Selamlar

Şirket olarak aylar önce beş kullanıcımıza bulaşmıştı.

3 farklı versiyonu var

En son çıkan versiyon en sağlam olanı (adamlar oturmuşlar yazmışlar yani)

ne symantec endpoint ne trend micro office scan hiç bir şekilde yakalayamıyor. Konu yada ip bazlı spam filtresine sokamıyorsunuz, çünkü çok oynak. (yapan bunları hesaba katıp yazmış)

Bu işin babaları (symantec ve tredmicro'nun verdiği cevap gateway security appliance kullanmak) onlar öyle diyorlar ama bende 10.000 lerce $ verdiğinizle kalırsınız diye düşünüyorum.

 Bulaşanlar için tavsiyem

1- Safe mod la sistemi açın ve c:/program data/O (bu yoldaki tüm dosyaları silin yalnız dosyalar görebilmeniz için gizli dosyaları açmanız gerekiyor)

2- sytem restore  yapın sonrada shadow explorer kullanarak dosyalarınızı geri getirmeye çalışın (%60 şansınız var)

En sağlam yol ise şirket içinde 3-4 defa aynı bilgilendirme mailini atın (kullanıcılarınız bu oltaya gelmesin) Bu şekilde %95 korunma elde edebilirsiniz.

Bu arada virus; kullanıcı ister domain user, ister local admin olsun olmasın her türlü bulaşıyor.

Kendisi zaten  bir command-execution exploit (system haklarına sahip bir servis açığından faydalanarak local admin haklarına sahip oluyor) sonrasında da istediği gibi at koşturuyor.

Aksi halde zararlı kod program data' nın altına yazılamaz. 

Ne kadar hızlı şirket içi duyuru yaparsanız o kadar az zarar görürsünüz.

(diğer tavsiyem üst düzey yöneticileriniz hemen yedeklerini almanız) personel bir şekilde idare ediliyor ama üst düzey yöneticileri idare etmeniz çok zor olabilir. 

Ayni mail bana da geldi.. Comodo internet security pro vardı bilgisayarlarda korumayı sağladı... Virüsü blokladı.

Kaspersky pure de bu konuda çok başarılı.

 Tavsiye ederim. Norton, Eset, Mcafee başta olmak üzere çoğu virüs programları sınıfta kalır..

Selam

Bireysel olarak deneyeceğim teşekkürler.

Yaklaşık 50 gündür  bizde herhangi bir şikayet almadık. (Trendmicro Office Scan kullanıyoruz.) 

Ama yinede kullanıcıları uyarmakta fayda var. Çünkü geliştiren takım sürekli modifiye ederek ilerliyor. Farklı varyasyonları yakın zamanda olacaktır.

Bu problemi bir Clientta bizde yaşadık Symantec etkisiz kaldı.

Hocam ellerine sağlık paylaşımın için.

Ben 4 sene Trend Micro Kullandım ama son dönemde yaşadığım olay beni biraz soğuttu türk telekom virüsü 2 makineme girdi ve patlattı sadece makineleri değil ortak alanımı da patlattı bence istediğin kadar babalarını al genede nafile kalıyor. 

Sevgili arkadaşlar;

Spam filtrelerine takılmaması çok doğal çünkü mailler tamamen tertemiz domainlerden geliyor.

ikinci olarak;
bahsettiğimiz maille gelen sadece cryptolocker varyantı, ki bunun kuzenleri (cwall, tesla) maille de gelebilir, internette bir sitede dolaşırken de...

Bu durumda yapmanız gereken güvenlik yazılımlarından medet ummak değil, daha manual kontrollerdir.

örneğin; 

kullanıcıları user seviyesine çekin, %temp% , %appdata% dizinlerinden uygulama çalışmasını engelleyin ( exe, batch etc...)

Selamlar,

Standart Antispam çözümleri ile engelleme dediğiniz gibi mümkün değil. İlgili sahte fatura arka tarafta bir executable olduğundan ve 

antivirus database'inde olmadığından engelleme konusunda geç kalınıyor. Atağın amacı zaten antivirus teknolojisini devre dışı bırakmak olduğundan

hatta kodu geliştiren kişi bunun garantisini verdiğinden daha akıllı bir koruma gerekiyor. Sandbox teknolojisi bilinmeyen viruslere karşı daha akıllı koruma sağlıyor. Aşagidaki linki inceleyebilirsiniz

Selamlar,

Mail Gateway'i sandbox ile entegrasyonu bu noktada önerilmektedir. Mail gateway çözümleri Antispam ve Antivirus amaçlı tasarlanmıştır. Bunun yanında

True File Type dediğiniz dosya tipine bazlı kontroller, Reverse DNS kontrolü, Antispoofing, DHA atakları vb gibi saldırıları engeller. Şuanda karşılaştığımız

atak türü bunların ötesindedir. Bu sebeple Trend Micro Antivirus kullanıyorsanız En güncel versiyona geçmenizi öneriyoruz. Çünkü son yayınlanan yama yama ile beraber dosyaların şifrelenmesini engelleyen ve dosya bütünlüğünü kontrol eden özel bir servis client'larda çalışmaktadır. Bu servis dosyaların bozulan bütünlüklerini kontrol edip aksiyon alabilmektedir. 

 selamlar,

 Fidyecilik saldırılarında email ile sahte faturanın indirilmesini sağlayan link her saldırıda değişmekte. Zararlı bağlantıların takibini aşagidaki linkten yapabilirsiniz. Tabi USOM database'ine giren linkler şahıs ve kurumlar tarafından ihbar edilmekte. Dolayısıyla reaktif bir yapıdan bahsediyoruz.

 1- Kurum içinde  bir URL filterin çözümü kullanıyor ve kategorizasyonu yapılmamış URL adreslerini blokla gibi bir politika belirlediyseniz ilgili web adresine erişimi engelleyebilirsiniz.

2-   %appdata% folder 'ının altında Executable çalışmasın diyebilirsiniz

3- Kullanıcılarda uygulama kontrolü ile istenmeyen fidyecilik yazılımları bloklanabilir.

4- Yine Antivirus Yazılımlarıyla şuanda fidyecilik yazılımlarına karşı korumalar mevcuttur. ikinci gönderdiğim linkte detayları bulabilirsiniz.

   https://www.usom.gov.tr/zararli-baglantilar/1.html

   http://blog.trendmicro.com.tr/cryptolockera-trend-micro-officescan-ile-dur-deyin1/

Ben çözümü şöyle buldum.

Sıkıştırılmış dosya ekli gelen veya herhangi bir yerinde turkcell.vodafone,ptt,telekom,ttnet,dhl,tnt,ups ve buna benzer cryptolocker virüslerinin sık geldiği kelimeler bulunan emailleri bilgi işleme yönlendirdim. Böylece bu tip maillerin hepsi bilgi işleme gelip işe yarar olanlar ilgilisine yönlendiriliyor.

Tabii ki burada bilgi işlem personelimizin bilinçli ve hata yapmayacak olması önemli.

Arkadaslar panik yok oncelikle bircok saldiriyi en az zararla atlatabileceginizi soylemek isterim.

Onlem almadiginiz yerlere hemen fw guncelleyip guncel ise web filter i unratted seciyoruz Bu kadar basit (baskada yolu yok)

Eger musteride fw yok ise hemen bir fw aliyoruz ben genellikle fortigate kullaniyorum Yani olayi oncelikle gateway de cozmemiz gerekiyor.

Gateway disinda iceride sunuculari yedekleme uygulamasi kullaniyoruz mumkun ise katiksiz gunluk yedekleme ben acronis kullaniyorum su ana kadar tib dosyasina bulasabilen olmadi fakat artik bircok sıkıstırılmıs dosyayada ve kaliplarada bulasabiliyor microsoftunkiler dahil en kotu bir gun geriye sistemi universal restore edersiniz yada sadece partitionu.

Kullanicilarida uyardiktan sonra bu Isten siyrilmanin en mantikli yolu bu...

En kotu birgun geriye donersiniz ve sadece O gunku kayiplara uzulursunuz 

bu problemi yasayanlara cok gecmis olsun.

Sunuda eklemek istiyorum antispam olarakta simdiye kadar en iyi performansi eset vermistir tabi imkan ve butce  var ise fortimail VM  yoksa  eset anti spam onerilir.!!!

Bende size bu konuda Pitbull Gateway öneririm hiç bir yabancı kaynaklı spam politikasına tabi değildir kendi kuralları vardır ve asla dışarı zararlı içerik çıkmaz bu yüzden hiç bir yerden bloklanamaz, ayrıca 80 port mail ataklarıda anında yok etmektedir.

yabancı kaynaklı şirketlerin spam politikaları ülkemize çok ciddi zararlar vermektedir. Trendmicro yu tavsiye eden arkadaşa isterse sistem adminleri ile yaptığım görüşmeyi gönderebilirim. Blok liste aldığı ip nin spam göndermediğini belirttiğim halde keyfe keder bir cevap ile 2014 yılında posta göndermiş bu ip adresi diyip geçiştirmişti. Karşılıklılık ilkesi gereği yaptığım yaptırımda açmaları 5 dakikayı bulmadı.

Herkesin atladığı bir olaya değinmek isterim, bu konu altında yazan bazı arkadaşlar problemin antispam lar ile çözebileceğini belirtmiş, yanlız kimlik hacklemeye yönelik epostalar kesinlikle antivirüslere yakalanmamaktadır, malumunuz üzere antivirus yazılımları tanıdığı virüsleri silmektedir, tanımadıklarını içeri alır,. sistem yöneticisi olarak buna bir çok kez şahit oldum son olarak müşterimin makinasında eset kurulu olmasına rağmen virüs servis olarak makinasına yerleşmiş dışarı toplu olarak spam ve zararlı içerik çıkmaktaydı bu tip epostaları sunucu kaynaklı çözmek gerekmektedir.

Mail serverlar mta (mail transfer agent ) üzerine inşaa edilmiştir, günümüzde bir çok eposta sunucusu bir çok koruma özelliğine sahiptir, fakat bu korumaler limitlemeler fazlalaştıkça amacı dışına çıkmış ve bir çok hatalar vermiştir ve vermeye devam etmektedir. Dolayısı ile gatewayler bu yüzden inşaa edilmiştir ve tavsiye ederim kesinlikle.

bilgilendirme için teşkkürler

Bilgilendirme için çok teşekkürler hocam.

Elinize sağlık çok güzel paylaşım olmuş