WannaCry Nedir , Nasıl Engellenir?

irfanCyberoam, Güvenlik, Microsoft, Sophos0 Yorum14 Mayıs 2017

Cryptolocker ve benzeri fidye yazılımı özelliklerini içinde barındıran WannaCry şifreleyici ve kilitleyici olmak üzere iki farklı versiyonu içerisinde barındırarak hem bilgisayarımızda ki dosyaları şifreliyor hemde bilgisayarımızı kilitleyerek kullanılmak hale getiriyor.

Bu virüsten kurtulmak için makalenin devamında uzmanlar tarafından tavsiye edilen yöntemleri uygulayabilir, Sophos endpoint ve Intercept X ile sistem koruması sağlayabilirsiniz.

Sophos Intercept X ve Endpoint ürünleri için www.sigmateknoloji.com.tr adresinden gerekli bilgileri edinebilirsiniz.

Uzmanlar tarafından yapılan açıklamalara göre: Mümkün olan en kısa sürede bir şifre çözme aracı geliştirmek adına, saldırı esnasında şifrelenerek kilitlenen verileri deşifre etmenin mümkün olup olmadığını tespit etme çalışmalarına devam ediliyor. Söz konusu saldırıda kullanılan zararlı yazılım aşağıdaki isimlerle saptamakta:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (Sistem İzleyici bileşeni etkin olmalıdır)

Microsoft, Windows XP, Vista, Windows 8, Server 2003 ve 2008 Editions dahil olmak üzere Windows’un artık desteklenmeyen tüm sürümleri için “çok acil” durumuyla güvenlik güncellemesi yayınladı.

Kişisel bilgisayarlar olsun veya iş yerindeki bilgisayarlar olsun, herhangi bir nedenden dolayı Windows XP veya Vista’la (Diğer desteklenmeyen Windows sistemleriyle) çalışan bilgisayarlar için Microsoft’un acil güvenlik güncellemesinin yüklenmesi gerekiyor. Bu güncellemeyi indirip, yüklemeniz gerektiğini şiddetle size tavsiye ederiz.

WanaCpt0r, WCry veya WannaCrypt olarak da bilinen WannaCry, daha önce Microsoft tarafından mart ayında düzeltilen bir Windows SMB (Server Message Block – MS17-010) açığından yararlanan bir fidye yazılımı.

WannaCry’ın kısa süre içinde dünya çapında bu kadar zararlı olmasının nedeni, önemli sayıda kullanıcının mart ayında çıkan düzeltmeyi (MS17-010) yüklememesi ve desteğin kesilmiş olduğu eski Windows sürümlerinin halen kullanılmasından dolayı kaynaklanıyor.

Microsoft, WannaCry’la ilgili olarak şu açıklamayı yaptı:

“WannaCry tarafından kullanılan exploit kodu yalnızca Windows 7 ve Windows Server 2008 (Veya daha önceki sürümler) sistemlerine karşı çalışacak şekilde tasarlandırığından Windows 10 yüklü bilgisayarınız bu saldırıdan etkinlenmez.”

Bu virüs bilgisayara bulaştığında WannaCry sistem kontrolünü geri vermek için 300 dolarlık bitcoin ödemesi yapmasını istiyor. Ancak ödeme yapılsa bile dosyaların geri getirilmesinin garantisi yok.

SMB açığından yararlanıyor

Geçtiğimiz nisan ayında SMB açığı EternalBlue olarak tanımlanmıştı. NSA’nın bu konuda parmağı olduğu ve hack araçları oluşturduğu iddia edildi. The Shadow Brokers isimli hacker grubu söz konusu hack araçlarını NSA’dan çaldığını iddia etmiş ve araçları yayınlamıştı.

WannaCry, 114 binden fazla bilgisayara bulaşmış görünüyor. Sadece birkaç saat içinde tarihin en büyük fidyecilik yazılımı enfeksiyonu haline geldi.

WannaCry’dan korunmak için ne yapılması gerekiyor?

Uzmanlar tarafından yayınlan bildiride Güvenlik duvarınız üzerinden aşağıdaki ipleri engelleyerek işe başlamanızda fayda var.

188.166.23.127:443
193.23.244.244:443
2.3.69.201:9001
146.0.32.144:9001
50.7.161.218:9001
217.79.179.77
128.31.0.39
213.61.66.116
212.47.232.237
81.30.158.223
79.172.193.32
89.45.235.21
38.229.72.16
188.138.33.220

Sisteminizi güncel tutun: Her şeyden önce desteklenen ama eski bir Windows sürümünü kullanıyorsanız sisteminizi güncel tutun veya Windows 10’a geçin.

Desteklenmeyen eski Windows sürümleri: Windows XP, Vista, Server 2003 veya 2008 dahil olmak üzere desteklenmeyen sürüm kullanıyorsanız, Microsoft tarafından yayınlanan acil güncellemeyi yükleyin! Sakın bu güncelleyi ihmal etmeyin!

Güvenlik duvarını etkinleştirin: Güvenlik duvarınızı aktif edin ve güvenlik duvarı yapılandırmalarını şebeke veya internet üzerinden SMB bağlantı noktalarına erişimi engellemek için değiştirin.

SMB’yi devredışı bırakma: Server Message Block’u kısaca SMB’yi devre dışı bırakmak için Microsoft tarafından açıklanan adımları izleyin.

Antivirüs yazılımını güncelleyin: Antivirüs yazılımları bu son tehdide karşı korunmak için daha önceden güncellenmişti.

Düzenli yedekleme: Önemli dosyalarınızı ve belgelerinizi bilgisayara bağlı olmayan harici bir depolama biriminde yedekleyin. Bu kuralı her zaman yapmanız ve alışkanlık haline getirmeniz sizin için iyi olur.

Kimlik avına (Phishing) dikkat edin: Davetsiz dosyalar, eklentiler e-posta ile gönderilir. Kaynağını doğrulamadıkça bu e-postalardaki dosyaları indirmeyin, bağlantılara tıklamayın.

  • Saldırıda kullanılan güvenlik açığını kapatmak üzere Microsoft’un sunduğu resmi yamayı yükleyin
  • Tüm ağ düğümlerinde güvenlik güvenlik çözümlerinin aktif olduğundan emin olun
  • Anti virüs çözümü kullanılıyorsa, davranışsal proaktif bir tespit bileşeni olan Sistem İzleyici modülünü içerdiğinden ve çalışır halde olduğundan emin olun
  • Söz konusu zararlı yazılımı en kısa sürede tespit etmek için Anti virüs yazılımlardaki Kritik Alan Taraması’nı çalıştırın (aksi halde 24 saat içerisinde otomatik olarak tespit edilecektir)
  • MEM: Trojan.Win64.EquationDrug.gen’i saptadıktan sonra sistemi yeniden başlatın
  • Müşteriye Özel Tehdit İstihbaratı Raporlaması hizmetlerini kullanın
Etiketler: , , , ,

Sponsor Reklam Sponsor Reklam Sponsor Reklam Sponsor Reklam
Cyberoam Captive Portal Kaldırma

Cyberoam Captive Portal Kaldırma

Merhaba ; Googlede Cyberoam ile ilgili kelimeleri ararken en çok

irfan8 Yorum17 Aralık 2015
Cyberoam SSL VPN Kurulumu

Cyberoam SSL VPN Kurulumu

Merhaba ; Cyberoam güvenlik duvarının en çok tercih edilme nedenlerinden

irfan7 Yorum7 Mayıs 2015
Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam Transparent Authentication Suite (CTAS) :  Şeffaf kimlik doğrulama sistemi

irfan6 Yorum31 Mayıs 2015
Cyberoam DHCP Kuralı Oluşturma

Cyberoam DHCP Kuralı Oluşturma

Merhaba ; Bu makalemizde güvenlik duvarı üzerinde dhcp oluşturmayı elimden

irfan5 Yorum23 Nisan 2015
Cyberoam Log Viewer Nedir?

Cyberoam Log Viewer Nedir?

Cyberoam Firewall bir çok işlemi yönetim panelinden extra bir cihaz

irfan4 Yorum3 Ekim 2015
WannaCry Nedir , Nasıl Engellenir?

WannaCry Nedir , Nasıl Engellenir?

Cryptolocker ve benzeri fidye yazılımı özelliklerini içinde barındıran WannaCry şifreleyici

irfan0 Yorum14 Mayıs 2017
Cyberoam ile  DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam ile DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam güvenlik duvarının en önemli modüllerinden birisi olan IPS modülü

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği kişi ve kurumları ilgilendirdiği kadar yasal zorunlulukları

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği Nedir

Kurumsal Bilgi Güvenliği Nedir

Son zamanlarda sıkça karşımıza çıkan Bilgi güvenliği , kişisel verileri

irfan0 Yorum27 Mart 2017
Sophos Intercept X (Anti Fidye Yazılımı)

Sophos Intercept X (Anti Fidye Yazılımı)

Sophos tarafından yeni nesil uç nokta güvenlik çözümü olarak geliştirilen Intercept

irfan0 Yorum17 Ekim 2016
Sera Sistemleri
Merhaba, Faydalı bir bilgi paylaşımı olmuş. İşime yaradı. Teşekkürler. İyi çalışmalar
Ayna
Makaleniz için teşekkür ederim, çok faydalı bilgiler teşkler.
irfan
Merhaba , Hattınızda Load Balance varsa bu söylemiş olduğunuz sitelere girişlerde sorun yaratabilir.Eğer hatta load balance yoksa sorun…
cemal
Merhaba, Kurumumuzda server alt yapısında cyberoam firewall bulunmaktadır. Fakat bundan 2 3ay öncesine kadar biruni.tuik.gov.tr ve 2…
irfan
Merhaba ; Active directory üzerindeki kullanıcıların logon ve logoff bilgilerini firewallun çekebilmesi için control panali/administary tools/ local security policy/…

Sponsonr Reklamlar