocam; > Demek ki silinen gölge yedekler şifrelemeden sonra alınan kopyalarmış. > Oluşturma tarihine dikkat edilerek alınsın > > > ------------------------------ > > Date: Fri, 20 Mar 2015 11:38:00 +0200 > From: [email protected] > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > yukarlarda bir ton antivirus firmasının ismini yazdıgınızda reklam > aolmuyorsa bu ürünün de adını yazarsanız reklam olmaz. > > > > 20 Mart 2015 11:23 tarihinde Reha ERDAG <[email protected]> yazdı: > > En son gelen Ptt maillerinden etkilenen bir sistemde Shadow Explorer > ürününün işe yaradığını gözlemledim. Windows üzerinde shadow copy’ler > gözükmüyordu ancak bu ürün ile geri almak mümkün oldu. > > > > > > *Reha ERDAĞ* > > [email protected] > > > > *From:* NetSec [mailto:[email protected]] *On Behalf Of *Selçuk > IRMAK > *Sent:* Friday, March 20, 2015 11:02 AM > > > *To:* [email protected] > *Subject:* Re: [NetSec] Sahte e-fatura hk. > > > > > > Mehmet hocam mümkün olduğunca paylaşımlarını takip ediyorum J Daha önce > paylaşmıştınız için adını biliyorum J > > Benim bizzat deneme şansım olmadı ve sizin bildiriminizi önemseyerek son > varyantlarda zor durumda kalan kişiye denemesini önerdim. > > > > Denemiş dataya ulaşmışda fakat şifreli geliyor geri bildirimini aldım. > Bizzat deneme şansım olmadığı için eksik yapılan işlem varmı yokmu > bilemiyorum. > > Yardımcı olmak ve konuşmak isterseniz size yönlendirebilirim J > > > > *From:* NetSec [mailto:[email protected] > <[email protected]>] *On Behalf Of *Mehmet YAYLA > *Sent:* Friday, March 20, 2015 10:14 AM > *To:* [email protected] > *Subject:* Re: [NetSec] Sahte e-fatura hk. > > > > Selçuk hocam ; > Hiç silinmiş gölge kopyayı veri kazıma yöntemiyle dönmeyi denediniz mi? > > ismini vermenin reklam olacağını düşündüğüm angaralı bir firma :) bu > yöntemlerle veri kurtarıyor. Öyle iddia da ediyor. > > bende de işe yaradı. > > > > deneyeniniz olmadı mı? > > > > > > ------------------------------ > > From: [email protected] > To: [email protected] > Date: Thu, 19 Mar 2015 17:02:05 +0200 > Subject: Re: [NetSec] Sahte e-fatura hk. > > Yalnız versiyon 3 de kripto işlemine başlamadan önce shadowlar uçuruluyor. > (Shadow işi maalesef eski varyantlar için geçerli. zaten XP için değişen > bişey olmadı) > > > > *From:* NetSec [mailto:[email protected] > <[email protected]>] *On Behalf Of *ZEN Bilişim ve Teknoloji > Hizmetleri > *Sent:* Thursday, March 19, 2015 4:00 PM > *To:* [email protected] > *Subject:* Re: [NetSec] Sahte e-fatura hk. > > > > Arkadaşlar öncelikle fatura virüsüne maruz kalmış arkadaşlara Allah > kolaylık versin derim.. şu satırları sizinle paylaşmak istedim.. aşağıdaki > satırlar en az %75 olasılıkla işinizi çözecektir diye düşünüyorum.. iyi > çalışmalar dilerim. > > > > > > C:\vssadmin list shadows /for=C: > > > > Daha sonra bilgisayarınızda bulunan her Shadows Volume Copy için ayrı > komutlar ile klasör oluşturacağız. > > > > C:\mklink /d c:\shadowCopyX > \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\ > > > > (satırın sonundaki X değiştirilmelidir, bilgisayarınızda hangileri > bulunduysa gölge kopyaların numaraları olmalı.) > > Bu işlem ile önceki tarihlere dönerek biraz kayıpla dosyalarınızı > alabilmeniz mümkün. > > > > ZEN Bilişim ve Teknoloji Hizmetleri > > Mehmet TEMÜRLENK > > > > > > *From:* NetSec [mailto:[email protected] > <[email protected]>] *On Behalf Of *Umit Akarsu > *Sent:* Monday, March 16, 2015 1:54 PM > *To:* [email protected] > *Subject:* Re: [NetSec] Sahte e-fatura hk. > > > > Merhaba , > > > > ben bluecoat proxysg demosu yapmaktayım şu an ve 1 ay zarfında çıkan bütün > bu tarz saldırıları gördü ve engelledi. > > > > > > > > 2015-03-14 16:01 GMT+02:00 Gürsel Arici <[email protected]>: > > Selamlar > Trend Micro Office Scan urununun cikartmis oldugu bata service pack ile > bunun onune gecebildigini gözlemledim.Aktif ettiğimde sadece 1 dosya > encrypt edildi , sonrasında işlemin kill edildiğini gözlemledim.Bir kaç > yerde deployment gerçekleştirdim ve problem yaşanmadı. Sizlerinde takip > ettiği çözümler olursa paylasirsanız testlerimizi yapalım. > > > Teşekkürler. > > > Gursel Arıcı > > > On 14 Mar 2015 15:47, "Erman ATEŞ" <[email protected]> wrote: > > Gürsel Bey, > Cryptolocker savunması için davranış analizi yaparak şifrelemeyi > engelleyen endpoint ürünü var mı? Siz hangi ürünleri incelediniz ve > başarılı buldunuz ? > Teşekkürler. > > 13 Mar 2015 10:12 tarihinde "Gürsel Arici" <[email protected]> yazdı: > > Merhabalar, > > > > Bu konularla ilgili olarak , antivirus ureticileri behavior analizi > yaparak dosya encrypt etmeye başladığında işlemleri kill eden servis > geliştiriyor.(son yaptıgım testlerde başarılı oldugunu gözlemledim) > Kullandığınız antimalware üreticisine bu konuyu danışmanızda fayda > var.Domain ekleyerek bu işlemlerin önüne geçmeniz malesef çok mümkün değil > arkadaslar. Daha efektif çözüm ise, email gateway'inizle entegre > çalışabilecek apt çözümleridir. > > > > İyi calismalar. > > > > Gürsel. > > > > 2015-03-12 22:24 GMT+02:00 VEDAT ELCIGIL <[email protected]>: > > Bu paraları ödeyenler nedeni ile bu fatura virusunun hiti ve versiyonları > arttı,, > > Bence gem vurup ödeme yapılmayacak,, yada bu tahsilatı yapan kişileri > yakalatmanın yolu bulunacak.. > > Her kişiden 800 aldığı düşünülürse, şimdiden bogazda yalıyı almıştır. > > > > > ------------------------------------------------------ > Saygılarımla İyi Çalışmalar Dilerim, > Vedat ELÇİGİL > > > > 2015-03-12 15:08 GMT+02:00 Mustafa Gulmus <[email protected]>: > > Merhaba, > > > > Bizim bir arkadaşın firmasında (küçük bir muhasebe firması) olmuş (tüm > dosyaları şifrelemiş) 800 TL eft yapmasını istiyorlarmış. > > > > Sizce ne yapsın? > > > > > > *Mustafa GÜLMÜŞ* > > > > *From:* NetSec [mailto:[email protected]] *On Behalf Of *Rauf > Güney > *Sent:* Tuesday, March 10, 2015 4:04 PM > > > *To:* [email protected] > *Subject:* Re: [NetSec] Sahte e-fatura hk. > > > > Merhaba > sahte fatura cryptolocker ile ilgili IP numaralarına yani kimlik tespiti > ile ilgili ne yapılabilir yardımcı olabilirmisiniz, sanal bilgisayar > ortamında bu dosyaların eylemleri incelenebilirmi > > > ------------------------------ > > Date: Fri, 13 Feb 2015 20:42:53 +0200 > From: [email protected] > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > Turktelekom24.net hala aktif dün geldi bana > > 13 Şub 2015 16:58 tarihinde "İbrahim Halil GÜRHAN" < > [email protected]> yazdı: > > Merhaba Arkadaşlar, > > > > Gökhan Beyin dediği ett.turktelekomonline.net adresine girip e-faturayı > indirmeniz için link veriyor ve faturayı indirdiğiniz zip formatında dosya > iniyor. Fatura numarası adında ve exe uzantılı bir dosya çıkıyor zip > klasöründe bu exeye tıkladığınız adan saniyler içerisinde tüm > bilgisayarınızdaki zip,rar,jpg,xls,doc vs. gibi tüm dosyaların uzantılarını > *.encrypted şeklinde şifreliyor ve her şifrelediği dosya yanına > şifrelemeden nasıl kurtulacağınız nereye para yatıracağınız hakkında txt > dosyası ekliyor. Şifrelenen dosyaların uzantsı silindiğinde o dosya eğer > zip,rar gibi bir dosya ise içerik kurtarılabiliyor fakat resim word excel > vb. gibi dosyalar tamam kriptolandığı için bozuluyor. > > > > Bilginize > > > > > > *İbrahim Halil GÜRHAN* > > *Computer Engineer (M.S.c)* > > > > > > > > 12 Şubat 2015 16:47 tarihinde gökhan çakıl <[email protected]> yazdı: > > > > Merhaba arkadaşlar, > > > > Yeniden artış gösteren sahte e-fatura olarak bildiğimiz cryptolocker > ransomware içeren e-mailler gelmeye başladı. > > > > Benim araştırdığım kadarı ile 178.208.0.0/16 ve 93.95.98.0- > 93.95.99.255 ip lerinden smtp yapılıyor. > > > > Domainler ; turktelekomonline.net ve turktelekomonline.org şeklinde > olabiliyor. > > > > > > Bilgilerinize. > > > > > > > > *Gökhan Çakıl * > > > > *Senior Security Consultant* > > > > *TEAM Information Technologies* > > > > > > > > > ------------------------------ > > > Bu mesaj ve ekleri mesajda gönderildiği belirtilen kişi/kişilere özeldir > ve gizlidir. Bu mesaj tarafınıza yanlışlıkla ulaşmış olsa da mesaj > içeriğinin gizliliği ve bu gizlilik yükümlülüğüne uyulması zorunluluğu > tarafınız için de söz konusudur. Böyle bir durumda, lütfen gönderen kişiyi > bilgilendiriniz ve mesajı sisteminizden siliniz. Mesaj ve eklerinde yer > alan bilgilerin doğruluğu ve güncelliği konusunda gönderenin ya da Merkezi > Kayıt Kuruluşu A.Ş.'nin herhangi bir sorumluluğu bulunmamaktadır. Merkezi > Kayıt Kuruluşu A.Ş. mesajın ve bilgilerinin size değisikliğe uğrayarak veya > geç ulaşmasından, bütünlüğünün ve gizliliğinin bozulmasından, virus > içermesinden ve bilgisayar sisteminize verebileceği herhangi bir zarardan > sorumlu tutulamaz. > > This message and attachments are confidential and intended solely for the > individual(s) stated in this message.If you received this message although > you are not the addressee you are responsible to keep confidential the > message. In that case please inform the sender and delete the message. The > sender has no responsibility for the accuracy or correctness of the > information in the message and its attachments. Merkezi Kayit Kurulusu A.S. > shall have no liability for any changes or late receiving,loss of integrity > and confidentiality, viruses and any damages caused in any way to your > computer system. > > > > > > > > > ------------------- Liste Web Adresi: www.netsectr.org ------------------- > > > ------------------- > Liste Web Adresi: www.netsectr.org > ------------------- > > > > > -------------------Liste Web Adresi: www.netsectr.org ------------------- > > ------------------- Liste Web Adresi: www.netsectr.org ------------------- > > ------------------- > Log Yönetimi, Analizi Ve SIEM Korelasyon Eğitimi - 30 - 31 Mart 2015 > http://blog.bga.com.tr/2015/03/log-yonetimi-analizi-ve-siem-korelasyon.html > ------------------- >
------------------- Log Yönetimi, Analizi Ve SIEM Korelasyon Eğitimi - 30 - 31 Mart 2015 http://blog.bga.com.tr/2015/03/log-yonetimi-analizi-ve-siem-korelasyon.html -------------------
