Kullanıcıların cihazlarını kilitleyerek para karşılığında tekrar kullanıma açan Ransomware isimli zararlı yazılımı içeren sahte e-faturalarla, Türkiye’deki kurumlara yönelik yoğun bir siber saldırı başladı.
Bahsi geçen saldırı ilk olarak kullanıcıların cihazlarını ve dosyalarını kilitliyor, kullanıcı doğrudan aşağıdaki ekrana yönlendiriliyor: Ardından para karşılığında şifre çözme yazılımı satın alırlarsa bilgisayarlarının tekrar açılacağı iddia edilerek kullanıcıların sömürülmesi hedefliyor. Mevcut durumda Türkiye’deki birçok kurum bu saldırıdan etkilenmiş durumda.
anti spam gateway şart hocam. anti spamsız kurum bu devirde camı açık evden farksız bence.. cam açık olunca hırsızda girer içeri soysuzda..
Bilgilendirme için teşekkürler hocam.
Geçen çarşamba günü başımıza geldi. Öncelikle şunu söyleyeyim, Trend yada spam filter bir işe yaramaz. Zira bu virüs gibi değil. Güvenli bir eposta dan mail geliyor. Ortamda exchange varsa ki bizde var eposta güvenli olduğu için filtreden geçiriyor. Kullanıcı maildeki linke basarak faturayı görüntülemek istiyor. İşte zurnanın zırt dediği yer burası. Çünkü burada bir login ekranı değil bir doğrulama kodu ekranı çıkıyor. Kodu yazıp indir dediğiniz anda iş bitiyor zaten.
Yaptığı şey, o kullanıcının yetki alanında ne var ise her şeyi encrypt ediyor. Örnek, "firat.xlsx.encrypt" gibi. Siz uzantıyı silip eski haline getirseniz bile dosya açılmıyor haliyle. File server dizini bir path olarak tanımlı olduğu için oraya da uzanıp kendi yetkisi dahilindeki klasörün içini de encrypt etmiş.
File server daki dizini yedekten getirdik problem yok. Bilgisayarı sistem geri yükleme yaptık, regedit, vs.. gibi bulaşan yerler temizlendi. FAkat encrypt olan dosyalar kaldı tabi. Windows üzerinde VSS ile birgün önceki dosyaları da geri getirdim sorun çözüldü. Fakat bazı yerlerde VSS'i de bozduğunu okudum.
Dolayısıyla iş kullanıcının ne kadar bilinçli olduğuna kalıyor.
Anti spam tabii şartta, bizde Trend Micro'nun kendi antispami olduğu halde maalesef Cuma günü arkadaşın birisine bulaştı, çok can sıkıcı bir virüs, bir çok dosyanın uzantısını encrypted olarak değiştiriyor.
Bizde symantec antispam gateway ürünü ayrı symantec antivirus kullanıyoruz ama nafile.
Eset bile linklerin açılmasına izin vermez iken symantec bu noktada etkisiz kaldı.
Konuyu Türk Telekom'a ilettiğimizde bilgisayarlarınızı antivirüs uygulaması ile temizleyin cevabı oldu 🙂
Önlem adına en azından ilgili domainler bloklanabilirdi.
Zira bu domainler Rusya üzerinden alınmış.
Saygılarımla.
Merhaba
Anti spam gateway konusunda hangi ürün daha başarılı ? İnternette araştırdığımda Comodo Anti Spam Gateway öneriler arasında.
" COMODO ASG Cloud-Base (Bulut Tabanlı) bir servis olarak çalıştığı için kurulum ve kullanması gayet kolaydır. ASG ‘yi kullanmak için alan adınız/etki alanınızın DNS kayıtlarından MX kayıtlarını COMODO (SaaS –Software as Service) yönlendirmek yeterlidir. Bir elektronik posta işletme sunucusuna ulaşmadan önce ASG üzerinde kontrol edilir ve güvenli ise işletme sunucusuna ve kullanıcılarına yönlendirilir. "
Merhaba,
Hangi ürünü kullanıyorsunuz ?
Ben biraz araştırdım Comodo önerilmiş . Bulut Tabanlı ve etki alanınızın DNS kayıtlarından MX kayıtlarını COMODO (SaaS –Software as Service) yönlendirilmesiyle çalışıyor.
Bizim personelin bilgisayarına mail yolu ile bu crytolocker virüsü bulaştı. Peki bunun çözüm yolu nedir? Dosyaların tümü encrypted olarak şifrelenmiştir. Dosyaları mı nasıl geri getirebilirim ?
Özkan Bey ;
Bir tanıdığımın başına gelmişti. 2 gün uğraştı çözemediler, adamların istediği parayı bitcoin aracılığı ile vererek şifre çözücülerini aldılar. Haliyle dosyalarını kurtardılar.
İyi Geceler,
Son 2 gündür bizim firmada aynı şekilde mailler almaya başladık. Kullanıcılara uyarı mailleri attık. Bakalım inşallah kullanıcılar uyarılarıları dikkate alırlar. Bu tür sorunla bir arkadaşım karşılaşmıştı. Bayağı uğraştık ama malesef biz de çözemedik. Nas server'da ki tüm dosyalara bulaşmıştı bu virüs. Adamların istediği para verilerek sorunu çözmüşlerdi. Türk telekom da hiç bir şekilde yardımcı olmadı.
Teşekkür ederim Oğuzhan bey. Bi çaresine bakacağız artık yine de.
Paylaşım için teşekkürler.Bu durum başına gelen bir arkadaşım bile bu konuyu paylaşmış.
Teşekkürler
Bilgilendirme için Teşekkürler.
Arkadaslar kendiniz dahil kimseye admin yetkili bir kullanici ile oturum acmaya izin vermeyin yeterli.
virus admin hakkki olmayinca hic bir dosyaya zarar veremiyor . Bizzat test edilmistir.
saygilar ...
Bilgi için teşekkürler
Benim bir kullanıcım bu maili açtı, exe yi çalıştırdı ve kendi localinde, takılı olan flash diske ve map edilmiş server'a kadar girip şifreledi. Map edilmiş noktada Logo Go Plus vardı. Logo dizini içindeki tüm XML dosyalarını da şifreledi. Şu ana kadar benim gördüğüm şifrelenen dosya uzantıları; *.doc ve *.docx, *.xls ve *.xlsx, *.xml, *.jpg
Ben çözümü tüm *.zip formatlıların internetten download edilmesini engelleyerek buldum. İşi olan linkini bilgi işleme gönderiyor, ya geçici yetki veriyoruz ya da dosyayı download edip vediyoruz.
Hatta işleri sınırlı kullanıcı ile yapıp, gerektiğinde adminlik yapmak yerinde olacaktır. Küçük bir not...
bilgiler ve ayrıntılar için sağol..
En son yazı: Başka bir bilgisayarda İmap'tan Pop3'e cevirme islemi En yeni üye: akcan Aktif Konular Okunmamış Konular
