Murat Kaya Bilgi Güvenliği Uzmanı Security is (may not)

Black | Gray | White

BİLGİ GÜVENLİĞİ UZMANI :: MURAT KAYA

BİLGİ GÜVENLİĞİ, YAZILIM GÜVENLİĞİ, SİSTEM GÜVENLİĞİ, FİZİKSEL GÜVENLİK, YASALAR VE KANUNLAR, GÜNCEL HABERLER

Ntvpara.com & Cnbce.com Path Information Disclosure Açığı

cnbce_path_disclosure

Detailed Error Information:

Module    RequestFilteringModule
Notification    BeginRequest
Handler    ExtensionlessUrlHandler-Integrated-4.0
Error Code    0x00000000
Requested URL    http://www.ntvpara.com:80/arama/haber/++
Physical Path    D:\Octopus\Applications\NTVPara-Production\Luanda.Web\1.0.5716.29234\arama\haber\++
Logon Method    Not yet determined
Logon User    Not yet determined

Turkcell Fatura Virüsü, PTT Kargo Virüsü, Cryptolocker, Ransomware Şifrelenmiş Dosyaları Kurtarma Seçenekleri

Merhaba,

Turkcell fatura virüsü ( cryptolocker/ransomware), ptt kargo takip virüsü gibi çeşitli zararlı yazılımlardan etkilenmiş bir çok kişiden çözüm olup olmadığına dair mailler alıyorum. Üzülerek söylemeleyim ki henüz bu versiyon için bir çözüm yok. Geçen seneki Cryptolocker için ( 2014) Fireeye tarafından biz çözüm sunuldu ama şu an ki versiyonların çözümü malesef henüz yayınlanmadı. Bu kırılamayacağı anlamına gelmiyor fakat siz bu süreçte neler yapabilirsiniz onları yazmak istedim.

CryptoLocker ve Ransomware ile Dosyalarınız Şifrelendi ise Kurtarma Seçenekleri;

İlk yapılması gerekenler:

  • Virüs bulaşmış bilgisayarı network ortamından ayırın.
  • Ağdaki herkesin erişimine açık olan ( Everyone) tam yetkili ( Yazma/Okuma) tüm paylaşımları durdurun.Ek olarak paylaşmış olduğunuz dosyalara o anda kimler erişmiş, ne kadar süredir erişimde veya hangi dosyalarınıza erişiyor gibi bilgileri File Sharing Management Console (fsmgmt.msc) ile görebilirsiniz;

Konsola erişmek için aşağıdaki gibi çalıştır kısmından arayıp çalıştırdıktan sonra;

restore_cryptolocker_files7

gelen ekrandan aşağıdaki gibi tüm paylaşımları görebilirsiniz.

restore_cryptolocker_files6

  • Paylaşımları kapattıktan sonra, tüm önemli dosyalarınızın yedeğini alın. Şifreli olanları ayrı bir yedek şifrelenmemiş olanları ayrı bir yedek olarak tutun. İleride bu versiyon içinde bir çözüm çıkarsa eski dosyalarınız kurtarma şansınız olur.
  • Sisteme format atıp yeniden kurma şansınız yok ise güncel bir anti-virüs programı ile sistemi tam olarak taratın, imkanınız var ise mutlaka formatlayıp yeniden kurun.

Dosya Kurtarma Seçenekleri

  1. Backup programları kullanıyor iseniz önceki bir tarihe geri dönerek dosyalarınızı kurtarabilirsiniz :) Ama eminimki yok o yüzden şu an bu yazıyı okuyorsunuz.
  2. Backup programı yok ise Windows’un ShadowCopy özelliği aktif ise ( Restore Point veya Geri Yükleme Noktası) dosyalarınızı kurtarma şansınız var;

a) Bunun için öncelikle virüs ile şifrelenmiş dosyalarınızın olduğu dizinde sağ tıklayarak Properties ( Özellikler) seçeneğine tıklayın

restore_cryptolocker_files2

b) Açılan pencereden “Previous Versions” veya “Önceki Versiyonlar” seçeneğinde o klasördeki yedeklenmiş dosyalarınız görebilirsiniz ( Bulunduğunuz sürücüde Restore Point aktif ise)

restore_cryptolocker_files1

Benim D sürücümde bu özellik aktif değil o yüzden boş ama aktif olsaydı aşağıdaki gibi olacaktı:

restore_cryptolocker_files3

3. ShadowExplorer adlı program ile şansınızı deneyebilirsiniz. Bu programda ShadowCopy özelliğinden faydalanarak yedeklerden dosya kurtarmanızı sağlar:

restore_cryptolocker_files8

Şimdilik bu kadar, umarım kısa zamanda bir çözüm bulunur ( ya da buluruz) ve paylaşırız.

Not: Crypto ransomware dosyalarınızı silip yenisini yazmaz, mevcut dosyanızın içeriğini değiştirir, bu yüzden de disk üzerinden kurtama yazılımları pe bir işe yaramaz.(EasyRecover vs). Ama siz yine de deneyin.

PowerShell Kullanarak BAT Dosyası İçerisinden Parametrik Klasör ve Dosya İzin İşlemleri

Selamlar,

Dışarıdan parametre alabilen BAT dosyası içerisinde PowerShell scripti yazarak klasör ve dosya izinlerini basit bir şekilde halledebilirsiniz.

Burada önemli olan tüm komutun tek bir satırda olması veya her bir komutun “;” işareti ile sonlandırılması.

Scriptin en sonunda ise yine “;” işareti ile kapatmamız gerekiyor.

Bat Dosyası İçeriği :

—-CUT HERE —–

REM Access.bat doyası içerisinde powershell script çalıştırma

@echo off

powershell.exe -Command “$folder =’%1′;$group =%2;$permission =’%3′;$type =’%4′;$acl = Get-Acl $folder;$rowperm = $group , $permission,’ContainerInherit,ObjectInherit’,’None’, $type;$rule =New-Object System.Security.AccessControl.FileSystemAccessRule($rowperm);$acl.SetAccessRule($rule);$acl | Set-Acl $folder;”;

— CUT HERE —-

Örnek Çalıştırma Biçimi:

Access.bat “Klasör” “Erişim Grubu” “Erişim Tipi” “Obje Erişim Biçimi ACE Type)

C:\>access.bat “C:\OrnekFolder” “‘NT AUTHORITY\NetworkService'” “FullControl” “Allow”

Bu şekilde otomatik olarak klasörlerin yetkilerini ayarlayabilirsiniz.

 

Yeni bir cryptolocker saldırısı [email protected] adresinden yayılmaya çalışıyor.

Bugün gelen bir mail ve içeriği aşağıdaki gibi ;

This message has been processed by Symantec AntiVirus.

Invoice_#_112536427-�ceme�mpxd.doc was infected with the malicious virus W97M.Downloader and has been deleted because the file cannot be cleaned.

 

E-posta içerisinde 7KB’lik bir ek ile geliyor. Bu ek içerisidne bir takım bilgielr var. asıl virüslü dosya ise Symantec A.V. ile silinmiş.

Ekli dosya içeriği:

You had received the payment order !

Received at: Tue, 28 Jul 2015 17:30:39 +0200.

Amount of sheets: 8.

Mailer Identification: 1919467222858671.

Dispatch number: 112536427.

Please note that attached is copy of the first page alone.

We will dispatch the hard copies to You at the address mentioned earlier.

İlgili domain hali hazırda mahkeme kararı ile engellenmiş durumda;

www.li.com

 

 

 

 

 

Adobe Flash Uygulamasındaki 0-Day Açıklarından Ötürü Firefox Flash Eklentilerini Blokladı

Son zamanlarda Adobe Flash’ta bulunan 0-Day (sıfırıncı gün) açıklarından ötürü Firefox flash uygulamalarının çalıştırılmasını engellemeye başladı. Geçen haftalarda hacklenen #HackingTeam arşivlerinden tespit edilen açıklar çok kritik seviyede görülüyor. Flash uygulaması olan sitelere girildiğinde aşağıdaki gibi bir ekran ile firefox kullanıclarını uyarıyor. Firefox bu konuda başarsını yine göstermiş durumda. Diğer browserlerdan da benzeri bir aksiyon bekleniyor.

Benzer şekilde Java uygulamasında da bir açık bulundu Firefox’un Java uygulamalarını da engelleyip engellemeyeceğini ilerleyen zamanda göreceğiz sanırım.

adobe_flash_blocked_firefox