Kurumsal IT-Teknoloji Eğitimleri-Eğitim Takvimi

WannaCry Fidye Zararlısı Hakkında Bilmeniz Gerekenler

Mayısın ikinci haftasının sonunda ortaya çıkan ve sadece o hafta sonu yaklaşık 200.000 Windows bilgisayara bulaşan ve hızla yayılmaya devam eden WannaCry fidye zararlısını duymayan kalmadı herhalde.

WannaCry fidye zararlısı diğer şifreleme zararlıları gibi bilgisayarınızdaki dosyaları şifreleyerek ulaşılmaz hale getirip tekrar ulaşabilmeniz için de sizden fidye talep ediyor. Ancak WanaCry’ı diğerlerinden ayıran en önemli özelliği kendi kendine yayılması ve sizin herhangi bir linki ya da dosyayı açmanıza gerek duymadan yayılıp çalışabilmesi.

WannaCry fidye zararlısı (Wanna Decryptor) Windows SMB açıklığını istismar eden EternalBlue zararlısı kullanarak uzaktan yaması geçilmemiş Microsoft Windows işletim sistemi olan sistemlere sızarak zararlı kodunu çalıştırabiliyor.

Kod çalıştığında ise aynı ağda bulunan başka yaması geçilmemiş Windows işletim sistemlerine de hızlıca yayılmaya devam ediyor.

SMB zafiyeti ise Shadow Brokers grubunun NSA’in saldırı araçlarını ele geçirmesi ile kamuya duyurulmuş ve kötü niyetli yazılımların yazılmasına olanak tanıyor durumda.

Dünya çapında hızla yayılan ve hastaneler dâhil birçok firmanın hafta sonu sistemlerini çalışmaz hale getiren zararlı ile ilgili ilk üç gün şunlar yaşandı;

1. Gün: 99 ülkeden 90.000 bilgisayara bulaştı.

2. Gün: Bir güvenlik araştırmacısı kodun içerisinde yayılmayı durdurmaya yönelik bir güvenlik önlemi alındığını fark etti. Var olmayan bir alan adını kontrol edip eğer alan adından cevap alırsa yayılmayı ve çalışmayı durduruyordu zararlı. Bu alan adı hemen satın alındı ve yayılması yavaşlatıldı. Bu esnada Microsoft destek süresi bitmiş Windows işletim sistemleri için de yama çıkarttı.

3. Gün: Bu güvenlik önlemi olmayan yeni sürümler çıktı ve yayılmaya devam etti.

WannaCry 2.0 hala yayılmaya devam ediyor.

Zararlılardan korunmak için yapılabilecekler ise;

  • Her zaman güvenlik yamalarını zamanında uygulayın
  • SMB zafiyetinin yamasını tüm sistemlere geçtiğinizden emin olun.
  • SMB 1.0 / CIFS kapatın.
  • Firewall üzerinden SMB portlarını kapatın (137,139, 445 TCP, 137, 138 UDP)
  • Anti-Virüs kullanın ve güncel tutun
  • Eposta, web siteleri ve uygulamaları kontrollü kullanın
  • Önemli dosyalarınızın yedeğini alın

Dünya çapında bu kadar çok zarar veren zararlı saldırının düşündürücü paydaşları ise;

  • Bu tip büyük bir açığı gözden kaçırmış olan son kullanıcı işletim sistemlerinin büyük yüzdesinin üreticisi Microsoft
  • Bu zafiyeti bulup Microsoft’a haber vermeyen NSA
  • Bu ve benzeri birçok zafiyeti NSA’den çalıp kamuya duyuran Shadow Brokers grubu
  • Sistemlerini zamanında güncellemeyen ya da desteği bitmiş Windows sürümleri kullanan kullanıcılar ve şirketler