Cryptolocker Virüsü
-
sancaks bunu yazdı
ya bu tor la yapılan işlerde hiçmi ip izi falan kalmıyor..bu kadarmı başarılı bu tor (aynı olay başıma gelmişti)
Çok da başarılı olduğu söylenemez. bkz. "bad tor nodes"
-
444 bunu yazdı
Server'a (Server 2008R2) cryptolocker virüsü girmiş ve bazı klasörler içerisindeki dosyaları silmiş ve "message for you_.txt" dosyası oluşturup 290 $ -1 bitcoin (3 bitcoins) talep ediyor.
Haftalik yedekler oldugu icin onlari yukledim simdilik ama anlayamadigim olay şu,
1. Bu virus nasil bulaşmış olabilir, sadece dosya paylaşımı, netsis vs. gibi uygulamalar kullanılıyor. (Tüm güncellemeler alınmış ve antivirus olmasına rağmen) İlerisi için ne gibi önlemler alabilirim.
2. Bu virusun tamamen kaldırdığımdan nasıl emin olabilirim.
Şimdiden teşekkür ederim.
Bizim Server a da girdi nasıl girdiğini anlatayım;
Kullanıcının posta kutusuna turkcell(!) mail atıyor ve 262 TL lik faturayı görüntülemek için linke tıklayın diyor(normalde ekte ziple gelse direk siliniyor zaten)
Adamda sabahın verdiği güzellikle linke tıklıyor zipli dosyayı indiriyor ve içindeki exe yi açıyor sağolsun.
sonrasındada ofisin nas sunucusuna bulaşıyor çünkü; ortak klasörler sürücü olarak eklenmiş windowslara orayı piç ediyor ve bizim merkez ortağa giriyor.
orayı da piç etmeye başlarken bir arkadaşın dosyaları açamama uyarısı üzerine kontrol ettiğimde virüsü gördüm ve bütün bilgisayarları tedbir olarak kabattırdım(kapattırmasak merkez ortaktaki dosyaların ağzına sıçacaktı ve mecbur ödeme yapacaktık)
sonra ortak klasörleri kapattık tek tek bilgisayarları açıp virüslü olanı bulup temizledik parada vermedik 1 ay önceki yedeğe döndük.
-
RebelliouS_SouL bunu yazdı444 bunu yazdı
Server'a (Server 2008R2) cryptolocker virüsü girmiş ve bazı klasörler içerisindeki dosyaları silmiş ve "message for you_.txt" dosyası oluşturup 290 $ -1 bitcoin (3 bitcoins) talep ediyor.
Haftalik yedekler oldugu icin onlari yukledim simdilik ama anlayamadigim olay şu,
1. Bu virus nasil bulaşmış olabilir, sadece dosya paylaşımı, netsis vs. gibi uygulamalar kullanılıyor. (Tüm güncellemeler alınmış ve antivirus olmasına rağmen) İlerisi için ne gibi önlemler alabilirim.
2. Bu virusun tamamen kaldırdığımdan nasıl emin olabilirim.
Şimdiden teşekkür ederim.
Bizim Server a da girdi nasıl girdiğini anlatayım;
Kullanıcının posta kutusuna turkcell(!) mail atıyor ve 262 TL lik faturayı görüntülemek için linke tıklayın diyor(normalde ekte ziple gelse direk siliniyor zaten)
Adamda sabahın verdiği güzellikle linke tıklıyor zipli dosyayı indiriyor ve içindeki exe yi açıyor sağolsun.
sonrasındada ofisin nas sunucusuna bulaşıyor çünkü; ortak klasörler sürücü olarak eklenmiş windowslara orayı piç ediyor ve bizim merkez ortağa giriyor.
orayı da piç etmeye başlarken bir arkadaşın dosyaları açamama uyarısı üzerine kontrol ettiğimde virüsü gördüm ve bütün bilgisayarları tedbir olarak kabattırdım(kapattırmasak merkez ortaktaki dosyaların ağzına sıçacaktı ve mecbur ödeme yapacaktık)
sonra ortak klasörleri kapattık tek tek bilgisayarları açıp virüslü olanı bulup temizledik parada vermedik 1 ay önceki yedeğe döndük.
işin birde bok tarafı, shadowcopy'larida bozmus. shadowexplorer ile geride döndüremedim dosyaları.
-
Arkadaşlar merhaba,
Ben özel bir firmanın IT uzmanıyım. Dün şirket dışında destek verdiğim bi firmada tek bir pc ye bulaşmış. 1 saat kadar özel programlar ile uğraştım sonra ccne olan bir arkadaşımla konuyu paylaştım. Kendisi Avrupada bir çok firmaya destek veren biri. Kendisi vede benim kanaatim böyle bişeye yakalandığınızda kesinlikle uğraşıp çıkmaza girmenize gerek yok. Çünkü yapan arkadaş microsoftun kendi kriptolama yöntemi ile yapmış bu yüzden yaptığınız her hamle başarısın oluyor. Ama ufak bir çözüm söyleyeceğim. Eğer virüsü yediysenin ve bilgisayarı yeniden başlatmadıysanız hemen bilgisayarı kapatıp HDD sökün sonra onu başka bir bilgisayarda harici olarak gösterip outlook un psc sini alın eğer exel,world tarzı belgelerinizi daha önce birine gönderdiryseniz oradan ulaşabilirsiniz. Sonra bilgisayarınızı formatlayın. Kolay Gelsin.
-
Bu tür virüsler illaki bir linke yönlendirir bir dosya indirtir ve çalıştırır hardiskin bir yerine birşeyler yazar ben incelemedim ama belki kripto hash i bile diskte biryere yazmış olabilirler yada dışarıda bir sunucuya post ediyor olmaları lazım. Yani uzun lafın kısası sunucudan süpheli bir linke tıklanmadı yada bir dosya çalıştırılmadıysa manuel çalıştırılmış olabilir sistem domaine dahilse domainden çıkar, şifrelerini değiştir, FW ayarlarını gözden geçir varsa VPN şifrelerini de değiştir bu felaket başlangıç olabilir networündeki tüm sisteme dağılma olasılığı var.
tamamen kaldırıldığından hiçbir zaman emin olamazsın mümkünse yeniden kurmak en doğrusu.
-
Restore point varsa ona döndereceksin makinayı yoksa shadow explorer ile kurtarmayı deneyeceksin dosyaları. Yoksa gg.
Amk bir sike yaramayan antivirüsler sağolsun geçen bir tanıdığın makine yemiş Cryptowall 3.0. 2500 küsür kişi kayıtlı muhasebe veritabanını kriptolamış. Kurtaramadık, yapacak bir şey yok.
-
UTHO bunu yazdı
bu yöntemi deneyip başarılı olan oldu mu acaba?
-
comodo internet securty yi kuruyorsun hocam pc ye ağ savunmasından arp ve parçalı paketleri engelilyorsun işlem bitiyor exeyi tıklasanda açamıyorsun antiyi devre dışı bırak yine açamıyorsun. diyelimki virüs 2 sn öcne piyasa sürüldü bu programıda bilmediği için sandboxda çalıştırıyor yani ksıacası uğraşsanda imkanı yok bulaşmıyor :D. ben çok güvenli olmak istiyorum bu yetmez dersen comodoyu paranoik moda al gerisi tamamdır :D ,
https://blog.comodo.com/category/containment/
-
Bir arkadaş turkcell fatura şeklinde gelen mailden bahsetmiş. Maili alan kişinin turkcell faturalı kullandığını nerden biliyorlar peki?
-
literatur bunu yazdı
Bir arkadaş turkcell fatura şeklinde gelen mailden bahsetmiş. Maili alan kişinin turkcell faturalı kullandığını nerden biliyorlar peki?
sazan.avi