[NetsecTR] Ynt: Ynt: Cryptolocker

2017-11-16 Başlik Mehmet YAYLA 
Rus bir güvenlik firması çözüm üretebiliyor bu varyant için.

internette araştırırsanız bulacağınızdan eminim.



Gönderen: Mehmet <beyazsa...@gmail.com> adına Liste <liste-boun...@netsectr.org>
Gönderildi: 15 Kasım 2017 Çarşamba 09:26
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Ynt: Cryptolocker

merhaba, benim de zamanında yedek aldığım resim dosyaları var. bu uzantılar ile 
ilgili bir gelişme var mı? çözülebiliyor mu?
ekteki dosya uzantıları. Yardımcı olursanız sevinirim.

31 Ekim 2017 14:58 tarihinde Ramazan ERDEMİR 
<ramazaner...@gmail.com<mailto:ramazaner...@gmail.com>> yazdı:
Mehmet bey teşekkürler, diski zaten formatlayıp baştan kurulum yapıldı 
şifrelenen dosyalar içinde önceki yedeklerden geri dönüş yapıldı.

Bilginize.

31 Ekim 2017 11:19 tarihinde Mehmet YAYLA 
<fosalo...@hotmail.com<mailto:fosalo...@hotmail.com>> yazdı:


çok gerekli gördüğünüz birkaç excel dosyasını herhangi bir yere yükleyip link 
verirseniz belki onarılabilir o dosyalar.



Gönderen: Ramazan ERDEMİR 
<ramazaner...@gmail.com<mailto:ramazaner...@gmail.com>> adına Liste 
<liste-boun...@netsectr.org<mailto:liste-boun...@netsectr.org>>
Gönderildi: 30 Ekim 2017 Pazartesi 17:41
Kime: liste@netsectr.org<mailto:liste@netsectr.org>
Konu: Re: [NetsecTR] Cryptolocker

Merhaba, diski GetDataBack ile taratıp klasörlerden ihtiyacımız olanları dışarı 
aldık ancak sıkça kullanılan uzantılara (xls, doc, jpeg, pdf vb.)  sahip 
dosyalar kullanılamaz durumdaydı.

Bilginize.

27 Ekim 2017 22:31 tarihinde Caner Kocamaz 
<kocamaz.ca...@gmail.com<mailto:kocamaz.ca...@gmail.com>> yazdı:

Merhaba Ramazan Bey,
Çözüm yonteminizi paylasmaniz mümkünse başka magdurlara da yardımcı 
olabileceginizi düşünüyorum.

27 Eki 2017 Cum 22:04 tarihinde Ramazan ERDEMİR 
<ramazaner...@gmail.com<mailto:ramazaner...@gmail.com>> şunu yazdı:
Merhaba Emre bey, disk kurtarma yazılımı ile disk içindeki verileri geri 
getirdik ancak sık kullanılan dosya formatları şifrelenmiş lazım olan önemli 
dosyaları kurtarabildik.

Saygılarımla

25 Ekim 2017 19:46 tarihinde Emre Tinaztepe 
<emre.tinazt...@zemana.com<mailto:emre.tinazt...@zemana.com>> yazdı:

Merhaba,

Maalesef arkadaşınızın sistemine Bad Rabbit zararlısı bulaşmış.

Diski başka bir makinaya bağladığınızda biçimsiz görmenizin sebebi, MBR 
enfeksiyonu ile çalışan bir zararlı olmasından kaynaklanıyor.

Diğer varyantların aksine, sadece dosyalarınız değil, disk formatını 
etkileyecek kısımlar da encrypt edilmiş.

Daha önceki örneklerde olduğu gibi decryption key'in yayınlanması ya da 
şifreleme algoritmasında açık bulunması ihtimali her zaman bir ihtimal. Fakat, 
aciliyetiniz varsa fidyeyi ödemek şu an için tek çözüm...
--
Emre TINAZTEPE
Director of Development

Zemana Ltd.
USA:  +1 650 265 7763<tel:(650)%20265-7763> (Direct Line)
Turkey: +90 312 219 5660<tel:+90%20312%20219%2056%2060>
www.zemana.com<http://www.zemana.com>

2017-10-25 16:31 GMT+03:00 Ramazan ERDEMİR 
<ramazaner...@gmail.com<mailto:ramazaner...@gmail.com>>:
Merhaba, bir arkadaşımın bilgisayarına bulaşan ve diski komple şifreleyen bir 
cryptolocker var ek'te ekran görüntüsünü paylaşıyorum. Açılış bu şekilde diski 
dışarı çıkarıp başka yere bağladığımız da ise disk biçimsiz olarak görünüyor. 
Konu ile ilgili olarak bir çözüm yöntemi var mıdır?

Teşekkürler.

-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-


-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-
-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-

-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-


-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-


-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-

-
Siber Güvenlik Kış Kampı’18 Başvuruları Açıldı!

http://www.siberkamp.org/

-

Re: [NetsecTR] Ynt: Ynt: Sosyal medyada dolaşan bylock uyarısı

2017-11-01 Başlik Mehmet YAYLA 
ciddi bir psikolojik savas...
eger iddia edildigi gibi sunucu tarafli bir yonlendirme var ise teknik olarak 
mumkun olsa da konu hassasiyeti gozonune alindiginda ciddi dellilere 
dayandirmak gerekiyor.

Android için Outlook<https://aka.ms/ghei36> uygulamasını edinin


From: Liste <liste-boun...@netsectr.org> on behalf of Kerem Erzurumlu 
<ke...@linux.org.tr>
Sent: Wednesday, November 1, 2017 1:11:44 PM
To: liste@netsectr.org
Subject: Re: [NetsecTR] Ynt: Ynt: Sosyal medyada dolaşan bylock uyarısı


Merhabalar,

On 01-11-2017 11:57, Mehmet YAYLA wrote:
> uzun zaman önce,
>
> bylock veritabanınındaki şifreli yazışmaların çözüldüğü ve yazışmaların
> açığa çıktığına dair bir haber okumuştum.

Böyle bir haber bir ara yayıldı, fakat sanırım "oltalama" idi :( .

> Bylock eğer bir delil olarak kabul edilecekse, sunucuya bağlanan ip
> değil, yazışma içeriklerinin delil kabul edilmesi veya suç unsuru olması
> daha doğal değil mi?

Asıl nokta şudur; kişilerin telefonunda ByLock uygulaması varsa, (yada
geçmişte kurulup kaldırılmışsa) bu delil kabul edilir. Peki kişinin
şüpheli olup olmadığına nasıl karar verilir? Buna savcılık cevap vermeli
sanırım.

>
>
> Sabah haber sitelerinde Serdar Kuzuloğlu'nun da bu kapsamda gözaltına
> alındığına dair bir haber okudum.
>
> benzer durum olabilir mi?
>
>
>
> 
> *Gönderen:* Tuncay Besikci <besi...@gmail.com> adına Liste
> <liste-boun...@netsectr.org>
> *Gönderildi:* 1 Kasım 2017 Çarşamba 11:34
> *Kime:* liste@netsectr.org
> *Konu:* Re: [NetsecTR] Ynt: Sosyal medyada dolaşan bylock uyarısı
>
> Keşke yorum yapmadan önce birazcık araştırma yapılsa...
>
> APK'ları istediğiniz kadar inceleyin bir şey bulamayacaksınız. Çünkü
> uygulama server tarafında çalışan bir iFrame kodu ile ByLock sunucusuna
> yönlendiriliyor.
>
> https://bylock.net; width=1 height=1>
>
> Bunu nereden biliyoruz, Ankara'da yapılmış başka bir ByLock raporundaki
> ekran görüntüsünden. Bu görüntüde ByLock incelemesi yapılan bir
> telefonda bulunan önbellekteki (cached) bir HTML kodu var, sayfa
> morbeyin.com <http://morbeyin.com>'a ait, içinde de yukarıdaki iframe
> kodu var.
> morbeyin.com - This domain may be for sale! <http://morbeyin.com/>
> morbeyin.com
> {domain} has been informing visitors about topics such as {related1}.
> Join thousands of satisfied visitors who discovered {related2}. This
> domain may be for sale!
>
>
>
> Dolayısıyla operatör tarafındaki HIS (CGNAT) kayıtlarında hem
> morbeyin.com <http://morbeyin.com> hem bylock.net <http://bylock.net>'e
> ait IP adresleri kaydoluyor.
> morbeyin.com - This domain may be for sale! <http://morbeyin.com/>
> morbeyin.com
> {domain} has been informing visitors about topics such as {related1}.
> Join thousands of satisfied visitors who discovered {related2}. This
> domain may be for sale!
>
>
>
> Bu uygulamaları yazanların FETÖ bağlantıları da açık. Bu isimleri tespit
> edip geçen hafta FETÖ soruşturmalarının başındaki başsavcı vekiline
> bildirdim, dün de Cumhuriyet Gazetesi davasında çıkıp anlattım, 2 hafta
> sonra Saadet Parti'sinin avukatı için tekrar anlatacağım. Dünden beri
> gelen mesajlardan anlıyorum, ByLock kullanmadığı halde bu durumda olan
> çok sayıda mağdur var. Tarih aralığı Haziran-Eylül 2014.
>
> ve çözümü de gayet basit. ByLock listesini hazırlayanlar ByLock'tan bir
> önceki IP adresine de bakacaklar ve kim gerçekten ByLock kullanmış, kim
> yönlendirilerek mağdur edilmiş ortaya çıkacak. Umarım bunu yaparlar.
>
> Eğer bir önceki IP'lerin hepsi aynıysa, mesala morbeyin.com
> <http://morbeyin.com>'un o tarihteki IP adresi ise bu kişinin oradan
> iframe ile yönlendirildiğini anlaşılacaktır. ByLock IP'sine farklı
> IP'lerden geldiyse zaten ByLock kullanıcısıdır.
> morbeyin.com - This domain may be for sale! <http://morbeyin.com/>
> morbeyin.com
> {domain} has been informing visitors about topics such as {related1}.
> Join thousands of satisfied visitors who discovered {related2}. This
> domain may be for sale!
>
>
>
> Diğer uygulamaları bilmiyorum fakat listedeki Freezy TR Müzik uygulaması
> için durum budur.
>
> Saygılar
>
>
>
>
>
> _Tuncay Beşikçi
> _
> /Adli Bilişim Mühendisi, Adli Bilirkişi, CCFP-EU
> /m:+90 (530) 280 6323
> w: besikci.co.uk <http://besikci.co.uk/>  e: besi...@gmail.com
> <mailto:besi...@gmail.com>
> Adli Bilişim - Tuncay Beşikçi <http://besikci.co.uk/>
> besikci.co.uk
> Adli Bilişim Mühendisi Tuncay Beşikçi tarafından hazırlanan Adli Bilişim
> haberleri, yazıları ve ürün incelemeleri
>
>
>
>
>

[NetsecTR] Ynt: Ynt: Ynt: Sosyal medyada dolaşan bylock u =?utf-8?b?eWFyxLFzxLE=

2017-11-01 Başlik Mehmet YAYLA 
bu konuda hakkınız var.  birçok konu sulandırma amaçlı olabilir.  herhangi bir 
iddiada bulunurken mutlaka çok düşünmek ve araştırmak gerekli.



Gönderen: mucur...@gmail.com  adına Liste 

Gönderildi: 1 Kasım 2017 Çarşamba 12:24
Kime: liste@netsectr.org
Konu: [NetsecTR] Ynt: Ynt: Sosyal medyada dolaşan bylock u 
=?utf-8?b?eWFyxLFzxLE=

Bir an düşünelim, mesajda yazılanların doğru olduğunu varsayalım.
O zaman 215bin bylock tespiti değil milyonlarca olması gerekir. Yanlış mı 
düşünüyorum?
Sadece bu bile yazılanların Pensilvanya kaynaklı, bylock'u sulandırma amaçlı 
olduğunu göstermeye yeter.


 Orijinal İleti 
Konu: Re: [NetsecTR] Ynt: Sosyal medyada dolaşan bylock u =?utf-8?b?eWFyxLFzxLE=
Gönderen: Halil Öztürkci
Alıcı:liste@netsectr.org
CC:


Arkadaşlar merhabalar,

Bahse konu mesaj ve bu mesajın içinde geçen durumlarla alakalı olarak bir yazı 
kaleme aldım. Yazıyı aşağıdaki adresten okuyabilirsiniz.

http://halilozturkci.com/bylock-mor-beyin-uygulamalari/




Sent from my iPhone

On 1 Nov 2017, at 10:55, ebubekir bastama 
>
 wrote:


Bu liste boş bir listedir ve içeren bazı apkları inceledim "reverse engineer"  
ile herhangi bir sıkıntı çıkaracak bir adres göremedim bu mesaj aslında  şuan 
vatana hainlik yapan malum örgütü aklama operasyonlarından  biridir.Olay ise 
bakın bazı uygulamalar var bizde bu uygulamaları  kullandık "Bylock" 
kullanmadık suçsuz yere bizi devlet(Hükümet) suçluyor demek bütün olay budur...


Ebubekir Bastama(Coder)
www.ebubekirbastama.com
www.facebook.com/ebubekirbastama
www.youtube.com/yazilimegitim
05554128854



Gönderen: Mehmet Yalçın 
> adına Liste 
>
Gönderildi: 31 Ekim 2017 Salı 15:45
Kime: liste@netsectr.org
Konu: [NetsecTR] Sosyal medyada dolaşan bylock uyarısı

Arkadaşlar Merhaba,

Sosyal medyada aşağıki gibi dolaşan bir mail var. Dikkate alınması
gereken bir uyarımıdır?

Teşekkürler.


**

ÇOK ÖNEMLİ.:

Değerli Arkadaşlar

Türkiye’de bir Hoding’in tüm kullanıcılarına gönderdiği mail…

Kurumsal Bilgi Teknolojileri olarak, sizlere her fırsatta siber riskleri
duyurarak hem sizlerin hem de kurumumuzun verilerini korumayı
amaçlamaktayız.

Şimdi ise kanun karşısında “Terör örgütü üyeliği” suçlamasına maruz
kalmamanız amacı ile aşağıdaki bilgiyi paylaşıyoruz.

Bu nedenle lütfen özellikle güvenlik uyarılarımıza dikkat ediniz.

Mobil cihazlarda kullanılan bazı uygulamaların, Fethullahçı Terör örgütü
iletişim uygulaması olan Bylock sunucularına yönlendirdiği

tespit edilmiştir.

Bu uygulamalarla amaçlananın, örgütün gerçek iletişimin ve örgütsel
yapısının  tespitini zorlaştırmak olduğu düşünülmektedir.

Şimdilik bilinen uygulamaların çoğu “Mor Beyin Yazılım” firmasına ait
ücretsiz yazılımlardır. (Listesi aşağıdadır).

Bunlara ek olarak, birkaç adet “Alper Yıldız” isimli kişi tarafından
geliştirilen yine ücretsiz yazılımlar bulunmaktadır.

Bu yazılımları telefonlarınıza yüklemeniz durumunda, açılan reklam
sayfalarında gözle görmeniz imkansız olan 1x1 piksel boyutlu bir link
ile telefonunuz

Bylock sunucularıyla 1sn’lik bağlantı kurmaktadır.

Bu ve diğer tüm internet bağlantılarınız, internet servis sağlayıcıları
(Turkcell, Avea, Superonline vs.)  tarafından kayıt edilip 5651 kanunu
kapsamında güvenlik birimleri ile paylaşılmaktadır.

Böylece sizin cihazlarınızda Bylock olmamasına rağmen “Telefonunuzdan
Bylock sinyali alındı” suçlaması ile tutuklanabilirsiniz.

Şuan, adli bilişim uzmanları tarafından telefonunda Bylock bulunamayan,
FETÖ okulları veya kuruluşları ile bağı tespit edilemeyen ve sadece
“Telefonundan Bylock sinyali alındı” suçlaması ile tutuklu bulunan kişi
sayısı 10.000 civarındadır.

Nasıl korunabilirsiniz?

-  İhtiyacınız olmayan uygulamaları indirmeyiniz,

-  İhtiyaç duymanız halinde ise bilinen, markalaşmış ve yaygın
kullanılan uygulamaları tercih ediniz,

-  Ev veya cep İnternetinizi komşularınızla ortak kullanmayınız,

-  Bu haber üzerine Google’dan arama yapıp “mor beyin yazılım”
ile ilgili linklere tıklamayınız.

Şuan için tespit edilen ve Bylock sunucularına yönlendiren mobil
uygulamalar:

1- Best Free Music (Search)

2- Freezy-Müzik Bul Dinle

3- Freezy-Play Free Music Online

4- Mor German English Dictionary

5- En Ucuz Fiyat

6- Mor Almanca-Türkçe Sözlük

7- Music Search-Beta

8- Araba2.com

9- Namaz vakitleri Diyanet(Alper yıldız)

10-Namaz Vakitleri TR(Alper yıldız)

11- Namaz vakitleri (Alper yıldız)

Bilgilerinize Sunulur.

-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma

[NetsecTR] Ynt: Ynt: Ynt: Sosyal medyada dolaşan bylock uyarısı

2017-11-01 Başlik Mehmet YAYLA 
hocam bir yanlış anlamayı düzeltmek gerekiyor sanırım.

yanlış anlama şuradan kaynaklanıyor.

yönlendirme APK kaynak kodunda yapılmıyor.(apk kodunu ne kadar incelerseniz 
inceleyin böyle bir yönlendirme yok) sunucu tarafında iframe ile ile yapılıyor. 
aslında kaynak sunucuya bağlanırken bylock sunucusuna da istek gönderiyorsun.


umarım anlaşılabilmiştir.




Gönderen: ebubekir bastama  adına 
Liste 
Gönderildi: 1 Kasım 2017 Çarşamba 12:09
Kime: liste@netsectr.org
Konu: [NetsecTR] Ynt: Ynt: Sosyal medyada dolaşan bylock uyarısı


Ozaman sizin yazdıklarınıza göre içerdekilerin hemen hemen hiç biri malum 
örgüte üye değil devlet dikta ile masum insanları almış şuanki yazdıklarınız 
buna çıkıyor yanlışmı anlamışım.?Ek olarak benim incelediğim apk'da hiç bir 
yönlendirme yokdu source koduna kadar ulaştım ek olarak apk'yi dinleyerekde 
işlemler yaptım fakat herhangi kod bloğu göremedim?


Gönderen: Tuncay Besikci  adına Liste 

Gönderildi: 1 Kasım 2017 Çarşamba 08:34
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Ynt: Sosyal medyada dolaşan bylock uyarısı

Keşke yorum yapmadan önce birazcık araştırma yapılsa...

APK'ları istediğiniz kadar inceleyin bir şey bulamayacaksınız. Çünkü uygulama 
server tarafında çalışan bir iFrame kodu ile ByLock sunucusuna yönlendiriliyor.

https://bylock.net; width=1 height=1>

Bunu nereden biliyoruz, Ankara'da yapılmış başka bir ByLock raporundaki ekran 
görüntüsünden. Bu görüntüde ByLock incelemesi yapılan bir telefonda bulunan 
önbellekteki (cached) bir HTML kodu var, sayfa 
morbeyin.com'a ait, içinde de yukarıdaki iframe kodu var.
morbeyin.com - This domain may be for sale!
morbeyin.com
{domain} has been informing visitors about topics such as {related1}. Join 
thousands of satisfied visitors who discovered {related2}. This domain may be 
for sale!


Dolayısıyla operatör tarafındaki HIS (CGNAT) kayıtlarında hem 
morbeyin.com hem bylock.net'e ait IP 
adresleri kaydoluyor.
morbeyin.com - This domain may be for sale!
morbeyin.com
{domain} has been informing visitors about topics such as {related1}. Join 
thousands of satisfied visitors who discovered {related2}. This domain may be 
for sale!


Bu uygulamaları yazanların FETÖ bağlantıları da açık. Bu isimleri tespit edip 
geçen hafta FETÖ soruşturmalarının başındaki başsavcı vekiline bildirdim, dün 
de Cumhuriyet Gazetesi davasında çıkıp anlattım, 2 hafta sonra Saadet 
Parti'sinin avukatı için tekrar anlatacağım. Dünden beri gelen mesajlardan 
anlıyorum, ByLock kullanmadığı halde bu durumda olan çok sayıda mağdur var. 
Tarih aralığı Haziran-Eylül 2014.

ve çözümü de gayet basit. ByLock listesini hazırlayanlar ByLock'tan bir önceki 
IP adresine de bakacaklar ve kim gerçekten ByLock kullanmış, kim 
yönlendirilerek mağdur edilmiş ortaya çıkacak. Umarım bunu yaparlar.

Eğer bir önceki IP'lerin hepsi aynıysa, mesala 
morbeyin.com'un o tarihteki IP adresi ise bu kişinin 
oradan iframe ile yönlendirildiğini anlaşılacaktır. ByLock IP'sine farklı 
IP'lerden geldiyse zaten ByLock kullanıcısıdır.
morbeyin.com - This domain may be for sale!
morbeyin.com
{domain} has been informing visitors about topics such as {related1}. Join 
thousands of satisfied visitors who discovered {related2}. This domain may be 
for sale!


Diğer uygulamaları bilmiyorum fakat listedeki Freezy TR Müzik uygulaması için 
durum budur.

Saygılar





Tuncay Beşikçi
Adli Bilişim Mühendisi, Adli Bilirkişi, CCFP-EU
m:+90 (530) 280 6323
w: besikci.co.uk  e: 
besi...@gmail.com
Adli Bilişim - Tuncay Beşikçi
besikci.co.uk
Adli Bilişim Mühendisi Tuncay Beşikçi tarafından hazırlanan Adli Bilişim 
haberleri, yazıları ve ürün incelemeleri



[http://cdn2.hubspot.net/hubfs/184235/dev_images/signature_app/twitter_sig.png]
  
[http://cdn2.hubspot.net/hubfs/184235/dev_images/signature_app/linkedin_sig.png]
 

2017-11-01 10:55 GMT+03:00 ebubekir bastama 
>:

Bu liste boş bir listedir ve içeren bazı apkları inceledim "reverse engineer"  
ile herhangi bir sıkıntı çıkaracak bir adres göremedim bu mesaj aslında  şuan 
vatana hainlik yapan malum örgütü aklama operasyonlarından  biridir.Olay ise 
bakın bazı uygulamalar var bizde bu uygulamaları  kullandık "Bylock" 
kullanmadık suçsuz yere bizi devlet(Hükümet) suçluyor demek bütün olay budur...


Ebubekir Bastama(Coder)
www.ebubekirbastama.com
www.facebook.com/ebubekirbastama

[NetsecTR] Ynt: Ynt: Sosyal medyada dolaşan bylock uyarısı

2017-11-01 Başlik Mehmet YAYLA 
uzun zaman önce,

bylock veritabanınındaki şifreli yazışmaların çözüldüğü ve yazışmaların açığa 
çıktığına dair bir haber okumuştum.

Bylock eğer bir delil olarak kabul edilecekse, sunucuya bağlanan ip değil, 
yazışma içeriklerinin delil kabul edilmesi veya suç unsuru olması daha doğal 
değil mi?


Sabah haber sitelerinde Serdar Kuzuloğlu'nun da bu kapsamda gözaltına 
alındığına dair bir haber okudum.

benzer durum olabilir mi?



Gönderen: Tuncay Besikci  adına Liste 

Gönderildi: 1 Kasım 2017 Çarşamba 11:34
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Ynt: Sosyal medyada dolaşan bylock uyarısı

Keşke yorum yapmadan önce birazcık araştırma yapılsa...

APK'ları istediğiniz kadar inceleyin bir şey bulamayacaksınız. Çünkü uygulama 
server tarafında çalışan bir iFrame kodu ile ByLock sunucusuna yönlendiriliyor.

https://bylock.net; width=1 height=1>

Bunu nereden biliyoruz, Ankara'da yapılmış başka bir ByLock raporundaki ekran 
görüntüsünden. Bu görüntüde ByLock incelemesi yapılan bir telefonda bulunan 
önbellekteki (cached) bir HTML kodu var, sayfa 
morbeyin.com'a ait, içinde de yukarıdaki iframe kodu var.
morbeyin.com - This domain may be for sale!
morbeyin.com
{domain} has been informing visitors about topics such as {related1}. Join 
thousands of satisfied visitors who discovered {related2}. This domain may be 
for sale!



Dolayısıyla operatör tarafındaki HIS (CGNAT) kayıtlarında hem 
morbeyin.com hem bylock.net'e ait IP 
adresleri kaydoluyor.
morbeyin.com - This domain may be for sale!
morbeyin.com
{domain} has been informing visitors about topics such as {related1}. Join 
thousands of satisfied visitors who discovered {related2}. This domain may be 
for sale!



Bu uygulamaları yazanların FETÖ bağlantıları da açık. Bu isimleri tespit edip 
geçen hafta FETÖ soruşturmalarının başındaki başsavcı vekiline bildirdim, dün 
de Cumhuriyet Gazetesi davasında çıkıp anlattım, 2 hafta sonra Saadet 
Parti'sinin avukatı için tekrar anlatacağım. Dünden beri gelen mesajlardan 
anlıyorum, ByLock kullanmadığı halde bu durumda olan çok sayıda mağdur var. 
Tarih aralığı Haziran-Eylül 2014.

ve çözümü de gayet basit. ByLock listesini hazırlayanlar ByLock'tan bir önceki 
IP adresine de bakacaklar ve kim gerçekten ByLock kullanmış, kim 
yönlendirilerek mağdur edilmiş ortaya çıkacak. Umarım bunu yaparlar.

Eğer bir önceki IP'lerin hepsi aynıysa, mesala 
morbeyin.com'un o tarihteki IP adresi ise bu kişinin 
oradan iframe ile yönlendirildiğini anlaşılacaktır. ByLock IP'sine farklı 
IP'lerden geldiyse zaten ByLock kullanıcısıdır.
morbeyin.com - This domain may be for sale!
morbeyin.com
{domain} has been informing visitors about topics such as {related1}. Join 
thousands of satisfied visitors who discovered {related2}. This domain may be 
for sale!



Diğer uygulamaları bilmiyorum fakat listedeki Freezy TR Müzik uygulaması için 
durum budur.

Saygılar





Tuncay Beşikçi
Adli Bilişim Mühendisi, Adli Bilirkişi, CCFP-EU
m:+90 (530) 280 6323
w: besikci.co.uk  e: 
besi...@gmail.com
Adli Bilişim - Tuncay Beşikçi
besikci.co.uk
Adli Bilişim Mühendisi Tuncay Beşikçi tarafından hazırlanan Adli Bilişim 
haberleri, yazıları ve ürün incelemeleri




[http://cdn2.hubspot.net/hubfs/184235/dev_images/signature_app/twitter_sig.png]
  
[http://cdn2.hubspot.net/hubfs/184235/dev_images/signature_app/linkedin_sig.png]
 

2017-11-01 10:55 GMT+03:00 ebubekir bastama 
>:

Bu liste boş bir listedir ve içeren bazı apkları inceledim "reverse engineer"  
ile herhangi bir sıkıntı çıkaracak bir adres göremedim bu mesaj aslında  şuan 
vatana hainlik yapan malum örgütü aklama operasyonlarından  biridir.Olay ise 
bakın bazı uygulamalar var bizde bu uygulamaları  kullandık "Bylock" 
kullanmadık suçsuz yere bizi devlet(Hükümet) suçluyor demek bütün olay budur...


Ebubekir Bastama(Coder)
www.ebubekirbastama.com
www.facebook.com/ebubekirbastama
www.youtube.com/yazilimegitim
05554128854



Gönderen: Mehmet Yalçın 
> adına Liste 
>
Gönderildi: 31 Ekim 2017 Salı 15:45
Kime: liste@netsectr.org
Konu: [NetsecTR] Sosyal medyada dolaşan bylock uyarısı

Arkadaşlar Merhaba,

Sosyal medyada aşağıki gibi dolaşan bir mail var. Dikkate alınması
gereken bir uyarımıdır?

Teşekkürler.


**

ÇOK

[NetsecTR] Ynt: Cryptolocker

2017-10-31 Başlik Mehmet YAYLA 
çok gerekli gördüğünüz birkaç excel dosyasını herhangi bir yere yükleyip link 
verirseniz belki onarılabilir o dosyalar.



Gönderen: Ramazan ERDEMİR  adına Liste 

Gönderildi: 30 Ekim 2017 Pazartesi 17:41
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Cryptolocker

Merhaba, diski GetDataBack ile taratıp klasörlerden ihtiyacımız olanları dışarı 
aldık ancak sıkça kullanılan uzantılara (xls, doc, jpeg, pdf vb.)  sahip 
dosyalar kullanılamaz durumdaydı.

Bilginize.

27 Ekim 2017 22:31 tarihinde Caner Kocamaz 
> yazdı:

Merhaba Ramazan Bey,
Çözüm yonteminizi paylasmaniz mümkünse başka magdurlara da yardımcı 
olabileceginizi düşünüyorum.

27 Eki 2017 Cum 22:04 tarihinde Ramazan ERDEMİR 
> şunu yazdı:
Merhaba Emre bey, disk kurtarma yazılımı ile disk içindeki verileri geri 
getirdik ancak sık kullanılan dosya formatları şifrelenmiş lazım olan önemli 
dosyaları kurtarabildik.

Saygılarımla

25 Ekim 2017 19:46 tarihinde Emre Tinaztepe 
> yazdı:

Merhaba,

Maalesef arkadaşınızın sistemine Bad Rabbit zararlısı bulaşmış.

Diski başka bir makinaya bağladığınızda biçimsiz görmenizin sebebi, MBR 
enfeksiyonu ile çalışan bir zararlı olmasından kaynaklanıyor.

Diğer varyantların aksine, sadece dosyalarınız değil, disk formatını 
etkileyecek kısımlar da encrypt edilmiş.

Daha önceki örneklerde olduğu gibi decryption key'in yayınlanması ya da 
şifreleme algoritmasında açık bulunması ihtimali her zaman bir ihtimal. Fakat, 
aciliyetiniz varsa fidyeyi ödemek şu an için tek çözüm...
--
Emre TINAZTEPE
Director of Development

Zemana Ltd.
USA:  +1 650 265 7763 (Direct Line)
Turkey: +90 312 219 5660
www.zemana.com

2017-10-25 16:31 GMT+03:00 Ramazan ERDEMİR 
>:
Merhaba, bir arkadaşımın bilgisayarına bulaşan ve diski komple şifreleyen bir 
cryptolocker var ek'te ekran görüntüsünü paylaşıyorum. Açılış bu şekilde diski 
dışarı çıkarıp başka yere bağladığımız da ise disk biçimsiz olarak görünüyor. 
Konu ile ilgili olarak bir çözüm yöntemi var mıdır?

Teşekkürler.

-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-


-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-
-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-

-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-

-
Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri

https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/

-

Re: [NetsecTR] Tuzak Sistem ile Hacker Avı (Blog Yazısı)

2017-07-03 Başlik Mehmet YAYLA 
eline saglik, guzel bir honeypot calismasi olmus.

suclu kisilerin bu kadar kisa sifre tercih etmeleri hem sasirtici hem de ne 
olursa olsun magdur kisilerin brute force attack ile sifreyi denemelerini 
gerekli kiliyor.



Android için Outlook uygulamasını edinin


From: Liste  on behalf of Mert SARICA 

Sent: Monday, July 3, 2017 7:42:48 AM
To: liste@netsectr.org
Subject: [NetsecTR] Tuzak Sistem ile Hacker Avı (Blog Yazısı)

Selamlar,

Eminim etrafınızda tanıdığınız, tanımadığınız çok sayıda kişiden son yıllarda 
şunu sıklıkla duydunuz, “Verilerimi şifrelediler, para istiyorlar, ne 
yapabilirim, kimden yardım alabilirim ?” 2016 yılının sonuna doğru güvenlik 
farkındalığı yaratma adına, şifreleme yöntemi kullanan fidyecilerin izledikleri 
yöntemleri, tasarladığım özel bir tuzak sistem ile açıklığa kavuşturmaya karar 
verdim. Merak edenleriniz, Tuzak Sistem ile Hacker Avı blog yazımı aşağıdaki 
adresten okuyabilirler.

https://www.mertsarica.com/tuzak-sistem-ile-hacker-avi/

Not: Güvenlik farkındalığı adına etrafınızdaki insanlarla bu yazıyı 
paylaşabilirseniz sevinirim.

Görüşmek dileğiyle,

https://www.mertsarica.com
https://twitter.com/mertsarica
https://tr.linkedin.com/in/mertsarica
CISSP, SSCP, OSCP, OPST, CREA & CEREA
-
Sinara Labs. E-Posta Tehdit Simülasyonu

ets.sinaralabs.com

-

[NetsecTR] Ynt: NSA EsteemAudit Exploiti İçin Ücretsiz Yama !

2017-06-05 Başlik Mehmet YAYLA 
iki farklı yama çalışması olamaz yani , öyle mi?




Gönderen: İsmail Taşdelen  adına Liste 

Gönderildi: 5 Haziran 2017 Pazartesi 13:01
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] NSA EsteemAudit Exploiti İçin Ücretsiz Yama !

Yamayı yayınlayan ensilo güvenlik şirketine teşekkürler.

İndirme linki : 
http://pages.ensilo.com/download-the-patch-for-esteemaudit-exploit
[https://info.ensilo.com/hubfs/Landing%20Pages/EsteemAudit-share.jpg]

Download the enSilo Patch for ESTEEMAUDIT 
Exploit
pages.ensilo.com




Güvenli günler dilerim :D

5 Haziran 2017 12:09 tarihinde Celil ÜNÜVER 
> yazdı:
Merhabalar,

NSA ' in kullandığı siber silahlar arasında yer alan ve The Shadow Brokers 
hacker grubu tarafından ifşa edilen, uzaktan kod çalıştırmaya olanak sağlayan 
EsteemAudit RDP exploitinden NetSec üyelerinin haberdar olduğunu düşünüyorum.

Biliyorsunuz EsteemAudit RDP exploitinin kullandığı güvenlik zafiyeti için 
herhangi bir yama bulunmamaktadır. Microsoft, Windows 2003/XP sistemlere artık 
destek vermeyi bıraktığı için önümüzdeki günlerde de muhtemelen bir yama 
yayınlanmayacaktır. EsteemAudit exploitini kullanan WannaCry gibi saldırılar 
beklenmektedir.

TRAPMINE olarak amacımız daha güvenli bir siber dünyaya, Türk şirketi olarak 
katkıda bulunmak. Bu sebeple EsteemAudit exploitini analiz ederek,  kullandığı 
güvenlik zafiyetini kapatan hızlıca bir yama çıkardık. Yama, in-memory 
hotpatching tekniği ile zafiyetli kod bloğunu herhangi bir reboot gerektirmeden 
hafızada değiştirip, zafiyeti fixlemektedir. Yama ücretsiz olarak indirilip , 
Windows Server 2003 (x86) sistemler üzerinde kullanılabilir.

Yamayı indirmek ve detaylı bilgi almak için 
http://trapmine.com/esteemaudit/tr.html sayfasını ziyaret edebilirsiniz.

İyi çalışmalar,


-
BGA Wiki - Penetration Test Wiki

http://wiki.bgasecurity.com/Kategori:Pentest

-

-
BGA Wiki - Penetration Test Wiki

http://wiki.bgasecurity.com/Kategori:Pentest

-

[NetsecTR] Ynt: Antivirüs ve Antimalware yazılımı arıyorum

2017-05-09 Başlik Mehmet YAYLA 
Zemana +1



Gönderen: Ozan UÇAR (BGA)  adına Liste 

Gönderildi: 8 Mayıs 2017 Pazartesi 17:54
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Antivirüs ve Antimalware yazılımı arıyorum

Zemana Antimalware aracını denemeni öneririm.

2017-05-08 15:04 GMT+03:00 tuagh mohammad Kalte 
>:
Merhabalar,

Değerli arkadaşlar bizim firma için bir Antivirüs ve Antimalware arıyorum, bu 
konuda sizlerin önerilerinizi bilmek istiyorum. Bu konuda yardımcı olursanız 
sevinirim. Aradığım program Windows sunucu ve normal kullanıcılar için 
kullanılacak ve yaklaşık 30-40 kullanıcıda kurulacak.


İlginiz için şimdiden teşekkürler,
Muhammed KALTE.

-
BGA Wiki - Penetration Test Wiki

http://wiki.bgasecurity.com/Kategori:Pentest

-



--

Ozan UÇAR

Managing Partner / BGA Bilgi Güvenliği A.Ş

My brand profile

Istanbul:Kozyatağı Mah. İnönü Cad. Çetinkaya İş Merkezi No: 92 Kat:4 Kadıköy, 
İstanbul

Tel: +90 216 4740038 | Fax: +90 216 4749386 | Mobile: +90 551 4119596

Ankara:Ceyhun Atuf Kansu Caddesi Gözde Plaza İş Merkezi Kat:5 No:72 BALGAT 
ÇANKAYA/ANKARA

ozan.u...@bga.com.tr|| 
BGASecurity.com | 
@BGASecurity | 
#BGASecurity | 
www.ozanucar.com




YASAL UYARI: Bu e-posta'nin icerdigi bilgiler (ekleri de dahil olmak uzere) 
gizlidir. Sahibinin onayi olmaksizin icerigi kopyalanamaz, ucuncu kisilere 
aciklanamaz veya iletilemez . Bu mesajin gonderilmek istendigi kisi degilseniz 
(ya da bu e-posta'yi yanlislikla aldiysaniz), lutfen yollayan kisiyi haberdar 
ediniz ve mesaji sisteminizden derhal siliniz. BGA, bu mesajin icerdigi 
bilgilerin dogrulugu veya eksiksiz oldugu konusunda bir garanti vermemektedir. 
Bu nedenle, bilgilerin ne sekilde olursa olsun iceriginden, iletilmesinden, 
alinmasindan, saklanmasindan BGA sorumlu degildir. Bu mesajin icerigi yazarina 
ait olup, BGA'nın  goruslerini icermeyebilir. Bu e-posta bizce bilinen tum 
bilgisayar viruslerine karsi taranmistir.

DISCLAIMER: This e-mail (including any attachments) may contain confidential 
and/or privileged information. Copying, disclosure or distribution of the 
material in this e-mail without owner authority is strictly forbidden. If you 
are not the intended recipient (or have received this e-mail in error), please 
notify the sender and delete it from your system immediately. BGA makes no 
warranty as to the accuracy or completeness of any information contained in 
this message and hereby excludes any liability of any kind for the information 
contained therein or for the information transmission, reception, storage or 
use of such in any way whatsoever. Any opinions expressed in this message are 
those of the author and may not necessarily reflect the opinions of BGA. This 
e-mail has been scanned for all computer viruses known to us.
-
BGA Wiki - Penetration Test Wiki

http://wiki.bgasecurity.com/Kategori:Pentest

-

[NetsecTR] Ynt: Ynt: Akbank Erişim Sorunu

2017-03-28 Başlik Mehmet YAYLA 
bu mecranın public bir ortam olduğunu düşünmüyorum şahsen.




Gönderen: Selçuk IRMAK <selcuk.ir...@irene.com.tr> adına Liste 
<liste-boun...@netsectr.org>
Gönderildi: 28 Mart 2017 Salı 13:09
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Ynt: Akbank Erişim Sorunu


Volkan Bey, kesinlikle haklısınız kural ihlali filan yok, bir şekilde 
edindiğiniz “of the record” istihbaratı public bir ortamda paylaşmanız 
çelişkiden itibarettir. :)



From: Liste [mailto:liste-boun...@netsectr.org] On Behalf Of VOLKAN KILIC
Sent: Tuesday, March 28, 2017 10:40 AM
To: liste@netsectr.org
Subject: Re: [NetsecTR] Ynt: Akbank Erişim Sorunu



Selim bey net bilgi değildi. ..Burda kural ihlali yapılacak bir durum 
yok..Sadece bilgi amaçlı paylasilmistir...



28 Mar 2017 04:25 tarihinde "Selim" 
<selim.al...@gmail.com<mailto:selim.al...@gmail.com>> yazdı:

Volkan Bey,

Edindiğiniz "çok gizli ve kayıt dışı" bilgilerinizi açıklama gereği 
duymuyorsunuz ama burada bu bilgiyi paylaşmaktan çekinmiyorsunuz. Sanırım bazı 
mesleki kuralları ihlal ettiğinizin farkında olarak bu davranışı 
sergiliyorsunuz.

VOLKAN KILIC <kilichvol...@gmail.com<mailto:kilichvol...@gmail.com>> şunları 
yazdı (27 Mar 2017 16:49):

Merhabalar;



Edindiğim Of The Record Istihbaratına Göre Banka Bulduğu Bir Açıktan Mütevellit 
Sistemi Kendisi Kapatmış ve En Kısa Sürece Düzeltecekler. .



Volkan KILIÇ
IT Security Consultant
Certified ethical hacker



27 Mart 2017 16:15 tarihinde 
<hamzaxy...@gmail.com<mailto:hamzaxy...@gmail.com>> yazdı:

Erişim sorunu var sadece web sitelerine değil telefon uygulamarı, atmleri ve 
kart posları da dahil tüm sistemleri uzun bir süre çalışır durumda değildi.

Akbank’ın yaptığı açıklama sistem güncellemesi olduğu şeklinde.



Windows 10 için Posta<https://go.microsoft.com/fwlink/?LinkId=550986> ile 
gönderildi



Kimden: Mehmet YAYLA<mailto:fosalo...@hotmail.com>
Gönderilme: 27 Mart 2017 Pazartesi 16:07
Kime: liste@netsectr.org<mailto:liste@netsectr.org>
Konu: [NetsecTR] Akbank Erişim Sorunu



Selamlar;
Akbank'a erişim sorunu yaşayan var mı?
Ciddi saldırı olduğuna dair iddialar var.



Konu hakkında bilgi sahibi kimse var mı?



Kolaylıklar dilerim





-
Günlük pentest(sızma testi) teknik ipuçları - https://twitter.com/dailypentest

-



-
Günlük pentest(sızma testi) teknik ipuçları - https://twitter.com/dailypentest

-

-
Günlük pentest(sızma testi) teknik ipuçları - https://twitter.com/dailypentest

-
-
Günlük pentest(sızma testi) teknik ipuçları - https://twitter.com/dailypentest

-

[NetsecTR] Akbank Erişim Sorunu

2017-03-27 Başlik Mehmet YAYLA 
Selamlar;
Akbank'a erişim sorunu yaşayan var mı?
Ciddi saldırı olduğuna dair iddialar var.


Konu hakkında bilgi sahibi kimse var mı?


Kolaylıklar dilerim

-
Günlük pentest(sızma testi) teknik ipuçları - https://twitter.com/dailypentest

-

[NetsecTR] Ynt: Whatsapp Kullanılamıyor

2016-11-04 Başlik Mehmet YAYLA 
Uydu internet kullanabilirsiniz tabii. Türkiye'de ve dünyada bu hizmeti veren 
kurumlar bulunmakta ama GSM ve Karasal internete müdahale eden irade, uyduya 
erişimi de kısıtlamaya çalışacaktır.

Yurtdışındaki bir sağlayıcıyla görüşebilirsiniz. En bilinenleri HughesNet ve 
Exede





Gönderen: Zeynepgül Bayrı  adına Liste 

Gönderildi: 4 Kasım 2016 Cuma 11:16
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Whatsapp Kullanılamıyor

Merhaba,

Türk Telekom'un da inteneti kesildi. Whatsapp'a ve Facebook'a VPN üzerinden 
girebilirsiniz.

Ben de birşey soracaktım GSM ya da Wifi interneti olmadığında internete 
bağlanılabilecek bir yol var mıdır uydudan filan?

Saygılar, iyi çalışmalar

4 Kasım 2016 07:45 tarihinde Hakan Amaç 
> yazdı:

Merhabalar,

Bu sabah 06:40 tan bu yana whatsapp  çalışmıyor  (Turkcell Hattım üzerinde).

Bir kaç arkadaşımdan daha duydum onlarda da aynı sorun var.

Konu hakkında bilgisi olan var mı ?

---

Siber Güvenlik Kış Kampı Başvuruları Açıldı!

http://siberkamp.eventbrite.com/

---

Siber Güvenlik Kış Kampı Başvuruları Açıldı!

http://siberkamp.eventbrite.com/

[NetsecTR] Ynt: Ynt: Whatsapp Mesajlarını Başkasının Okuması

2016-11-03 Başlik Mehmet YAYLA 
Eğer saldırganın telefona erişimi varsa bu bir yetkisiz erişim sayılmaz aslında.
Aşağıdaki yöntemle yeni telefona yedeği transfer ederek açabilir :


https://www.whatsapp.com/faq/en/android/20887921#restore





Gönderen: Tuğba Öztürk <tozt...@teknosa.com> adına Liste 
<liste-boun...@netsectr.org>
Gönderildi: 3 Kasım 2016 Perşembe 08:26
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Ynt: Whatsapp Mesajlarını Başkasının Okuması


Ben cihazımı değiştirdim, yeni cihazda eski Gmail hesabımı kurdum, whatsapp 
kurdum, telefon numarası doğrulaması geldi, ok verince son yazışmalarım olduğu 
gibi geldi?

Saldırganın esas telefona erişimi vardı, belki sim kartı başka bir telefona 
taktı aynı işlemi yaptı, okudu yazışmaları…



Tuğba Öztürk

Bilgi Güvenliği ve Risk Müdür Yardımcısı





From: Liste [mailto:liste-boun...@netsectr.org] On Behalf Of Mehmet YAYLA
Sent: Wednesday, November 02, 2016 2:38 PM
To: liste@netsectr.org
Subject: [NetsecTR] Ynt: Whatsapp Mesajlarını Başkasının Okuması



drive'a doğrudan erişerek bu dosyayı download edemezsiniz.
Ek olarak sadece megasore.db dosyası gerekmiyor dosyanın okunabilmesi için.
cihazdaki "key" dosyası ve wa.db dosyaları gerekli.
Yani biri drive hesabınızı ele geçire ve megastore.db dosyasını ele geçirse 
bile bunu okuması hayli zor olacaktır.






Gönderen: Emre CENİK <emrecee...@gmail.com<mailto:emrecee...@gmail.com>> adına 
Liste <liste-boun...@netsectr.org<mailto:liste-boun...@netsectr.org>>
Gönderildi: 2 Kasım 2016 Çarşamba 13:16
Kime: liste@netsectr.org<mailto:liste@netsectr.org>
Konu: Re: [NetsecTR] Whatsapp Mesajlarını Başkasının Okuması



Bende umarım doğru anlamışımdır diyerek söze giriyim :) Örnek olarak kendi 
whatsapp konuşmalarımı drive üzerinden görmeye çalıştım ama görünmüyor. 
Download edecek bir dosaya yok. Bende bunun üzerine google'dan bir kaç arama 
yaptım ve gördüklerime inanamadım. O kadar çok paylaşımlar var ki bu konuyla 
ilgili iyi niyetli kullanıcılar olarak bu kadar açıklar olabileceğini fark 
etmiyoruz ama kötü niyetli insanlar tarafından bakmanın siber güvenlikte 
yararını daha iyi anlamış oldum.



1 Kasım 2016 20:54 tarihinde Özgür KOCA 
<ozgurk...@gmail.com<mailto:ozgurk...@gmail.com>> yazdı:

Yeri gelmişken sorayım;



whatsapp mesajlararın ve image'ların olduğu arşiv dosyasını google drive 
hesabında depoluyor.

Whatsapp 'da bir google şirketi olduğundan drive'a doğrudan erişerek bu dosyayı 
indirmeye izin

vermiyor yalnızca whatsapp üzerinden erişilebiliyor.



Doğrudan google android hesabımızla ilişkili drive üzerinden bu yedek arşivini 
indirmek mümkün müdür sizce?



Anlaşılması güç ifade etmiş olma ihtimalime karşı farklı şekilde sorabileceğimi 
şimdiden beyan ve taahhüt ederim. :)



Teşekkürler.




Özgür Koca
[tankado.com<http://tankado.com/>][raspberry-pi.tankado.com<http://raspberry-pi.tankado.com/>]



[http://www.tankado.com/wp-content/uploads/gmail_logo.png]<http://www.facebook.com/zerostoheroes/>



2016-11-01 16:27 GMT+02:00 Serhat AYDIN 
<cont...@serhataydin.com<mailto:cont...@serhataydin.com>>:

Cihaz android de olsa iphone da olsa buluta yedekleme yapılıyor ancak buluta 
ait mail adresi ile oturum açılması durumunda da zaten email olarak hesaba bir 
bilgilendirme düşüyor. Sanırım bunun en kısa ve zahmetsiz yolu 1-2 dk lık 
cihaza fiziksel erişim. Gerisi sıkıntısızca çalışıyor mspy gibi.





1 Kasım 2016 13:22 tarihinde Tuğba Öztürk 
<tozt...@teknosa.com<mailto:tozt...@teknosa.com>> yazdı:



Bence basit düşünelim, konuşmalar buluta kopyalanır, cihaz android ise kurulu 
hesabın şifresini bilmesi veya kendisinin değiştirmesi yeterli..

Tuğba Öztürk
Bilgi Güvenliği ve Risk Müdür Yardımcısı
 Teknosa İç ve Dış Tic. A.Ş.


-Original Message-
From: Liste 
[mailto:liste-boun...@netsectr.org<mailto:liste-boun...@netsectr.org>] On 
Behalf Of ilker aydin
Sent: Tuesday, November 01, 2016 9:11 AM
To: liste@netsectr.org<mailto:liste@netsectr.org>
Subject: Re: [NetsecTR] Whatsapp Mesajlarını Başkasının Okuması

Çeşitli şekillerde mümkün.

Android root lu ise, whatsapp key dosyası dışarı alınırsa,

whatsapp db leri  dropbox tarzı bir şekilde dışarıya senkronlanırsa,

Uzaktan pc den bile whatsapp mesajları decrypto edilip okunabilir.



31.10.2016 21:20 tarihinde Levent Anil OZEN yazdı:
> Daha önce bahsedildiği gibi whatsapp web üzerinden bunu yapıyor olması
> ihtimali çok düşük. Android için yazılmış olan zararlı yazılımlar ile
> bu mümkün olabilir gibi görünüyor. Ki eski sevgilisi için bu pek de
> zor olmaz. Telefonun şifresini biliyor(ya da rahatlıkla öğrenebilir)
> olması, telefona fiziksel olarak kolayca erişebiliyor olması vb..
> Bu arada bi devlet personeline çağrı bırakmış olması sizin açınızdan
> deflection etkisi göstermiş bana göre, ki saldırgan bunu bilinçli de
> yapabilirdi, ama ben bilinçli olduğunu san

[NetsecTR] Ynt: Whatsapp Mesajlarını Başkasının Okuması

2016-11-02 Başlik Mehmet YAYLA 
drive'a doğrudan erişerek bu dosyayı download edemezsiniz.
Ek olarak sadece megasore.db dosyası gerekmiyor dosyanın okunabilmesi için.
cihazdaki "key" dosyası ve wa.db dosyaları gerekli.
Yani biri drive hesabınızı ele geçire ve megastore.db dosyasını ele geçirse 
bile bunu okuması hayli zor olacaktır.





Gönderen: Emre CENİK  adına Liste 

Gönderildi: 2 Kasım 2016 Çarşamba 13:16
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Whatsapp Mesajlarını Başkasının Okuması

Bende umarım doğru anlamışımdır diyerek söze giriyim :) Örnek olarak kendi 
whatsapp konuşmalarımı drive üzerinden görmeye çalıştım ama görünmüyor. 
Download edecek bir dosaya yok. Bende bunun üzerine google'dan bir kaç arama 
yaptım ve gördüklerime inanamadım. O kadar çok paylaşımlar var ki bu konuyla 
ilgili iyi niyetli kullanıcılar olarak bu kadar açıklar olabileceğini fark 
etmiyoruz ama kötü niyetli insanlar tarafından bakmanın siber güvenlikte 
yararını daha iyi anlamış oldum.

1 Kasım 2016 20:54 tarihinde Özgür KOCA 
> yazdı:
Yeri gelmişken sorayım;

whatsapp mesajlararın ve image'ların olduğu arşiv dosyasını google drive 
hesabında depoluyor.
Whatsapp 'da bir google şirketi olduğundan drive'a doğrudan erişerek bu dosyayı 
indirmeye izin
vermiyor yalnızca whatsapp üzerinden erişilebiliyor.

Doğrudan google android hesabımızla ilişkili drive üzerinden bu yedek arşivini 
indirmek mümkün müdür sizce?

Anlaşılması güç ifade etmiş olma ihtimalime karşı farklı şekilde sorabileceğimi 
şimdiden beyan ve taahhüt ederim. :)

Teşekkürler.


Özgür Koca
[tankado.com][raspberry-pi.tankado.com]


[http://www.tankado.com/wp-content/uploads/gmail_logo.png]

2016-11-01 16:27 GMT+02:00 Serhat AYDIN 
>:
Cihaz android de olsa iphone da olsa buluta yedekleme yapılıyor ancak buluta 
ait mail adresi ile oturum açılması durumunda da zaten email olarak hesaba bir 
bilgilendirme düşüyor. Sanırım bunun en kısa ve zahmetsiz yolu 1-2 dk lık 
cihaza fiziksel erişim. Gerisi sıkıntısızca çalışıyor mspy gibi.


1 Kasım 2016 13:22 tarihinde Tuğba Öztürk 
> yazdı:

Bence basit düşünelim, konuşmalar buluta kopyalanır, cihaz android ise kurulu 
hesabın şifresini bilmesi veya kendisinin değiştirmesi yeterli..

Tuğba Öztürk
Bilgi Güvenliği ve Risk Müdür Yardımcısı
 Teknosa İç ve Dış Tic. A.Ş.


-Original Message-
From: Liste 
[mailto:liste-boun...@netsectr.org] On 
Behalf Of ilker aydin
Sent: Tuesday, November 01, 2016 9:11 AM
To: liste@netsectr.org
Subject: Re: [NetsecTR] Whatsapp Mesajlarını Başkasının Okuması

Çeşitli şekillerde mümkün.

Android root lu ise, whatsapp key dosyası dışarı alınırsa,

whatsapp db leri  dropbox tarzı bir şekilde dışarıya senkronlanırsa,

Uzaktan pc den bile whatsapp mesajları decrypto edilip okunabilir.



31.10.2016 21:20 tarihinde Levent Anil OZEN yazdı:
> Daha önce bahsedildiği gibi whatsapp web üzerinden bunu yapıyor olması
> ihtimali çok düşük. Android için yazılmış olan zararlı yazılımlar ile
> bu mümkün olabilir gibi görünüyor. Ki eski sevgilisi için bu pek de
> zor olmaz. Telefonun şifresini biliyor(ya da rahatlıkla öğrenebilir)
> olması, telefona fiziksel olarak kolayca erişebiliyor olması vb..
> Bu arada bi devlet personeline çağrı bırakmış olması sizin açınızdan
> deflection etkisi göstermiş bana göre, ki saldırgan bunu bilinçli de
> yapabilirdi, ama ben bilinçli olduğunu sanmıyorum anlattıklarınızdan.
>
>
>
> On Mon, 31 Oct 2016 15:12:03 +0300
>  Emre CENİK > wrote:
>> Whatsapp web'i kontrol ettim. Oradan yapmış olamaz dir tahmin ediyorum.
>> Aklıma en çok takılan konu " uçtan uca şifreleme" olayınında aslında
>> çok fark etmediği. Daha bir sürü açığı var.
>>
>> 31 Eki 2016 14:08 tarihinde "Onur Sapan" 
>> > yazdı:
>>
>>> Qr code ile bildiğim kadarı ile telefon ve bilgisayar arasında
>>> belirli bir mesafe olması gerekiyor uzaktan baglanamaz.
>>>
>>> 31 Eki 2016 09:38 tarihinde "Mehmet Numan GENC"
>>> >
>>> yazdı:
>>> >
>>> > Gelen ve giden mesajlara ulasmanin bircok yolu var whatsapp
>>> > icin.Son
>>> zamanlarda androidler icin kolayca log tutabilen ufak yazilimlar
>>> piyasada dolanmaya basladi.Isini kotuye kullanan birine gelirsek cok
>>> zor olsa gerek kimse kendini bu denli seyler icin riske atmaz.Size
>>> bir tavsiye verebilirim isterseniz.Whatsapp kullanicilari icin
>>> ``chrome`` qr kodu kullanarak web arayuz uygulamasi var.Yani
>>> whatsapp telefon yaninizda olmadanda pc uzerinden kullanabilirsiniz
>>> sadece ilgili qr kodunu pcde bi kac saniyede okutarak.Buyuk ihtimal
>>>

[NetsecTR] Ynt: Office Dosyalarının Taşıdığı Fidye Zararlısı Riskleri

2016-10-05 Başlik Mehmet YAYLA 
Bu tip saldırılarından korunmak için ilgili bilgisayarlardan Windows Script 
Host'un disable edilmesi yerinde olur.
İhtiyaç durumunda kontrollü olarak anahtarın değiştirilmesi daha mantıklı.




Gönderen: Ozan UÇAR (BGA)  adına Liste 

Gönderildi: 4 Ekim 2016 Salı 16:37
Kime: liste@netsectr.org
Konu: Re: [NetsecTR] Office Dosyalarının Taşıdığı Fidye Zararlısı Riskleri

Merhabalar,
Bu sorunuzun cevabından büyük oradan emin olsamda küçük bir araştırma yaptım. 
Şöyle ki,  Google drive VBA Macro'ları desteklemiyor, bunun yerine Google Apps 
Script öneriyor. Microsoft OneDrive ise Macro içeren dosyaları düzenlemenize 
olanak sağlıyor ama Macro çalıştırmayı desteklemiyor.

Bu iki servis için bizim paylaştığımız örnekteki VBA Macro zararlıları 
çalışmayacaktır yani güvendesiniz (şimdilik)

Başka hangi cloud tabanlı SaaS olarak hizmet veren kaynaklar var paylaşırsanız 
birlikte inceleme fırsatımız olur.

Teşekkürler.

2016-10-04 13:18 GMT+03:00 hasan akgöz 
>:

Merhaba Ozan bey,
Merak ettiğim bir konu benzer tehditlerin cloud ortamı içinde barındırıp 
barındırdığı eğer kurum office ihtiyaçlarını SaaS olarak gideriyorsa benzer 
tehditlerden etkilenir mi?

iyi çalışmalar dilerim.

On Oct 4, 2016 13:10, "Ozan UÇAR (BGA)" 
> wrote:
Ransomeware zararlıları tüm dünyayı hedef almaya devam ederken, gelenekselci 
yaklaşımını biraz değiştirip ofis dosyalarının taşıdığı zararlı Makrolar ile 
yeni kurbanlarını hedef alıyor.

Biz uzmanlar için Macro içeren zararlılarla yapılan bu saldırı vektörü yeni 
kabul edilmesede, internet kullanıcılarının pek alışık olmadığı, ofis 
dosyalarının ne tür riskler taşıdığını pek bilmedikleri bir durum. İş ve sosyal 
yaşantımızda ofis dosyalarının ne kadar etkin kullanıldığını düşünürsek bu 
durum korkunç zararlara yol açabiliyor.

Bu anlamda internet kullanıcılarının bilinçlendirmek, ofis dosyalarının 
kendileri için ne tür riskler taşıdığına dikkat çekmek istiyoruz. Aynı zamanda 
siber güvenlik uzmanı pozisyonunda olmasada önlem almak durumunda olan diğer IT 
çalışanları içinde teknik detay içeren bu yazıyı sizlerle paylaşıyoruz.

Yazıda bireysel ve kurumsal genel geçer önlemler var fakat detaylandırmak, 
hangi çözüm ve ürünlerle bu gibi zararlılara karşı önlem alınacağını bu başlık 
altına tartışmak isteriz.

Yazıya şu adreslerden ulaşabilirsiniz,

  *   Slideshare adresi, 
http://www.slideshare.net/SinaraLabs/office-dosyalarnn-tad-makro-riskleri
  *   Blog post, 
https://www.sinaralabs.com/office-dosyalarinin-tasidigi-fidye-zararlisi-riskleri/

Zararlıyı içeren email ve ekini incelemek isterseniz;

  *   Zararlının orjinal eposta içeriği için 
https://www.dropbox.com/s/5vuai003c68zeog/excel_macro_zararlisi.zip?dl=0
  *   Zararlı Macro dosyasını içeren excel, 
https://www.dropbox.com/s/4fgq6nrmtv903ts/2016-10016-15-20.zip?dl=0

Her iki dosyanında Zip Parolası: Sinara

Görüşmek üzere.
--

Ozan UÇAR

Managing Partner / BGA Bilgi Güvenliği A.Ş

My brand profile

Istanbul:Kozyatağı Mah. İnönü Cad. Çetinkaya İş Merkezi No: 92 Kat:4 Kadıköy, 
İstanbul

Tel: +90 216 4740038 | Fax: +90 216 4749386 | Mobile: +90 551 4119596

Ankara:Ceyhun Atuf Kansu Caddesi Gözde Plaza İş Merkezi Kat:5 No:72 BALGAT 
ÇANKAYA/ANKARA

ozan.u...@bga.com.tr|| 
BGASecurity.com | 
@BGASecurity | 
#BGASecurity | 
www.ozanucar.com




YASAL UYARI: Bu e-posta'nin icerdigi bilgiler (ekleri de dahil olmak uzere) 
gizlidir. Sahibinin onayi olmaksizin icerigi kopyalanamaz, ucuncu kisilere 
aciklanamaz veya iletilemez . Bu mesajin gonderilmek istendigi kisi degilseniz 
(ya da bu e-posta'yi yanlislikla aldiysaniz), lutfen yollayan kisiyi haberdar 
ediniz ve mesaji sisteminizden derhal siliniz. BGA, bu mesajin icerdigi 
bilgilerin dogrulugu veya eksiksiz oldugu konusunda bir garanti vermemektedir. 
Bu nedenle, bilgilerin ne sekilde olursa olsun iceriginden, iletilmesinden, 
alinmasindan, saklanmasindan BGA sorumlu degildir. Bu mesajin icerigi yazarina 
ait olup, BGA'nın  goruslerini icermeyebilir. Bu e-posta bizce bilinen tum 
bilgisayar viruslerine karsi taranmistir.

DISCLAIMER: This e-mail (including any attachments) may contain confidential 
and/or privileged information. Copying, disclosure or distribution of the 
material in this e-mail without owner authority is strictly forbidden. If you 
are not the intended recipient (or have received this e-mail in error), please 
notify the sender and delete it from your system immediately. BGA makes no 
warranty as to the accuracy or completeness of any information contained in 
this message and hereby excludes any liability of any kind for the information

Re: [NetSec] Crypt0L0cker hakkında...

2015-11-07 Başlik Mehmet YAYLA 
Çok gizem aramaya gerek yok.Db elindedir.

Bu kadar basit.


From: selcuk.ir...@irene.com.tr
To: liste@netsectr.org
Date: Fri, 6 Nov 2015 14:50:47 +0300
Subject: Re: [NetSec] Crypt0L0cker hakkında...

 Açığı bulunan fidyeci yazılımlar için söylüyorum numune şifreleme dosyaları 
zaman alacak şekilde analiz sonucunda keyler tespit edilip db ye ekleniyor. 
Tool güncel db ile kullanıldığında sizdeki şifre türü ile tutuyorsa 
şanslısınız. Burada ürünün 6 ay konumlandırılmış olması olayını pek 
anlayamadım. Detay alabilirmiyiz? Önceki yanıtlarımda Dr. Web sayfasından link 
verdim tekrar aşağıda paylaştım incelerseniz analiz uzmanlarının hangi numulere 
üzerinde kurtarma yapabildiklerini yüzdesel olarak görebilirsiniz.En alttaki 
kısıma bakarsanız aşağıda ekran görüntüsüde ekledim. Kurtarmanın mümkün olmayan 
varyantlardan söz ediliyor. Şifrenin çözülebilmesi için öncelikle şifrelemede 
açık olması ve zaman alacak şekilde bir uzman tarafından numunenin incelenerek 
keye ulaşılması gerekiyor.Bu açıdan bakılınca virüs analizleri yapan bir 
yazılım şirketi için keye ulaşıp tool ile çözebilmesini gizemli bulmuyorum. 
Hatta çözüm ortağı adwords yaptığı sitede tüm malware vakalarında şifreleri 
çözmenin mümkün olmayacağını belirtmiş. 
https://antifraud.drweb.com/encryption_trojs/?lng=en  Bence burada şöyle bir 
düşünce ortaya çıkması yanlış Dr.Web şifreleri çözüyor çözüm ortağına veriyor 
onlarda servis ücreti karşılığında bu işi yapıyor. Bahsedilen encoder toolları 
çözüm sağlayıcılar tarafından zaten ücretsiz verliyor. Şifrelenen dosyaların 
anahtarı güncel toolun key listinde mevcutsa şanslısınız 5 kuruş vermeden 
yırttınız demektir. :)Burada çözüm ortağı ticari olarak bir atak yapmış işi 
zaten ticarete dökmüş adwords yapmış servis hizmeti satmaya başlamış.  From: 
NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Mehmet YAYLA
Sent: Friday, November 06, 2015 12:58 PM
To: liste@netsectr.org
Subject: Re: [NetSec] Crypt0L0cker hakkında... Bildiğim kadarıyla Dr Web artık 
bu bedellere yardımcı olmuyor/olamıyor, veya keye ulaşması için daha önce 
bilgisayarda dr web ürününün konumlandırılmış olması gerekiyor ( min 6 ay )

From: mert.sar...@gmail.com
Date: Fri, 6 Nov 2015 09:22:25 +0300
To: liste@netsectr.org
Subject: [NetSec] Crypt0L0cker hakkında...Selamlar, Dr. Web, 35$'a lisans 
alınması durumunda Crypt0L0cker ile şifrelenmiş dosyaları çözebildiğini 
söylüyor ve kullananlar da başarılı olduğunu belirtiyor. Teknik olarak nasıl 
başardıkları konusunda, çözüp çözemedikleri konusunda bir tecrübem yok ancak 
yazılanlara göre bunu son 6 aydır yapabiliyorlar gibi görünüyor, detayları 
aşağıdaki adresten inceleyebilirsiniz. 
http://www.bleepingcomputer.com/forums/t/574686/torrentlocker-changes-its-name-to-crypt0l0cker-and-bypasses-us-computers/page-5
 
http://www.bleepingcomputer.com/forums/t/587362/drweb-quietly-decrypting-torrentlocker-for-paid-customers-or-distributors/
 Dikkat edilmesi gereken önemli bir nokta ise şifrelenmiş dosyaları 
çözdüklerini söyleyen ve çözen de (başarıyla çözebildiklerini tecrübe ettim) 
aşağıdaki gibi bazı kişiler/aracılar var. Bunların da Dr.Web'den satın 
aldıkları aracı kullanarak team-viewer ile sisteminize bağlanarak destek adı 
altında sizden fazladan ücret (35$) talep ettikleri belirtiliyor.  
http://www.decryptolocker.it/default_ing.asp Dr.Web'in şifrelenmiş dosyaları 
nasıl çözebildiği ise gizemini koruyor. Bu konuda detaylı bilgisi olan var ise 
paylaşabilirse sevinirim.Görüşmek dileğiyle, 
https://www.mertsarica.comhttps://twitter.com/mertsaricahttps://tr.linkedin.com/in/mertsaricaCISSP,
 SSCP, OSCP, OPST, CREA & CEREA
--- Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul 07-08 
Kasım 2015 egi...@bga.com.tr | www.bga.com.tr ---
---
Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul

07-08 Kasım 2015

egi...@bga.com.tr | www.bga.com.tr

---   ---
Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul

07-08 Kasım 2015

egi...@bga.com.tr | www.bga.com.tr

---

Re: [NetSec] Crypt0L0cker hakkında...

2015-11-06 Başlik Mehmet YAYLA 
Bildiğim kadarıyla Dr Web artık bu bedellere yardımcı olmuyor/olamıyor, veya 
keye ulaşması için daha önce bilgisayarda dr web ürününün konumlandırılmış 
olması gerekiyor ( min 6 ay )


From: mert.sar...@gmail.com
Date: Fri, 6 Nov 2015 09:22:25 +0300
To: liste@netsectr.org
Subject: [NetSec] Crypt0L0cker hakkında...

Selamlar,
Dr. Web, 35$'a lisans alınması durumunda Crypt0L0cker ile şifrelenmiş dosyaları 
çözebildiğini söylüyor ve kullananlar da başarılı olduğunu belirtiyor. Teknik 
olarak nasıl başardıkları konusunda, çözüp çözemedikleri konusunda bir tecrübem 
yok ancak yazılanlara göre bunu son 6 aydır yapabiliyorlar gibi görünüyor, 
detayları aşağıdaki adresten inceleyebilirsiniz.
http://www.bleepingcomputer.com/forums/t/574686/torrentlocker-changes-its-name-to-crypt0l0cker-and-bypasses-us-computers/page-5
http://www.bleepingcomputer.com/forums/t/587362/drweb-quietly-decrypting-torrentlocker-for-paid-customers-or-distributors/
Dikkat edilmesi gereken önemli bir nokta ise şifrelenmiş dosyaları çözdüklerini 
söyleyen ve çözen de (başarıyla çözebildiklerini tecrübe ettim) aşağıdaki gibi 
bazı kişiler/aracılar var. Bunların da Dr.Web'den satın aldıkları aracı 
kullanarak team-viewer ile sisteminize bağlanarak destek adı altında sizden 
fazladan ücret (35$) talep ettikleri belirtiliyor. 
http://www.decryptolocker.it/default_ing.asp
Dr.Web'in şifrelenmiş dosyaları nasıl çözebildiği ise gizemini koruyor. Bu 
konuda detaylı bilgisi olan var ise paylaşabilirse sevinirim.Görüşmek dileğiyle,

https://www.mertsarica.comhttps://twitter.com/mertsaricahttps://tr.linkedin.com/in/mertsaricaCISSP,
 SSCP, OSCP, OPST, CREA & CEREA


---
Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul

07-08 Kasım 2015

egi...@bga.com.tr | www.bga.com.tr

---   ---
Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul

07-08 Kasım 2015

egi...@bga.com.tr | www.bga.com.tr

---

Re: [NetSec] Turkcell Sahte Fatura Maili - Yeni

2015-11-06 Başlik Mehmet YAYLA 
Yöntem hep bu oldu zaten.
Önce temiz bir domain bulmak gerekir ki, tüm güvenlik sistemlerini kolayca 
atlatabilsin.
Evet daha önce hacklenmiş domainler kullanılıyor.

Date: Tue, 3 Nov 2015 10:59:30 +0200
From: saimta...@gmail.com
To: liste@netsectr.org
Subject: Re: [NetSec] Turkcell Sahte Fatura Maili - Yeni

Merhaba ,
kem-pol5.ru domaini moskovada bir poliklinige ait, 2011 de register edilmis 
temiz bir siteye benziyor  , adam hackleyip orayami yerleştirdi zararlıları 
heralde 
tek bir suphe cekici tarafı var , rusça ve rusyadan serv ediliyor 


3 Kasım 2015 07:29 tarihinde Murat CAN  yazdı:
Merhaba,
Bu sabah gelmeye başlayan Turkcell Sahte Fatura mail görseli aşağıdadır.


İyi çalışmalar.

---

Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul



07-08 Kasım 2015



egi...@bga.com.tr | www.bga.com.tr



---



---
Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul

07-08 Kasım 2015

egi...@bga.com.tr | www.bga.com.tr

---   ---
Mobil Uygulama Güvenlik Denetimi Eğitimi - İstanbul

07-08 Kasım 2015

egi...@bga.com.tr | www.bga.com.tr

---

Re: [NetSec] İş Bankası Oltalama Saldırısı hk.

2015-09-04 Başlik Mehmet YAYLA 
bildirimlerde link verilmemesi daha uygun olur bence.
bildirim için teşekkür ederim ayrıca

From: mustafa.altinkay...@omu.edu.tr
To: liste@netsectr.org
Date: Fri, 4 Sep 2015 08:00:39 +0300
Subject: [NetSec] İş Bankası Oltalama Saldırısı hk.


  


  
  
Dün akşam saatlerinde mail kutuma r...@turkbankasiemails.xyz
adresinden, İş Bankasından gelmiş izlenimi verilen bir mail düştü.
Gayet güzel bir türkçeyle hazırlanmış.

Söz konusu mail http://internet.turkisbnk.com/
adresine yönlendirerek kullanıcıdan giriş yapması isteniyor.



İyi çalışmalar dilerim.







Mustafa ALTINKAYNAK



  





---
İleri Seviye Ağ Güvenliği Eğitimi

01-03 Ekim 2015

egi...@bga.com.tr | www.bga.com.tr

---   ---
İleri Seviye Ağ Güvenliği Eğitimi

01-03 Ekim 2015

egi...@bga.com.tr | www.bga.com.tr

---

Re: [NetSec] Sahte e-fatura hk.

2015-03-20 Başlik Mehmet YAYLA 
Selçuk hocam ;
Hiç silinmiş gölge kopyayı veri kazıma yöntemiyle dönmeyi denediniz mi?

ismini vermenin reklam olacağını düşündüğüm angaralı bir firma :) bu 
yöntemlerle veri kurtarıyor. Öyle iddia da ediyor.

bende de işe yaradı.
deneyeniniz olmadı mı?

 

From: selcuk.ir...@irene.com.tr
To: liste@netsectr.org
Date: Thu, 19 Mar 2015 17:02:05 +0200
Subject: Re: [NetSec] Sahte e-fatura hk.

Yalnız versiyon 3 de kripto işlemine başlamadan önce shadowlar uçuruluyor. 
(Shadow işi maalesef eski varyantlar için geçerli. zaten XP için değişen bişey 
olmadı) From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of ZEN 
Bilişim ve Teknoloji Hizmetleri
Sent: Thursday, March 19, 2015 4:00 PM
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk. Arkadaşlar öncelikle fatura virüsüne 
maruz kalmış arkadaşlara Allah kolaylık versin derim.. şu satırları sizinle 
paylaşmak istedim..  aşağıdaki satırlar en az %75 olasılıkla işinizi çözecektir 
diye düşünüyorum..  iyi çalışmalar dilerim.  C:\vssadmin list shadows /for=C: 
Daha sonra bilgisayarınızda bulunan her Shadows Volume Copy için ayrı komutlar 
ile klasör oluşturacağız.  C:\mklink /d c:\shadowCopyX 
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\ (satırın sonundaki X 
değiştirilmelidir, bilgisayarınızda hangileri bulunduysa gölge kopyaların 
numaraları olmalı.)Bu işlem ile önceki tarihlere dönerek biraz kayıpla 
dosyalarınızı alabilmeniz mümkün. ZEN Bilişim ve Teknoloji HizmetleriMehmet 
TEMÜRLENK  From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Umit 
Akarsu
Sent: Monday, March 16, 2015 1:54 PM
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk. Merhaba , ben bluecoat proxysg demosu 
yapmaktayım şu an ve 1 ay zarfında çıkan bütün bu tarz saldırıları gördü ve 
engelledi.2015-03-14 16:01 GMT+02:00 Gürsel Arici 
gurselar...@gmail.com:Selamlar
Trend Micro Office Scan urununun cikartmis oldugu bata service pack ile bunun 
onune gecebildigini gözlemledim.Aktif ettiğimde sadece 1 dosya encrypt edildi , 
sonrasında işlemin kill edildiğini gözlemledim.Bir kaç yerde deployment 
gerçekleştirdim ve problem yaşanmadı. Sizlerinde takip ettiği çözümler olursa 
paylasirsanız testlerimizi yapalım.
 
Teşekkürler.  
Gursel Arıcı

On 14 Mar 2015 15:47, Erman ATEŞ ermana...@gmail.com wrote:Gürsel Bey, 
Cryptolocker savunması için davranış analizi yaparak şifrelemeyi engelleyen  
endpoint ürünü var mı? Siz hangi ürünleri incelediniz ve başarılı buldunuz ?
Teşekkürler.
13 Mar 2015 10:12 tarihinde Gürsel Arici gurselar...@gmail.com 
yazdı:Merhabalar, Bu konularla ilgili olarak , antivirus ureticileri behavior 
analizi yaparak dosya encrypt etmeye başladığında işlemleri kill eden servis 
geliştiriyor.(son yaptıgım testlerde başarılı oldugunu gözlemledim) 
Kullandığınız antimalware üreticisine bu konuyu danışmanızda fayda var.Domain 
ekleyerek bu işlemlerin önüne geçmeniz malesef çok mümkün değil arkadaslar. 
Daha efektif çözüm ise,  email gateway'inizle entegre çalışabilecek apt 
çözümleridir. İyi calismalar. Gürsel. 2015-03-12 22:24 GMT+02:00 VEDAT ELCIGIL 
elci...@gmail.com:Bu paraları ödeyenler nedeni ile bu fatura virusunun hiti 
ve versiyonları arttı,, Bence gem vurup ödeme yapılmayacak,, yada bu tahsilatı 
yapan kişileri yakalatmanın yolu bulunacak..Her kişiden 800 aldığı düşünülürse, 
 şimdiden bogazda yalıyı almıştır.  
--
Saygılarımla İyi Çalışmalar Dilerim,
Vedat ELÇİGİL 2015-03-12 15:08 GMT+02:00 Mustafa Gulmus 
mustafa.gul...@mkk.com.tr:Merhaba, Bizim bir arkadaşın firmasında (küçük bir 
muhasebe firması) olmuş (tüm dosyaları şifrelemiş) 800 TL eft yapmasını 
istiyorlarmış.  Sizce ne yapsın?  Mustafa  GÜLMÜŞ From: NetSec 
[mailto:netsec-boun...@netsectr.org] On Behalf Of Rauf Güney
Sent: Tuesday, March 10, 2015 4:04 PM
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk. Merhaba 
sahte fatura cryptolocker ile ilgili IP numaralarına yani kimlik tespiti ile 
ilgili ne yapılabilir yardımcı olabilirmisiniz, sanal bilgisayar ortamında bu 
dosyaların eylemleri incelenebilirmi

 Date: Fri, 13 Feb 2015 20:42:53 +0200
From: b...@gulata.com
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk.Turktelekom24.net hala aktif dün geldi 
bana 13 Şub 2015 16:58 tarihinde İbrahim Halil GÜRHAN 
i.halilgur...@gmail.com yazdı:Merhaba Arkadaşlar, Gökhan Beyin dediği 
ett.turktelekomonline.net adresine girip e-faturayı indirmeniz için link 
veriyor ve faturayı indirdiğiniz zip formatında dosya iniyor. Fatura numarası 
adında ve exe uzantılı bir dosya çıkıyor zip klasöründe bu exeye tıkladığınız 
adan saniyler içerisinde tüm bilgisayarınızdaki zip,rar,jpg,xls,doc vs. gibi 
tüm dosyaların uzantılarını *.encrypted şeklinde şifreliyor ve her şifrelediği 
dosya yanına şifrelemeden nasıl kurtulacağınız nereye para yatıracağınız 
hakkında txt dosyası ekliyor. Şifrelenen dosyaların uzantsı silindiğinde o 
dosya eğer zip,rar gibi bir dosya ise içerik kurtarılabiliyor fakat resim word

Re: [NetSec] Sahte e-fatura hk.

2015-03-20 Başlik Mehmet YAYLA 
Doğru mantık :)
Rekabet açısından dedim.
Sonuçta bu forumda da bu işten ekmek yiyen, yiyecek olan kişi ve kurumlar var.

Selçuk hocam;
Demek ki silinen gölge yedekler şifrelemeden sonra alınan kopyalarmış. 
Oluşturma tarihine dikkat edilerek alınsın

Date: Fri, 20 Mar 2015 11:38:00 +0200
From: bbtom...@gmail.com
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk.

yukarlarda bir ton antivirus firmasının ismini yazdıgınızda reklam aolmuyorsa 
bu ürünün de adını yazarsanız reklam olmaz.
20 Mart 2015 11:23 tarihinde Reha ERDAG r...@kadifeteks.com yazdı:
En son gelen Ptt maillerinden etkilenen bir sistemde Shadow Explorer ürününün 
işe yaradığını gözlemledim. Windows üzerinde shadow copy’ler gözükmüyordu ancak 
bu ürün ile geri almak mümkün oldu.  Reha ERDAĞr...@kadifeteks.com  From: 
NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Selçuk IRMAK
Sent: Friday, March 20, 2015 11:02 AM
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk.
 Mehmet hocam mümkün olduğunca paylaşımlarını takip ediyorum J Daha önce 
paylaşmıştınız için adını biliyorum JBenim bizzat deneme şansım olmadı ve sizin 
bildiriminizi önemseyerek son varyantlarda zor durumda kalan kişiye denemesini 
önerdim. Denemiş dataya ulaşmışda fakat şifreli geliyor geri bildirimini aldım. 
Bizzat deneme şansım olmadığı için eksik yapılan işlem varmı yokmu bilemiyorum. 
Yardımcı olmak ve konuşmak isterseniz size yönlendirebilirim J From: NetSec 
[mailto:netsec-boun...@netsectr.org] On Behalf Of Mehmet YAYLA
Sent: Friday, March 20, 2015 10:14 AM
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk. Selçuk hocam ;
Hiç silinmiş gölge kopyayı veri kazıma yöntemiyle dönmeyi denediniz mi?

ismini vermenin reklam olacağını düşündüğüm angaralı bir firma :) bu 
yöntemlerle veri kurtarıyor. Öyle iddia da ediyor.

bende de işe yaradı. deneyeniniz olmadı mı? 
 From: selcuk.ir...@irene.com.tr
To: liste@netsectr.org
Date: Thu, 19 Mar 2015 17:02:05 +0200
Subject: Re: [NetSec] Sahte e-fatura hk.Yalnız versiyon 3 de kripto işlemine 
başlamadan önce shadowlar uçuruluyor. (Shadow işi maalesef eski varyantlar için 
geçerli. zaten XP için değişen bişey olmadı) From: NetSec 
[mailto:netsec-boun...@netsectr.org] On Behalf Of ZEN Bilişim ve Teknoloji 
Hizmetleri
Sent: Thursday, March 19, 2015 4:00 PM
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk. Arkadaşlar öncelikle fatura virüsüne 
maruz kalmış arkadaşlara Allah kolaylık versin derim.. şu satırları sizinle 
paylaşmak istedim..  aşağıdaki satırlar en az %75 olasılıkla işinizi çözecektir 
diye düşünüyorum..  iyi çalışmalar dilerim.  C:\vssadmin list shadows /for=C: 
Daha sonra bilgisayarınızda bulunan her Shadows Volume Copy için ayrı komutlar 
ile klasör oluşturacağız.  C:\mklink /d c:\shadowCopyX 
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\ (satırın sonundaki X 
değiştirilmelidir, bilgisayarınızda hangileri bulunduysa gölge kopyaların 
numaraları olmalı.)Bu işlem ile önceki tarihlere dönerek biraz kayıpla 
dosyalarınızı alabilmeniz mümkün. ZEN Bilişim ve Teknoloji HizmetleriMehmet 
TEMÜRLENK  From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Umit 
Akarsu
Sent: Monday, March 16, 2015 1:54 PM
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk. Merhaba , ben bluecoat proxysg demosu 
yapmaktayım şu an ve 1 ay zarfında çıkan bütün bu tarz saldırıları gördü ve 
engelledi.2015-03-14 16:01 GMT+02:00 Gürsel Arici 
gurselar...@gmail.com:Selamlar
Trend Micro Office Scan urununun cikartmis oldugu bata service pack ile bunun 
onune gecebildigini gözlemledim.Aktif ettiğimde sadece 1 dosya encrypt edildi , 
sonrasında işlemin kill edildiğini gözlemledim.Bir kaç yerde deployment 
gerçekleştirdim ve problem yaşanmadı. Sizlerinde takip ettiği çözümler olursa 
paylasirsanız testlerimizi yapalım.
 Teşekkürler.  
Gursel Arıcı
On 14 Mar 2015 15:47, Erman ATEŞ ermana...@gmail.com wrote:Gürsel Bey, 
Cryptolocker savunması için davranış analizi yaparak şifrelemeyi engelleyen  
endpoint ürünü var mı? Siz hangi ürünleri incelediniz ve başarılı buldunuz ?
Teşekkürler.13 Mar 2015 10:12 tarihinde Gürsel Arici gurselar...@gmail.com 
yazdı:Merhabalar, Bu konularla ilgili olarak , antivirus ureticileri behavior 
analizi yaparak dosya encrypt etmeye başladığında işlemleri kill eden servis 
geliştiriyor.(son yaptıgım testlerde başarılı oldugunu gözlemledim) 
Kullandığınız antimalware üreticisine bu konuyu danışmanızda fayda var.Domain 
ekleyerek bu işlemlerin önüne geçmeniz malesef çok mümkün değil arkadaslar. 
Daha efektif çözüm ise,  email gateway'inizle entegre çalışabilecek apt 
çözümleridir. İyi calismalar. Gürsel. 2015-03-12 22:24 GMT+02:00 VEDAT ELCIGIL 
elci...@gmail.com:Bu paraları ödeyenler nedeni ile bu fatura virusunun hiti 
ve versiyonları arttı,, Bence gem vurup ödeme yapılmayacak,, yada bu tahsilatı 
yapan kişileri yakalatmanın yolu bulunacak..Her kişiden 800 aldığı düşünülürse, 
 şimdiden bogazda yalıyı almıştır

[NetSec] YNT: Re: Sahte e-fatura hk.

2015-03-13 Başlik Mehmet YAYLA 
Bi virus konusunda ciddi bir bilgi eksigi/yanlisi var galiba.

Bu dedikleriniz gecerli degil. Ustelik eft filan da istenmiyor

--- Orijinal İleti ---

Kimden: Mustafa Arslan mustafa.ars...@pressan.com.tr
Gönderilenler: 12 Mart 2015 15:24
Kime: liste@netsectr.org
Konu: Re: [NetSec] Sahte e-fatura hk.

Data hattını çeksin, sistemin yedeğini alsın. Sistemi önceki bir tarihe 
döndürsün ve virüs taraması gerçekleştirsin.





From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Mustafa Gulmus
Sent: Thursday, March 12, 2015 3:09 PM
To: liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk.



Merhaba,



Bizim bir arkadaşın firmasında (küçük bir muhasebe firması) olmuş (tüm 
dosyaları şifrelemiş) 800 TL eft yapmasını istiyorlarmış.



Sizce ne yapsın?





Mustafa  GÜLMÜŞ



From: NetSec [ mailto:netsec-boun...@netsectr.org 
mailto:netsec-boun...@netsectr.org] On Behalf Of Rauf Güney
Sent: Tuesday, March 10, 2015 4:04 PM
To:  mailto:liste@netsectr.org liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk.



Merhaba
sahte fatura cryptolocker ile ilgili IP numaralarına yani kimlik tespiti ile 
ilgili ne yapılabilir yardımcı olabilirmisiniz, sanal bilgisayar ortamında bu 
dosyaların eylemleri incelenebilirmi



  _

Date: Fri, 13 Feb 2015 20:42:53 +0200
From:  mailto:b...@gulata.com b...@gulata.com
To:  mailto:liste@netsectr.org liste@netsectr.org
Subject: Re: [NetSec] Sahte e-fatura hk.

Turktelekom24.net hala aktif dün geldi bana

13 Şub 2015 16:58 tarihinde İbrahim Halil GÜRHAN  
mailto:i.halilgur...@gmail.com i.halilgur...@gmail.com yazdı:

Merhaba Arkadaşlar,



Gökhan Beyin dediği  http://ett.turktelekomonline.net 
ett.turktelekomonline.net adresine girip e-faturayı indirmeniz için link 
veriyor ve faturayı indirdiğiniz zip formatında dosya iniyor. Fatura numarası 
adında ve exe uzantılı bir dosya çıkıyor zip klasöründe bu exeye tıkladığınız 
adan saniyler içerisinde tüm bilgisayarınızdaki zip,rar,jpg,xls,doc vs. gibi 
tüm dosyaların uzantılarını *.encrypted şeklinde şifreliyor ve her şifrelediği 
dosya yanına şifrelemeden nasıl kurtulacağınız nereye para yatıracağınız 
hakkında txt dosyası ekliyor. Şifrelenen dosyaların uzantsı silindiğinde o 
dosya eğer zip,rar gibi bir dosya ise içerik kurtarılabiliyor fakat resim word 
excel vb. gibi dosyalar tamam kriptolandığı için bozuluyor.



Bilginize





İbrahim Halil GÜRHAN

Computer Engineer (M.S.c)

​





12 Şubat 2015 16:47 tarihinde gökhan çakıl  mailto:gokhanca...@gmail.com 
gokhanca...@gmail.com yazdı:



Merhaba arkadaşlar,



Yeniden artış gösteren sahte e-fatura olarak bildiğimiz cryptolocker ransomware 
içeren e-mailler  gelmeye başladı.



Benim araştırdığım kadarı ile  http://178.208.0.0/16 178.208.0.0/16  ve  
93.95.98.0- 93.95.99.255 ip lerinden smtp yapılıyor.



Domainler ;   http://turktelekomonline.net turktelekomonline.net ve  
http://turktelekomonline.org turktelekomonline.org şeklinde olabiliyor.





Bilgilerinize.







Gökhan Çakıl



Senior Security Consultant



TEAM Information Technologies









  _


Bu mesaj ve ekleri mesajda gönderildiği belirtilen kişi/kişilere özeldir ve 
gizlidir. Bu mesaj tarafınıza yanlışlıkla ulaşmış olsa da mesaj içeriğinin 
gizliliği ve bu gizlilik yükümlülüğüne uyulması zorunluluğu tarafınız için de 
söz konusudur. Böyle bir durumda, lütfen gönderen kişiyi bilgilendiriniz ve 
mesajı sisteminizden siliniz. Mesaj ve eklerinde yer alan bilgilerin doğruluğu 
ve güncelliği konusunda gönderenin ya da Merkezi Kayıt Kuruluşu A.Ş.'nin 
herhangi bir sorumluluğu bulunmamaktadır. Merkezi Kayıt Kuruluşu A.Ş. mesajın 
ve bilgilerinin size değisikliğe uğrayarak veya geç ulaşmasından, bütünlüğünün 
ve gizliliğinin bozulmasından, virus içermesinden ve bilgisayar sisteminize 
verebileceği herhangi bir zarardan sorumlu tutulamaz.

This message and attachments are confidential and intended solely for the 
individual(s) stated in this message.If you received this message although you 
are not the addressee you are responsible to keep confidential the message. In 
that case please inform the sender and delete the message. The sender has no 
responsibility for the accuracy or correctness of the information in the 
message and its attachments. Merkezi Kayit Kurulusu A.S. shall have no 
liability for any changes or late receiving,loss of integrity and 
confidentiality, viruses and any damages caused in any way to your computer 
system.

Re: [NetSec] Fwd: Fwd: CryptoLocker adresler hakkında

2015-02-24 Başlik Mehmet YAYLA 
178.208.0.0/16  bloğunu yasaklayabilirsiniz.

Date: Tue, 24 Feb 2015 14:29:08 +0200
From: fatihg...@gmail.com
To: liste@netsectr.org
Subject: [NetSec] Fwd:  Fwd: CryptoLocker adresler hakkında

merhaba

aldığım duyuma gore şuan iturktelekom.com  uzantılı domainden gelmeye baslamıs. 

iyi çalışmalar

-- Forwarded message --
From: Ahmet Demirkıran ahmet.demirki...@elaresort.com
Date: Tue, Feb 24, 2015 at 2:23 PM
Subject: RE: [NetSec] Fwd:  CryptoLocker adresler hakkında
To: fatihg...@gmail.com fatihg...@gmail.com









Merhaba Fatih Bey,
 
@iturktelekom.com uzantısından da gelmeye başladı.
Bilginize.
 
From: NetSec [mailto:netsec-boun...@netsectr.org]
On Behalf Of Fatih Ekrem Genc

Sent: Wednesday, February 18, 2015 12:30 PM

To: liste@netsectr.org

Subject: [NetSec] Fwd: CryptoLocker adresler hakkında
 


mail listesi ayarları ile ilgili bir sorun var sanırım



Ahmet bey bildirdi 



Turktelekomservis.com den de geliyormuş

bilginize



-- Forwarded message --

From: Ahmet Demirkıran ahmet.demirki...@elaresort.com

Date: Wed, Feb 18, 2015 at 12:22 PM

Subject: RE: [NetSec] CryptoLocker adresler hakkında

To: fatihg...@gmail.com fatihg...@gmail.com






Merhaba Fatih Bey,
 
Listeye mail atmak istedim ama reddedildi. Size iletmek istedim.
 
Turktelekomservis.com dan da mail gelmeye başladı. Bilginize.

From: NetSec [mailto:netsec-boun...@netsectr.org]
On Behalf Of Fatih Ekrem Genc

Sent: Wednesday, February 18, 2015 11:05 AM

To: liste@netsectr.org

Subject: Re: [NetSec] CryptoLocker adresler hakkında
 

simdi baktimda ne palo alto nede websense bu domainleri listelememis

Executive Summary







Threat Severity:Low




Real-time
 security analysis:


Newly Registered Websites









Classification




Real-time
 content analysis:


Newly Registered Websites




Static
 Classification:


Newly Registered Websites





Suggest a different classification 






Assessment Overview

The URL analyzed is currently compromised to serve malicious content to 
visitors.


Site Details






IP Address



91.238.83.72





Hosted Country



Russian
 Federation





Bytes Received



1kb




 





HTTP Status Code



302 Found





Trusted SSL Certificate



N/A





Valid SSL Certificate



N/A





Heartbleed Vulnerability



No Vulnerability Found






Security Overview

·
Collapse all
 
·
Show
 all


Real-time security identification

Review the specific threat identified within the URL or IP address.


Associated threat type

There are no known threats associated with this URL or IP address.




This CSI service displays
 website code, highlighting lines in which ACE Insight found malicious content. 
Become
 a CSI subscriber to unlock this feature. View the sample Full ACE Insight 
report to see the feature in action.



URL link detection

Review analysis of all links within the target URL or IP address, including 
detailed link properties.

Link detection summary

Shows the total number of links and the number of links that point to malicious 
destinations.





Total Number of Links



Malicious Links







28



0




Advanced link detection details

No malicious links were detected.
Domain information

Shows the domain hosting the target destination.





Real-time Content Analysis



Domain Name







Newly Registered Websites



turktelekomonline.info





 






 

2015-02-17 22:36 GMT+02:00 Sercan Kulak sercanku...@gmail.com:

Merhaba,

 


CryptoLocker'ın adreslerinin hepsini toplamaya çalışıyorum twitter'dan takip 
etmeye çalışıyorum ama yinede emin olmak istiyorum, elinizde bunlar dışında bir 
adres var mı?


 


turktelekomonline[.]net


turktelekomonline[.]org


turktelekom24[.].org


turktelekomonline[.]info


 


Teşekkürler,


İyi çalışmalar.



 





UYARI / NOTIFICATION
Bu e-posta sadece yukarıda isimleri belirtilen kişiler arasında özel haberleşme 
amacını taşımaktadır. Size yanlışlıkla ulaşmışsa lütfen mesajı geri gönderiniz 
ve sisteminizden siliniz.
 Ela Quality Resort Hotel bu mesajın içeriği ile ilgili olarak hiçbir hukuksal 
sorumluluğu kabul etmez. 
This e-mail communication is intended for the private use of the persons named 
above. If you received this message in error, please immediately notify the 
sender
 and delete it from your system Ela Quality Resort Hotel does not accept legal 
responsibility for the contents of this
message.
 



 





UYARI / NOTIFICATION
Bu e-posta sadece yukarıda isimleri belirtilen kişiler arasında özel haberleşme 
amacını taşımaktadır. Size yanlışlıkla ulaşmışsa lütfen mesajı geri gönderiniz
 ve sisteminizden siliniz. Ela Quality Resort Hotel bu mesajın içeriği ile 
ilgili olarak hiçbir hukuksal sorumluluğu kabul etmez. 
This e-mail communication is intended for the private use of the persons named 
above. If you received this message in error,
 please immediately notify the sender and delete it from your system Ela 
Quality Resort Hotel does not accept legal responsibility for the contents