178.208.82.0/24 178.208.91.0/24 178.208.79.0/24 178.208.78.0/24 178.208.75.0/24 146.185.221.0/24
Iphone6'dan gonderildi. 25 Mar 2015 tarihinde 10:06 saatinde, Selçuk IRMAK <[email protected]> şunları yazdı: > ptt-sistem.net > > From: NetSec [mailto:[email protected]] On Behalf Of Nasuh Akay > Sent: Tuesday, March 24, 2015 5:21 PM > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > Merhaba; > > ptt-turkiye.com > ptt-sistem.com > ptt-post.biz > > Domainlerinden ptt kargo mailleri gelmeye devam etmektedir. > > https://www.usom.gov.tr/zararli-baglantilar/1.html > > İyi Çalışmalar / Bol yedekli Günler. > > > > M. Nasuh AKAY > ICT SUPERVIZOR > HASIRCILAR A.Ş. > Yakuplu Mahallesi Haramidere Cad. > No. 36/1 Hasircilar AVM 34524 > Beylikdüzü - İstanbul - Turkey > Phone: +90 212 875 00 11 > Fax: +90 212 875 11 66 > Mobile: +90 506 294 27 15 > E-Mail: [email protected] > http://www.silversunkids.com > > From: Mehmet YAYLA <[email protected]> > Reply-To: <[email protected]> > Date: Fri, 20 Mar 2015 14:28:35 +0200 > To: "[email protected]" <[email protected]> > Subject: Re: [NetSec] Sahte e-fatura hk. > > Doğru mantık :) > Rekabet açısından dedim. > > Sonuçta bu forumda da bu işten ekmek yiyen, yiyecek olan kişi ve kurumlar var. > > Selçuk hocam; > Demek ki silinen gölge yedekler şifrelemeden sonra alınan kopyalarmış. > Oluşturma tarihine dikkat edilerek alınsın > > Date: Fri, 20 Mar 2015 11:38:00 +0200 > From: [email protected] > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > yukarlarda bir ton antivirus firmasının ismini yazdıgınızda reklam aolmuyorsa > bu ürünün de adını yazarsanız reklam olmaz. > > 20 Mart 2015 11:23 tarihinde Reha ERDAG <[email protected]> yazdı: > En son gelen Ptt maillerinden etkilenen bir sistemde Shadow Explorer ürününün > işe yaradığını gözlemledim. Windows üzerinde shadow copy’ler gözükmüyordu > ancak bu ürün ile geri almak mümkün oldu. > > > Reha ERDAĞ > [email protected] > > From: NetSec [mailto:[email protected]] On Behalf Of Selçuk IRMAK > Sent: Friday, March 20, 2015 11:02 AM > > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > > Mehmet hocam mümkün olduğunca paylaşımlarını takip ediyorum J Daha önce > paylaşmıştınız için adını biliyorum J > Benim bizzat deneme şansım olmadı ve sizin bildiriminizi önemseyerek son > varyantlarda zor durumda kalan kişiye denemesini önerdim. > > Denemiş dataya ulaşmışda fakat şifreli geliyor geri bildirimini aldım. Bizzat > deneme şansım olmadığı için eksik yapılan işlem varmı yokmu bilemiyorum. > Yardımcı olmak ve konuşmak isterseniz size yönlendirebilirim J > > From: NetSec [mailto:[email protected]] On Behalf Of Mehmet YAYLA > Sent: Friday, March 20, 2015 10:14 AM > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > Selçuk hocam ; > Hiç silinmiş gölge kopyayı veri kazıma yöntemiyle dönmeyi denediniz mi? > > ismini vermenin reklam olacağını düşündüğüm angaralı bir firma :) bu > yöntemlerle veri kurtarıyor. Öyle iddia da ediyor. > > bende de işe yaradı. > > deneyeniniz olmadı mı? > > > > From: [email protected] > To: [email protected] > Date: Thu, 19 Mar 2015 17:02:05 +0200 > Subject: Re: [NetSec] Sahte e-fatura hk. > Yalnız versiyon 3 de kripto işlemine başlamadan önce shadowlar uçuruluyor. > (Shadow işi maalesef eski varyantlar için geçerli. zaten XP için değişen > bişey olmadı) > > From: NetSec [mailto:[email protected]] On Behalf Of ZEN Bilişim ve > Teknoloji Hizmetleri > Sent: Thursday, March 19, 2015 4:00 PM > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > Arkadaşlar öncelikle fatura virüsüne maruz kalmış arkadaşlara Allah kolaylık > versin derim.. şu satırları sizinle paylaşmak istedim.. aşağıdaki satırlar > en az %75 olasılıkla işinizi çözecektir diye düşünüyorum.. iyi çalışmalar > dilerim. > > > C:\vssadmin list shadows /for=C: > > Daha sonra bilgisayarınızda bulunan her Shadows Volume Copy için ayrı > komutlar ile klasör oluşturacağız. > > C:\mklink /d c:\shadowCopyX \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\ > > (satırın sonundaki X değiştirilmelidir, bilgisayarınızda hangileri bulunduysa > gölge kopyaların numaraları olmalı.) > Bu işlem ile önceki tarihlere dönerek biraz kayıpla dosyalarınızı alabilmeniz > mümkün. > > ZEN Bilişim ve Teknoloji Hizmetleri > Mehmet TEMÜRLENK > > > From: NetSec [mailto:[email protected]] On Behalf Of Umit Akarsu > Sent: Monday, March 16, 2015 1:54 PM > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > Merhaba , > > ben bluecoat proxysg demosu yapmaktayım şu an ve 1 ay zarfında çıkan bütün bu > tarz saldırıları gördü ve engelledi. > > > > 2015-03-14 16:01 GMT+02:00 Gürsel Arici <[email protected]>: > Selamlar > Trend Micro Office Scan urununun cikartmis oldugu bata service pack ile bunun > onune gecebildigini gözlemledim.Aktif ettiğimde sadece 1 dosya encrypt edildi > , sonrasında işlemin kill edildiğini gözlemledim.Bir kaç yerde deployment > gerçekleştirdim ve problem yaşanmadı. Sizlerinde takip ettiği çözümler olursa > paylasirsanız testlerimizi yapalım. > > Teşekkürler. > > Gursel Arıcı > > On 14 Mar 2015 15:47, "Erman ATEŞ" <[email protected]> wrote: > Gürsel Bey, > Cryptolocker savunması için davranış analizi yaparak şifrelemeyi engelleyen > endpoint ürünü var mı? Siz hangi ürünleri incelediniz ve başarılı buldunuz ? > Teşekkürler. > 13 Mar 2015 10:12 tarihinde "Gürsel Arici" <[email protected]> yazdı: > Merhabalar, > > Bu konularla ilgili olarak , antivirus ureticileri behavior analizi yaparak > dosya encrypt etmeye başladığında işlemleri kill eden servis > geliştiriyor.(son yaptıgım testlerde başarılı oldugunu gözlemledim) > Kullandığınız antimalware üreticisine bu konuyu danışmanızda fayda var.Domain > ekleyerek bu işlemlerin önüne geçmeniz malesef çok mümkün değil arkadaslar. > Daha efektif çözüm ise, email gateway'inizle entegre çalışabilecek apt > çözümleridir. > > İyi calismalar. > > Gürsel. > > 2015-03-12 22:24 GMT+02:00 VEDAT ELCIGIL <[email protected]>: > Bu paraları ödeyenler nedeni ile bu fatura virusunun hiti ve versiyonları > arttı,, > Bence gem vurup ödeme yapılmayacak,, yada bu tahsilatı yapan kişileri > yakalatmanın yolu bulunacak.. > Her kişiden 800 aldığı düşünülürse, şimdiden bogazda yalıyı almıştır. > > > ------------------------------------------------------ > Saygılarımla İyi Çalışmalar Dilerim, > Vedat ELÇİGİL > > 2015-03-12 15:08 GMT+02:00 Mustafa Gulmus <[email protected]>: > Merhaba, > > Bizim bir arkadaşın firmasında (küçük bir muhasebe firması) olmuş (tüm > dosyaları şifrelemiş) 800 TL eft yapmasını istiyorlarmış. > > Sizce ne yapsın? > > > Mustafa GÜLMÜŞ > > From: NetSec [mailto:[email protected]] On Behalf Of Rauf Güney > Sent: Tuesday, March 10, 2015 4:04 PM > > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > > Merhaba > sahte fatura cryptolocker ile ilgili IP numaralarına yani kimlik tespiti ile > ilgili ne yapılabilir yardımcı olabilirmisiniz, sanal bilgisayar ortamında bu > dosyaların eylemleri incelenebilirmi > > > Date: Fri, 13 Feb 2015 20:42:53 +0200 > From: [email protected] > To: [email protected] > Subject: Re: [NetSec] Sahte e-fatura hk. > Turktelekom24.net hala aktif dün geldi bana > 13 Şub 2015 16:58 tarihinde "İbrahim Halil GÜRHAN" <[email protected]> > yazdı: > Merhaba Arkadaşlar, > > Gökhan Beyin dediği ett.turktelekomonline.net adresine girip e-faturayı > indirmeniz için link veriyor ve faturayı indirdiğiniz zip formatında dosya > iniyor. Fatura numarası adında ve exe uzantılı bir dosya çıkıyor zip > klasöründe bu exeye tıkladığınız adan saniyler içerisinde tüm > bilgisayarınızdaki zip,rar,jpg,xls,doc vs. gibi tüm dosyaların uzantılarını > *.encrypted şeklinde şifreliyor ve her şifrelediği dosya yanına şifrelemeden > nasıl kurtulacağınız nereye para yatıracağınız hakkında txt dosyası ekliyor. > Şifrelenen dosyaların uzantsı silindiğinde o dosya eğer zip,rar gibi bir > dosya ise içerik kurtarılabiliyor fakat resim word excel vb. gibi dosyalar > tamam kriptolandığı için bozuluyor. > > Bilginize > > > İbrahim Halil GÜRHAN > Computer Engineer (M.S.c) > > > > 12 Şubat 2015 16:47 tarihinde gökhan çakıl <[email protected]> yazdı: > > Merhaba arkadaşlar, > > Yeniden artış gösteren sahte e-fatura olarak bildiğimiz cryptolocker > ransomware içeren e-mailler gelmeye başladı. > > Benim araştırdığım kadarı ile 178.208.0.0/16 ve 93.95.98.0- 93.95.99.255 ip > lerinden smtp yapılıyor. > > Domainler ; turktelekomonline.net ve turktelekomonline.org şeklinde > olabiliyor. > > > Bilgilerinize. > > > > Gökhan Çakıl > > Senior Security Consultant > > TEAM Information Technologies > > > > > > Bu mesaj ve ekleri mesajda gönderildiği belirtilen kişi/kişilere özeldir ve > gizlidir. Bu mesaj tarafınıza yanlışlıkla ulaşmış olsa da mesaj içeriğinin > gizliliği ve bu gizlilik yükümlülüğüne uyulması zorunluluğu tarafınız için de > söz konusudur. Böyle bir durumda, lütfen gönderen kişiyi bilgilendiriniz ve > mesajı sisteminizden siliniz. Mesaj ve eklerinde yer alan bilgilerin > doğruluğu ve güncelliği konusunda gönderenin ya da Merkezi Kayıt Kuruluşu > A.Ş.'nin herhangi bir sorumluluğu bulunmamaktadır. Merkezi Kayıt Kuruluşu > A.Ş. mesajın ve bilgilerinin size değisikliğe uğrayarak veya geç > ulaşmasından, bütünlüğünün ve gizliliğinin bozulmasından, virus içermesinden > ve bilgisayar sisteminize verebileceği herhangi bir zarardan sorumlu > tutulamaz. > > This message and attachments are confidential and intended solely for the > individual(s) stated in this message.If you received this message although > you are not the addressee you are responsible to keep confidential the > message. In that case please inform the sender and delete the message. The > sender has no responsibility for the accuracy or correctness of the > information in the message and its attachments. Merkezi Kayit Kurulusu A.S. > shall have no liability for any changes or late receiving,loss of integrity > and confidentiality, viruses and any damages caused in any way to your > computer system. > > > > > ------------------- Liste Web Adresi: www.netsectr.org ------------------- > > ------------------- > Liste Web Adresi: www.netsectr.org > ------------------- > > > -------------------Liste Web Adresi: www.netsectr.org ------------------- > ------------------- Liste Web Adresi: www.netsectr.org ------------------- > ------------------- > Log Yönetimi, Analizi Ve SIEM Korelasyon Eğitimi - 30 - 31 Mart 2015 > http://blog.bga.com.tr/2015/03/log-yonetimi-analizi-ve-siem-korelasyon.html > -------------------
------------------- Log Yönetimi, Analizi Ve SIEM Korelasyon Eğitimi - 30 - 31 Mart 2015 http://blog.bga.com.tr/2015/03/log-yonetimi-analizi-ve-siem-korelasyon.html -------------------
