OLKANDO | Bilgi Teknolojileri Bloğu Gelişmekte olan Bilgi Teknolojileri dünyasında tecrübe edindiğim alanları not ettiğim blog sayfası. Dün gece itibariyle Türkiye’nin de arasında bulunduğu 74 ülkeyi etkilemiş bir saldırı türü. Cryptolocker familyasından özellikle Windows Server ailesini etkileyen casus bir yazılımdır.
WanaCrypt0r virüsü nedir ? Wannacry nedir?
Sisteminiz üzerindeki tüm dosyaları şifreleyerek 300-600$ karşılığında decrypt ücreti isteyen zararlı yazılımdır. WanaCrypt0r, ABD Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen bir sistem açığını kullandığını iddia ediliyor.
EternalSynergy, Windows 8 ve Windows Server 2012’de uzak SMB kapısı açarken EternalRomance, Windows XP, Vista, 7, 8 ve bunların sunucu sürümleri olan Server 2003 plus 2008 ve 2008 R2’de SMB1 açığından faydalanıyor. WanaCrypt0r için nasıl bir önlem almalıyız ?
Güncel olmayan Windows sistemlerinizde Microsoft dosya paylaşım servisi SMB için MS17-010 güncellemesi gerekmektedir.
https://support.microsoft.com/tr-tr/help/4013389/title
Microsoft firmasının yayınlamış olduğu güncelleme paketlerini buradan indirebilirsiniz: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215
https://www.usom.gov.tr/tehdit.html
Zararlı yazılım sistem üzerinde çalıştığında karşınıza çıkan fidye ekranı;
WanaCrypt0r – Fidye yazılımı nasıl çalışır ?
Dünya genelinde etkilenen ülkeler haritası;
WannaCrypt Saldırıları Hakkında Bilgilendirme
Mart 2017’de, bu saldırıların faydalandığı zafiyeti adresleyen bir güvenlik güncellemesi yayınladı Microsoft firması. Maalesef bu zararlı yazılımın, söz konusu güvenlik güncellemesini uygulamamış bilgisayarları etkilediği görülüyor. Bu nedenle tüm kullanıcılara, eğer daha önce yüklemedilerse, hemen MS17-010 güncellemesini yüklemelerini tavsiye ediyoruz.
Korunmak ve saldırıyı engellemek için adımlar:
- Windows 10’a geçin ve bilgisayarlarınızı güncel tutarak Windows 10’un en yeni güvenlik özelliklerinden ve proaktif koruma sistemlerinden faydalanın.
- Henüz MS17-010 güvenlik güncellemesini yüklememiş olan bütün müşterilerimizin mümkün olan en kısa sürede güncellemeyi kurumlarında dağıtmalarını tavsiye ediyorum. Güncellemeyi dağıtma sürecinde, saldırı alanını daraltmak için aşağıdaki iki geçici çözümü de kullanabilirsiniz:
- SMBv1 protokolünü bu makalede anlatıldığı ve daha önce tavsiye edildiği şekilde devre dışı bırakın (yeniden başlatma gerektirir).
- Yönlendirici veya Güvenlik Duvarı ayarlarınız için bir kural oluşturarak 445 çıkışına gelen SMB trafiğini engellemeyi değerlendirin.
- Windows Defender 1.243.297.0 güncellemesiyle bu saldırının kaynağı olan zararlı yazılımı Ransom:Win32/WannaCrypt olarak tespit ediyor. Kurumunuzda Windows Defender’ı aktive ederek bu saldırıdan korunabilirsiniz.
- Yapay zeka tabanlı yetenekleriyle fidye yazılımları taşıyan tehlikeli epostaları engelleyen Office 365 Advanced Threat Protection servisini kullanın.
- Ağınızdaki şüpheli aktiviteleri tespit etmenize olanak sağlayan Windows Defender Advanced Threat Protection servisini kullanın. Windows Defender Advanced Threat Protection – Fidye Yazılımlara Yanıt Verme Kılavuzu’nu indirin ve Windows Defender ATP kullanarak fidye yazılımları nasıl tespit edip, inceleyerek durdurabileceğinizi öğrenin.
- 6. Cihazları zararlı yazılımlara karşı kitlemek için Kernel seviyesinde sanallaştırma tabanlı güvenlik katmanı sağlayan Device Guard’ı kullanın ve bilgisayarlarınızda sadece güvenilen uygulamaların çalışmasına izin verin.
Bilgilendirme için teşekkürler
MacOS var huzur var 🙂