Author Topic: Cryptolocker Saldırı Dalgası Hk.  (Read 2306 times)

Offline SARTEK

  • Moderator
  • Comodo Family Member
  • *****
  • Posts: 89
  • Security Operations Analyst
    • Comodo Turkey
Cryptolocker Saldırı Dalgası Hk.
« on: July 03, 2015, 01:14:59 AM »
Merhabalar,
Son 48 saat içerisinde Türkiye kullanıcılarına yoğun bir şekilde yemleme yöntemiyle yeni bir Cryptolocker zararlısı saldırı dalgası başlamıştır.  İlgili sahte URL adreslerini, IP bloklarını ve ekran görüntülerini aşağıda bilgilerinize sunarım.
İlgili zararlı; Otomatik Malware Analiz sistemimize ve Comodo Forum adresine eklenmiştir.

Yeni başlayan saldırıdan bu yana tespit edilen sahte URL adresleri;

xxxx://turkcell1.com/f7a9qs7o.php?id=bmF6QGdva2NlLmF2LnRy
xxxx://iturkcell.net/u9j7rphw.php?id=Z29ya2VtLmdva2NlQGdva2NlLmF2LnRy
xxxx://turkcell24.net/klqxm94b.php?id=a3VicmEuY2VsaWtAaGl0aXRndW1ydWsuY29t
xxxx://turkcell-efatura.com/dbnugka.php?id=Ym9yYUBnb2tjZS5hdi50cg==
xxxx://companytutorial.com
xxxx://mycapitalinbox.net
xxxx://e-turkcell.net
xxxx://turkcell1.com
xxxx://iturkcell.net
xxxx://turkcell-efatura.com
xxxx://turkcell24.net
xxxx://turkcell-odeme.net
xxxx://firsttutorial.net
xxxx://listmail-guru.com 
xxxx://turkcell24.org
xxxx://letterbusiness.com
xxxx://business-letterpro.com (Sahte faturada mevcut olan linkler "gossipball.com/system/log" adresine gitmektedir.)


Bu adresler her yeni yemleme e-posta saldırısından sonra muhtemel değişecek gibi görünmektedir. Bu zamana kadar sahte URL adreslerinin barındırdığı sunucuların IP blokları; 146.185.249.0, 188.225.78.229, 188.225.79.0 (Rusya), 185.31.208.243 (Almanya) ve 78.24.217.179 (Belçika)'dır. Zararlı dosya Yandex Disk'de barındırılıyor ve zararlı dosyanın varyantı belirli aralıklarla değiştirilmektedir.

Domain Bilgileri:
Domain Name: TURKCELL1.COM
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
Sponsoring Registrar IANA ID: 1606
Whois Server: whois.reg.ru
Referral URL: http://www.reg.ru
Name Server: NS1.REG.RU
Name Server: NS2.REG.RU
Updated Date: 25-jun-2015
Creation Date: 25-jun-2015
Expiration Date: 25-jun-2016

Domain Name: turkcell-odeme.com
Domain idn name: turkcell-odeme.com
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Registry Domain ID:
Registrar WHOIS Server: whois.reg.ru
Registrar URL: https://www.reg.com/
Registrar URL: https://www.reg.ru/
Registrar URL: https://www.reg.ua/
Updated Date: 2015-06-29
Creation Date: 2015-06-29T14:29:47Z
Registrar Registration Expiration Date: 2016-06-29

DİKKAT! Zararlıyı analiz etmek için indirme link adresi: https://mega(dot)co(dot)nz/#!AdBTXLzC!QbwLbxshHZTeuCwwy2S5o7KS6wkYT9bn-Q76kKKvCKE [Not: (dot) olan kısımları silerek nokta yazmanız gerekmektedir.]

Saygılarımla,
Sarpkan TEKALEV
Technical Support Specialist
GeekBuddy Ankara

Offline BuketB

  • Comodo's Hero
  • *****
  • Posts: 898
Re: Cryptolocker Saldırı Dalgası Hk.
« Reply #1 on: July 03, 2015, 01:40:26 AM »
Sarpkan Merhaba,

Bilgi için çok teşekkür ederiz.  :-TU

İyi çalışmalar
Buket

Offline yigido

  • Malware Research Group
  • Comodo's Hero
  • *****
  • Posts: 5689
  • COMODO Rocks!
    • Free Comodo Products!
Re: Cryptolocker Saldırı Dalgası Hk.
« Reply #2 on: July 03, 2015, 04:42:22 AM »
Merhaba,

Buket hanım aşağıdaki bilgileri uzman arkadaşlara iletirseniz sevinirim. Konuda bahsedilen zararlı yazılım hakkında.


(İtalyan proksi kullanarak giriş yapın aksi alde sayfalar Google adresine yönlendiriyor!)
hxxp://sdawebportal.com/rmye9z4c.php?id=YXNzaXN0ZW56YUB2aXJpdHByby5jb20=
hxxp://sdaweb2.com/dc3sk2dg.php?id=Z3Zpc2VudGluQHNhbnRhbmRlcnBiLml0
hxxp://servise.com.ua/system/logs/IdTrRM.php?
hxxp://grijasklima.com/system/logs/9wpPTW8EatY.php?

C&C
kergoned.net
projawor.net
driblokan.net
klixoprend.com
imkosan.net
krusperon.net
COMODO Cloud Antivirus
Firefox Quantum
Encrypt the web! Use HTTPS Everywhere..
Block spying ads and invisible trackers! Use Privacy Badger..

Offline BuketB

  • Comodo's Hero
  • *****
  • Posts: 898
Re: Cryptolocker Saldırı Dalgası Hk.
« Reply #3 on: July 03, 2015, 04:43:32 AM »
Tamamdır Yigido, çok teşekkürler!  :-TU :)

Offline SARTEK

  • Moderator
  • Comodo Family Member
  • *****
  • Posts: 89
  • Security Operations Analyst
    • Comodo Turkey
Re: Cryptolocker Saldırı Dalgası Hk.
« Reply #4 on: July 04, 2015, 09:11:20 PM »
Merhaba,

Buket hanım aşağıdaki bilgileri uzman arkadaşlara iletirseniz sevinirim. Konuda bahsedilen zararlı yazılım hakkında.


(İtalyan proksi kullanarak giriş yapın aksi alde sayfalar Google adresine yönlendiriyor!)
hxxp://sdawebportal.com/rmye9z4c.php?id=YXNzaXN0ZW56YUB2aXJpdHByby5jb20=
hxxp://sdaweb2.com/dc3sk2dg.php?id=Z3Zpc2VudGluQHNhbnRhbmRlcnBiLml0
hxxp://servise.com.ua/system/logs/IdTrRM.php?
hxxp://grijasklima.com/system/logs/9wpPTW8EatY.php?

C&C
kergoned.net
projawor.net
driblokan.net
klixoprend.com
imkosan.net
krusperon.net

Merhaba Yigido,
İlgili paylaşımın için teşekkür ederiz.  :-TU Konu takibimizdedir.  8)
İyi günler dileriz.

Offline SARTEK

  • Moderator
  • Comodo Family Member
  • *****
  • Posts: 89
  • Security Operations Analyst
    • Comodo Turkey
Re: Cryptolocker Saldırı Dalgası Hk.
« Reply #5 on: July 21, 2015, 02:04:14 AM »
Cryptolocker Zararlısı Yeni Atak Adresleri:

tool-business.com          37.230.118.59
ufuk[at]deliverymailwizard.com
turkcell24.org
turkcell1.net
turkcell1.com
turkcell-efatura.com
wizardmaildelivery.com , 185.31.210.0 /24  (E-postaların gönderildiği domain ve sunucu IP bilgisi)
turkcell-24.com, turkcellservis.net ( Bu adresler sahte fatura indirilmesi için kullanılıyor, zip’li dosya downloader.disk.yandex.com üzerinden indiriliyor.)

Saygılarımla,
Sarpkan TEKALEV
Technical Support Specialist
GeekBuddy Ankara



 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek