Wanna Cry Nedir Nasıl Korunuruz? Wannacrypt Map Canlı Haritası


Wanna Cry Nedir?

Geçtiğimiz Cuma günü Rusya’dan başlayarak neredeyse tüm dünyayı tesiri altına alan Wanna Cry virüsünün üç günlük etkilediği bilgisayar sayısı 300 binden fazla. BBC‘ye konuşan MalwareTech rumuzlu 22 yaşındaki güvenlik araştırmacısı, işinden yedi gün izin aldığını fakat yayılan bu fidye yazılımını duyduktan sonrasında bilgisayarının başına geçip araştırma sonucu aldığını söylemiş oldu.
MalwareTech rumuzlu güvenlik araştırmacısı, uygulamanın kodlarına ulaşarak bir ”kapatma düğmesi” bulduğunu ve bunu harekete geçirdiğini belirtti: ”Aslına bakarsak kısmen talih eseriydi. Tüm gece uygulamayı incelemiş ve gözümü kırpmamıştım. Buluşumun arkasından yoğun ilgi gördüm. İznimi bu şekilde kullandığım için patronum bana yedi gün daha izin verdi”

 

Wanna Cry virüsünün her bilgisayara bulaştığında belirli bir web adresine bağlanmaya çalıştığını belirten MalwareTech, rastgele harflerden oluşan bu uzun adresin aslına bakarsak olmadığını fark etti. 10 dolara bu alan adını satın alarak gelecek bağlantılardan yola çıkarak virüsün kaç bilgisayara ve hangi ülkelere bağlandığını ortaya çıkarmak istedi fakat bu hamlesi beklenmedik bir halde yazılımın içindeki kodu tetikleyerek yayılmasını sonlandırdı.
”Kapatma düğmesi” olarak da adlandırılan bu kodlar, zararı dokunan yazılım yaratıcıları tarafınca ters bir durum olmasına karşı yazılımın yayılmasını engellemek için kullanılıyor. Ayrıca MalwareTech adlı kullanıcının bu buluşun yazılımın yayılmasını engellese de, bu virüsten etkilenmiş bilgisayarlar için çözüm deposu olarak görülmüyor. Araştırmacılar, bir sonraki fidye yazılımlarda bu ”kapatma düğmesi” kodunun olamayacağını tahmin ediyor.

Wanna Cry Virüsünden Nasıl Korunuruz?

1. Windows Update MS17-010

Windowsu Update edin. Virüs Mart ayında çıkan Microsoft güvenlik güncelleştirmesi MS17-010 tarafından kapatılan ETERNALBLUE exploit kullanıyor. Güncelleştirme merkezini bilgisayarınızda böyle bir güncelleme almış mı kontrol etmenizi öneririm (örneğin, Windows 7 için kod KB4012212 veya KB4012215 olacaktır).

Eğer güncellemeleriniz mevcut değilse Microsoftun sitesinden aşağıdaki linkten indirerek kurabilirsiniz:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Eski sürümler için (Windows XP, Windows Server 2003 R2), Microsoft özel yamalar çıkardı:

2. 135 ve 445 portunu kapatın
Antivirüs şirketlerinin raporlarına göre, wcrypt, bilgisayarları SMB (Sunucu İleti Bloğu) bağlantı noktalarına girer. Penetrasyonu önlemek için virüsün içeriye nüfuz ettiği 135 ve 445 numaralı bağlantı noktalarını engelleyin (çoğu durumda sıradan kullanıcılar tarafından kullanılmazlar).

Bunu yapmak için yönetici konsolunu “Admin modunda açın”  (cmd.exe -> run as administrator). aşağıdaki 2 kodu çalıştırın. (Her komuttan sonra “OK” yazısını görmelisiniz).

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=”Block_TCP-135″

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″
3. SMBv1 Desteğini Devre Dışı Bırakın 
Güvenlik açığı, SMBv1 desteğini tamamen devre dışı bırakarak kapatılabilir. Bu komutu cmd’de çalıştırın (yönetici olarak çalıştırın).

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Sistem Uzmanlarına Uyarı :

Tüm sunucuların sonra pc lerin en son updateleri aldığından emin olun,
Kullanıcıları turkcell, turktelekom, dhl vb. gibi firmalardan gelen maillere karşı uyanık olmalarını sağlayın, bilgilendirin.
Firewall daki dışarıdan olan erişimleri mümkün olduğu kadar statik bilinen işlerden gelenlerin girebileceği şekilde ayarlayın.
Rdp vs erişimi açıksa default port (3389) yerine farklı portlar kullanın.
Domain admin yetkisinde basit parolalı kimse olmadığını kontrol edin.
Gereksiz yere domain admin yetkisi olan kullanıcıların yetkisini alın.

 

Wannacrypt Map Canlı Haritası

Wannacrypt’ın canlı atak haritasını izlemek için aşağıdaki linke tıklayabilirsiniz.

Canlı Harita

 

Microsoft Bilgilendirme Makalesi

Geçtiğimiz gün dünyanın her yerinden pek çok müşterimiz ve kullanmakta oldukları kritik sistemler “WannaCrypt” isminde zararı olan yazılımdan etkilendi. Microsoft olarak hızla bu saldırıyı inceleyerek müşterilerimizi korumak suretiyle mümkün olan tüm önlemleri aldık. Bu blog yazısıyla tüm son kullanıcı ve kurumların bu saldırıdan korunmak için yapması gerekenleri paylaşıyoruz.

Ek olarak tüm müşterilerimizi korumak için beklenenin ötesinde bir adım atarak, hususi destek politikasına tabi olan Windows XP, Windows 8 ve Windows Server 2003 platformları için de bir güvenlik güncellemesi yayınlıyoruz.

İşte detaylar:

  • Mart 2017’de, bu saldırıların faydalanmış olduğu zafiyeti adresleyen bir güvenlik güncellemesi yayınladık. Böylece, Windows Update güncellemesi aktif olan tüm kullanıcılarımız bu zafiyeti kullanan saldırılara karşı koruma altına alındılar. Bu güvenlik güncellemesini henüz uygulamamış olan kurumların derhal Microsoft Security Bulletin MS17-010 güncellemesini dağıtmalarını öneriyoruz.
  • Windows Defender kullanmakta olan müşterilerimiz için bu tehdidi Ransom:Win32/WannaCrypt olarak tespit eden bir güncelleme yayınladık. Etkili koruma için extra bir tedbir olarak, bilgisayarlarınızda kurulu olan antivirüs yazılımlarını güncellemenizi öneriyoruz. Değişik bir güvenlik sağlayıcısının antivirüs çözümünü kullanmakta olan müşterilerimiz koruma altında olduklarını bu sağlayıcılarla teyit edebilirler.
  • Bu saldırı zaman içinde gelişebileceği için, daha çok koruma için kurumlara detaylı müdafa stratejileri oluşturmalarını öneriyoruz. (Mesela, SMBv1 attacks saldırılarından daha iyi korunmak için müşterilerimiz ağlarındaki eski protokolleri engellemeyi değerlendirebilirler).

Bazı müşterilerimizin artık Microsoft tarafınca desteklenmeyen Windows sürümlerini kullanmakta bulunduğunu biliyoruz. Bu müşterilerimiz Mart ayında yayınladığımız Güvenlik Güncellemesini alamadılar. Sadece, saldırıların potansiyel tesirini değerlendirerek Windows XP, Windows 8 ve Windows Server 2003 benzer biçimde bir tek özel destek politikasına tabi olan platformlarımız için de Güvenlik Güncellemesini yayınladık (indirmek için aşağıdaki bağlantılara göz atın). Bu karar, detaylı bir durum değerlendirmesinin arkasından tüm alan kişi ekosistemimizi koruma altına alma prensibiyle alındı.

Windows İşletim sisteminin desteklenen versiyonlarını kullanan müşterilerimiz (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016) için MS17-010 Güvenlik Güncellemesi Mart ayında gösterildi. Bu versiyonlarda otomatik güncellemeleri etken hale getirmiş olan yada güncellemeyi manuel olarak yükleyen müşterilerimiz koruma altındalar. Öteki müşterilerimizin mümkün olan en kısa süre içinde güncellemeyi yüklemelerini tavsiye ederiz.

Saldırıların bazıları yaygın olarak görülen zararı olan dosya ekleri benzer biçimde oltalama (phishing) taktiklerini kullanmaktalar. Bu yüzden, tüm alan kişi ve son kullanıcılarımız güvenilmeyen yada bilinmeyen kaynaklardan gelen e-posta ve dokümanlara karşı dikkatli olmalılar. Office 365 müşterilerimiz için devamlı olarak Ransom:Win32/WannaCrypt benzer biçimde tehditleri ekran ediyor ve koruma servislerimizi güncelliyoruz.

Bu zararı olan yazılım hakkında daha detaylı informasyon Windows Güvenlik Bloğundaki Microsoft Zararı dokunan Yazılım Koruma Merkezi’nde bulunuyor. Microsoft Zararı dokunan Yazılım Koruma Merkezi’ne yeni olanlar için, bu platform BT Güvenlik Uzmanlarının sistemlerini daha iyi koruyabilmelerine yönelik bilgiler sunma odaklı teknik münakaşa platformumuzdur.

Gelişmeler oldukça, müşterilerimizle beraber emek vererek daha çok destek sağlamak suretiyle bu blog yazısını güncelleyeceğiz.

Diğer kaynaklar:

İngilizce güvenlik güncellemelerini indirin: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86,Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86,Windows 8 x64

Lokal dillerdeki güvenlik güncellemelerini indirin: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Fidye yazılımlar hakkında genel bilgiler: https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

MS17-010 Güvenlik Güncellemesi: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Kaspersky Bilgilendirme Makalesi

12 mayıs tarihinde geniş kapsamlı bir fidye saldırısı yapılmış olup, dünyanın dört bir yanından kurumları etkisi altına almıştır. Kaspersky Lab mühendisleri, saldırıda kullanılan verileri analiz edip, ağırlıklı olarak Rusya olmak üzere en az 99 ülkede ortaya çıkan 100.000’den fazla saldırı girişimini teyit etmiş bulunmaktadır.

Fidye yazılımı kurbanlarını Microsoft Windows üzerinde yer alan ve şuan da Microsoft Security Bulletin MS17-010 yamasıyla düzeltilmiş olan bir açıktan faydalanarak etkilemektedir. “Eternal Blue” olarak bilinen bu açık, 14 nisan tarihinde Shadowbrokers dump’ında ortaya çıkarılmıştı.

Sisteme sızdıktan sonra, saldırganlar bir rootkit kurulumu gerçekleştirerek gerekli yazılımların indirilmesini sağlamakta ve bilgisayar üzerindeki verilerin şifrelenmesine sebep olmaktadır. Fidye olarak bitcoin ile $600 talep edilmektedir ve bu fidye miktarı belirli bir süre içerisinde artmaktadır.

Kaspersky Lab uzmanları, saldırıda kullanılan şifreleme algoritmasının kırılıp kırılamayacağını incelemektedirler ve buna bağlı olarak en kısa süre içerisinde bir decryption aracı geliştirmek adına çalışmaları devam sürdürmektedirler.

Kaspersky Lab çözümleri, saldırıda kullanılan zararlı yazılımların isimlerini alttaki listede bulunduğu şekliyle tespit etmiştir:

* Trojan-Ransom.Win32.Scatter.uf

* Trojan-Ransom.Win32.Scatter.tr

* Trojan-Ransom.Win32.Fury.fr

* Trojan-Ransom.Win32.Gen.djd

* Trojan-Ransom.Win32.Wanna.b

* Trojan-Ransom.Win32.Wanna.c

* Trojan-Ransom.Win32.Wanna.d

* Trojan-Ransom.Win32.Wanna.f

* Trojan-Ransom.Win32.Zapchast.i

* Trojan.Win64.EquationDrug.gen

* Trojan.Win32.Generic (System Watcher modülü açık olmalıdır)

Yayılma riskin azaltılması için aşağıdaki maddeleri gözden geçirmenizi öneriyoruz:

• Microsoft tarafından bu açığı kapatmak için yayınlanan yamaları yükleyin.
• Tüm ağda çalışan sistemlerde, güvenlik çözümlerinin açık olduğundan emin olun.
• Kaspersky Lab uygulamlarındaki System Watcher bileşenin açık olduğundan emin olun.
• Network Attack Blocker ve Firewall modüllerinin düzgün bir şekilde yapılandırıldığından emin olun.
• Sistemlerinizi güncelleyin ve Kritik alan tarama tasklarını çalıştırın.
• MEM: Trojan.Win64.EquationDrug.gen yazılımının tespit edilmesi durumunda ilgili yamaların kurulu olduğundan emin olun ve sonrasında sistemi yeniden başlatın.
• Daha ayrıntılı bilgi için blog yazısını inceleyin: Securelist.

Eğer Windows yamalarını yükleyecek bir altyapınız bulunmuyorsa, alttaki adımları uygulayarak Kaspersky Security Center üzerinden yamaları yükleyin:

1. Microsoft’un sitesinden açığa kapatan, işletim sisteminize uygun yamayı indirin:
https://technet.microsoft.com/library/security/MS17-010.aspx

Örneğin; Windows 7 x86 veya 64 için;

windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

2. Diskiniz üzerinde bir klasör oluşturun ve bu *.msu dosyalarını içine kopyalayın. Klasör ismi önem teşkil etmemektedir.

3. Aynı klasör içerisinde upd.bat isimli, aşağıdaki komutları içeren bir dosya oluşturun. (Notepad’ı açıp farkı kaydet seçeneği ile kaydederken ismini upd.bat ismiyle kaydettiğinizde, kaydettiğiniz dosya bat dosyası olarak oluşacaktır.)

wusa.exe windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu /quiet /warnrestart
wusa.exe windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu /quiet /warnrestart

Bu komutlar, güncelleme kurulumunu sessiz modda gerçekleştirecektir ancak yine de kurulum sonunda yeniden başlatma uyarısı verecek ve kullanıcının dosyalarını kaydetmesi için 1 dakika süre tanıyacaktır.

Lütfen yeniden başlatma sürecinin iptal edilemeyeceğini unutmayın. Eğer /warnrestart parametresi /forcerestart parametresiyle değiştirilse, yeniden başlatma derhal başlayacak, oturum üzerindeki tüm kaydedilmemiş çalışmalar silinecektir.

Sonuç olarak oluşturduğunuz klasörün içerisinde iki adet *.msu ve bir adet .bat uzantılı dosya olacaktır.

ÖNEMLİ: Eğer batch dosyası, hâlihazırda ilgili güncellemelerin bulunduğu sistemde çalıştırılırsa, kritik bir durum ortaya çıkmayacaktır.

4. KSC konsolunu açın ve Remote Installation> Installation Files bölümüne gelin ve bir kurulum paketi (installation package) oluşturun. Ortadaki seçenek ile devam ederek Upd.bat’ı gösterip “copy entire installation folder to installation package” seçeneğini de işaretleyerek kurulum paketini oluşturun. Böylece istemciye göndermiş olduğunuz upd dosyasıyla birlikte güncellemelerde kopyalanacaktır.

5. Kurulum paketi oluşturmak için işletim sistemi üzerinden bilgisayar seçimi oluşturmanız işinizi kolaylaştıracaktır. (bilgisayar seçimleri menüsünden herhangi bir grup seçip “install application ile kurulumu başlatın) Ya da yönetilen bilgisayarlarınız üzerinden, istediğiniz grup için kurulumu başlatın. Unutmayın ki KSC, güncellemenin kurulum aşamasını size göstermiyor olacaktır, ancak kurulum bir şekilde askıda kalırsa, 2 saat içerisinde görev sonlandırılacaktır.

6. Son olarak, support sayfamızda konuyla ilgili diğer çözüm adımlarına ulaşabilirsiniz:

http://support.kaspersky.com/general/products/13698#block0

System Watcher ile birlikte Network Attack Blocker modülünün açık olduğundan emin olmalısınız.

Bilgilendirme 1:

Size sunduğumuz yönergede, örnek olarak sadece iki dosya kullanılmıştır. Teorik olarak, tüm işletim sistemleri için güncelleme dosyaları indirilip, yukarıda bahsedildiği şekilde kurulum paketi hazırlanabilir. Sonuç olarak, ihtiyaçlarınız doğrultusunda tüm güncellemeler kurulmuş olacaktır. Eski işletim sistemleri için *.msu dosyaları yerine, *exe ya da *.msi dosyaları kullanılmaktadır.

Bilgilendirme 2:

x86 ve x64 mimarisine sahip işletim sistemleri için güncellemeleri ayırmak mümkündür. Bu durumda oluşabilecek paket büyüklliği ve ekstra bir trafiğin önüne geçilmiş olunur, ancak bunun için iki adet görev çalıştırılmalıdır. Eğer ortamınızda Update Agent kullanılıyor ise, bu paket öncelikle Update Agentlara, oradan ise istemcilerinize direk olarak ulaşırlar. Bu durum ayrıca kurulum sürecini hızlandırmaktadır.

Yorum

Giriş Yap

Parola Sıfırla

Back to
Giriş Yap