Forum

Gandcrab ransomware...
 
Bildirimler
Hepsini Temizle

Gandcrab ransomware hk

yilmaz kara
(@yilmazkara)
Üye

Merhabalar vakti ile iş yerinde bir bilgisayarıma ransomware bulaştı diğer bilgisayarlara her hangi bir şey olmadı,

Firmada HyperV üzerinde DC File Server terminal server sunucularım var client lerde Domain ortamına katılmaktalar, Labris marka firewall ve Eset cloud securty antivirüs yazılımı var,

nslookup google.com veya facebook.com gibi bir çok dns çözümlemesi yaptığımda sürekli 185.53.177.30 lu ip geliyor ve bu ip adresi kontrol edildiğinde aşağıdaki linklerde zararlı bir yazılım olduğu tespit ettim, Network trafiğimizi dinliyor olabilir diye düşünüyorum,
Sorunlu olan client de Antivirüs taramasını hem eset ile hemde trend micro ile yaptım bir şey bulmadı,

DC ve DC ye bağlı olan tüm sunucu ve client lerimde bu sorun var,

https://otx.alienvault.com/indicator/ip/185.53.177.30
https://www.virustotal.com/gui/ip-address/185.53.177.30/detection
Gandcrab ransomware
https://blog.malwarebytes.com/detections/ransom-gandcrab/
https://www.malwarebytes.com/gandcrab/

https://otx.alienvault.com/pulse/5c583805d7c0781958cb0839

 

Bu zararlı yazılımın temizlenmesi konusunda desteğinizi rica ederim,

Alıntı
Konu başlatıcı Gönderildi : 09/01/2021 17:11
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Sizin için yorucu bir iş olur. Bütün cihazlarını baştan sona elden geçirmeniz gerekir. malwarebytes bu tip konularda genellikle iyidir. Alternatif antitroj larla sisteminizi elden geçirmeniz gerekir. AV üreticilerin buna yönelik decrpytper değilde remover uygulamaları varsa deneyin. ramsomware'in sürümleri ve farklı bulaşma klasörleri olduğu anlaşılıyor. Sunucu ve client'larda host dosyalarını kontrol edin. Çözümleme noktasında sorun olduğuna göre dns, host'lara odaklanmalısınız. firewall üzerinden tüm trafiği takip ederekte içerdeki kaynağı bulabilirsiniz.  Gerekirse tüm dış erişimlerinizi kapatıp kademeli açarak yol almalısınız. Bu sırada tor ve rdp erişimini olmamasına dikkat etmelisiniz.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 10/01/2021 01:43
yilmaz kara
(@yilmazkara)
Üye

@ibrahimyildiz merhabalar dc dahil tüm client lerde host dosyalarında bu ip adresi yok yani olması gerektiği gibi malwarebytes ile tarama yaptım hiç bir şey bulmadı ve bilgisayarlarda sunucum dahil hiç bir anormal durum yok lakin dns çözümlemesi yaptığımda sürekli bu ip çıkıyor, daha başka ne yapabilirim acaba

CevapAlıntı
Konu başlatıcı Gönderildi : 10/01/2021 18:18
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

DNS sunucusu üzerinde nslookup enter set type=A enter www.cozumpark.com sorgusunun çıktısı nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 11/01/2021 13:34
Paylaş: