Wannacry Nedir ? Nasıl Korunmalı?

Sistemlerdeki önemli pek çok dosyayı şifreleyerek kullanılamaz hale getiren ve çoğu zaman çözücü şifreyi vermek için belirli ücret talep eden zararlı yazılım türlerine Ransomware demekteyiz. Yani bir nevi fidye yazılımı/zararlısı diyebiliriz. Ransomware ile şifrelenen dosyaların açılması yazılımın türüne, algoritmasına, nasıl yazıldığına göre değişmektedir.

Wanna Crypt0r Nedir?

Wanna Crypt0r bir Ransomware yani fidye yazılımıdır. Son günlerde gündeme lap diye oturmuştur ki hepimiz adına artık aşinayız. İngiltere’nin sağlık sistemini çökertmesi ile birden patlak verdi. Ve hızla yayılmakta. 150 ülke ve 250.000’den fazla bilgisayara yayılmış durumda. Daha da kötüsü Türkiye’de bu tehtit eşiğinin içerisinde yer alıyor. Sonrasında İspanya’nın dev telekomünikasyon şirketi olan Telefonica’ya verdiği önemli derecede hasar ile adını biraz daha duyurdu. Derken diğer ülkelerdeki fabrikaların üretimini etkilemesi, okulların eğitimini etkilemesi…

WannaCry Şifreleri Çözülebilir Mi?

Maalesef bu sorunun cevabı şimdilik hayır. Pek çok güvenlik araştırmacısının dikkati ve araştırmaları WannaCry üzerine çevrildi bile. Ancak şimdilik WannaCry’ın şifrelediği dosyaları çözmenin bir yolu yok. Maalesef beklemekten başka çare de yok.

Ne Kadar Ücret Talep Ediyorlar, Ödeme Nasıl Gerçekleşiyor?

Talep ettikleri ücret, zararlı bilgisayarınıza ilk bulaştığında 300$ değerinde Bitcoin. Gün geçtikçe istenilen ücrete faiz biniyor ve belli bir süre sonrasında da dosyalarınızın geri dönüştürülemeyecek bir biçimde silineceğini söylüyor zararlı bize.

Ödemeler size verilen Bitcoin Wallet’a yapılıyor ve belirtilen miktarın eşdeğeri kadar Bitcoin ile ödemeyi yapmanız isteniyor. Ödemelerde Bitcoin talep edilmesinin sebebi Bitcoin’in geride iz bırakmaması. Yani transfer işleminin takibinin neredeyse imkansız olması. Bakın imkansız değil fakat oldukça zor. Yüklü miktarda pek çok kişinin kısa süre içerisinde aynı Wallet’a Bitcoin aktarması takip işlemini kolaylaştıracağını düşünmekteyim.

WannaCry Hangi İşletim Sistemlerini Etkiliyor?

  • Windows XP
  • Microsoft Windows Vista SP2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2012 and R2
  • Windows Server 2016
  • Ve Daha Bilinmeyen Diğer Sistemler (Virüsün algoritması tam anlamıyla çözülemediğinden bu konu hakkında ne desek nafile aslında.)

Talep Edilen Parayı Ödemek Çözüm Mü?

Bunun hakkında ne çözüm demek ne de çözüm değil demek doğru olmaz. Ancak talep edilen parayı ödememek için size birkaç sebep sunayım. Öncelikle yapılan işten yola çıkacak olursak bu insanların pek iyi niyetli insanlar olduğunu söyleyemeyiz. Ve size hiçbir şekilde garanti sunamazlar. Siz ödemeyi yaptıktan sonra bu kişilere ulaşmanız da mümkün olmayacaktır. Yanlış hatırlamıyorsam daha öncelerde de CryptoLocker Ransomware’ından etkilenen bazı kişiler verilen fidyeyi ödeme yoluna gitmişlerdi ve sonucunda hem cepleri yanmıştı hemde dosyalarını kaybetmişlerdi.

WannaCry Hangi Dosyaları Şifreliyor?

WannaCry aşağıdaki uzatılara sahip sistemdeki bütün dosyaları şifreliyor.

Kod Satırı
1
<em>.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc</em>

WannaCry’dan Korunmak

Ransomware Bulaştı. Ne Yapabilirim?

Maalesef WannaCry sisteminize bulaştıktan sonra artık yapabileceğiniz bir şey yok. En azından şimdilik. Oturup beklemelisiniz ve güvenlik araştırmalarını yakından, eş zamanlı olarak takip etmelisiniz.

Bulaşmayı Engellemek ve Zararı En Aza İndirmek İçin Yapabilecekleriniz

  • ETERNALBLUE exploitinden korunmak için Microsoft’un yayınlamış olduğu MS17-010 güncelleştirmesini mutlaka yükleyin.
  • Düzenli olarak sisteminizin yedeğini alın. Herhangi bir bulaşma durumunda bu zararınızı en aza indirmenizde büyük bir etken olacaktır.
  • Sisteminizin yedeğini aldığınız cihazı sisteme ve mümkünse gerekmedikçe internete bağlı bulundurmayın.
  • Windows Defender yüklü ise Microsoft buna da bir güncelleme getirdi. Windows Defender’ınızın güncellemelerini gerçekleştirin. Ransom:Win32/WannaCrypt olarak tespit edilecektir.
  • Ücretsiz Malware analiz servislerinden olan Hybrid-Analysis’ın wannacry.exe yazılımını kullanabilirsiniz.
  • SMB v.1 DOUBLEPULSAR şuraya exploitinden sisteminizin etkilenip etkilenmediğini tıklayarak öğrenebilirsiniz.
  • Dışarıya açık UDP:137 ve UDP:138 ayrıca TCP:139 ve TCP:445 portlarını kapatabilirsiniz.

SMB v1.’i Kapatın

WannaCry zaten hali hazırda SMB v1’den kaynaklanan zaafiyeti kullanmakta. SMB v1 protokolünü kapatmanız gerçekten önemli. Bunu nasıl yapacağız? PoweShell’i Administrator olarak başlatmamız gerek. Bunun için izlenecek yol şu şekilde : Başlat > PowerShell > Sağ Tık > Yönetici Olarak Çalıştır. Karşımıza mavi bir ekran geldi. Aşağıdaki komutu çalıştırarak SMB v1’in ağınızda açık olup olmadığını kontrol edelim.

Kod Satırı
1
Get-SmbServerConfiguration

EnableSMB1Protocol‘ün karşısında True yazıyorsa aktif demektir sonraki adıma geçebiliriz. Yok False yazıyor ise buradan sonra yapacağınız birşey yok. True yazdığını var sayarsak aşağıdaki komutu çalıştırarak SMB v1’i kapatalım.

Kod Satırı
1
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Yapacağınız başka bir işlem yok SMB v1 protokolü kapanmış olacaktır. SMB v1 istemcisini de devre dışı bırakmakta fayda var bunu için de önce

Kod Satırı
1
<code>sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi</code>

hemen ardından

Kod Satırı
1
<code>sc.exe config mrxsmb10 start= disabled</code>

komutlarını çalıştırmanız yeterli olacaktır.

Linux Kullanmak WannaCry’dan Bizi Kurtarır Mı?

Pek çoğumuz tam olarak bu noktada yanılgıya düşmekteyiz. Evet Linux kullanmak WannaCry zararlısından bizi korur fakat bu ileriye yönelik bir koruma sağladığı anlamına kesinlikle gelmez. Kaldı ki The Shadow Brokers ekibinin GitHub’da Exploit listesini incelersek Linux’un bizi tamamen güvenli tutmadığı ve kesinlikle Linux kullanmanın ileriye yönelik tam anlamıyla bir çözüm sunmayacağını görürüz.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir