WannaCry Virüsü
Dünya genelinde 120’den fazla ülkede, 100.000’den fazla firmayı etkileyen global Fidye Saldırısı (Ramsomware) türevleri için aşağıda bahsedilen önlemleri almanız tavsiye edilmektedir.
WannaCry fidye zararlısı diğer şifreleme zararlıları gibi bilgisayarınızdaki dosyaları şifreleyerek ulaşılmaz hale getirip tekrar ulaşabilmeniz için de sizden fidye talep ediyor. Ancak WanaCry’ı diğerlerinden ayıran en önemli özelliği kendi kendine yayılması ve sizin herhangi bir linki ya da dosyayı açmanıza gerek duymadan yayılıp çalışabilmesi.
WannaCry fidye zararlısı (Wanna Decryptor) Windows SMB açıklığını istismar eden EternalBlue zararlısı kullanarak uzaktan yaması geçilmemiş Microsoft Windows işletim sistemi olan sistemlere sızarak zararlı kodunu çalıştırabiliyor.
Kod çalıştığında ise aynı ağda bulunan başka yaması geçilmemiş Windows işletim sistemlerine de hızlıca yayılmaya devam ediyor.
Dünya çapında hızla yayılan ve hastaneler dâhil birçok firmanın hafta sonu sistemlerini çalışmaz hale getiren zararlı ile ilgili ilk üç gün şunlar yaşandı;
1. Gün: 99 ülkeden 90.000 bilgisayara bulaştı.
2. Gün: Bir güvenlik araştırmacısı kodun içerisinde yayılmayı durdurmaya yönelik bir güvenlik önlemi alındığını fark etti. Var olmayan bir alan adını kontrol edip eğer alan adından cevap alırsa yayılmayı ve çalışmayı durduruyordu zararlı. Bu alan adı hemen satın alındı ve yayılması yavaşlatıldı. Bu esnada Microsoft destek süresi bitmiş Windows işletim sistemleri için de yama çıkarttı.
3. Gün: Bu güvenlik önlemi olmayan yeni sürümler çıktı ve yayılmaya devam etti.
WannaCry 2.0 hala yayılmaya devam ediyor.
Zararlılardan korunmak için yapılabilecekler ise;
•Her zaman güvenlik yamalarını zamanında uygulayın
•SMB zafiyetinin yamasını tüm sistemlere geçtiğinizden emin olun.
•SMB 1.0 / CIFS kapatın.
•Firewall üzerinden SMB portlarını kapatın (137,139, 445 TCP, 137, 138 UDP).
•Anti-Virüs kullanın ve güncel tutun.
•Eposta, web siteleri ve uygulamaları kontrollü kullanın.
•Önemli dosyalarınızın yedeğini alın.
•Bilinmeyen web sitelerine linkler üzerinden değil, sitelerin adları yazılarak girilmeli.
•Saldırıların bazıları yaygın olarak görülen zararlı dosya ekleri gibi oltalama (phishing) taktiklerini kullanmaktalar. Bu nedenle, tüm kullanıcılarımız güvenilmeyen veya bilinmeyen kaynaklardan gelen e-posta ve dokümanlara karşı dikkatli olmalılar.
•Mart 2017’de, bu saldırıların faydalandığı zafiyeti adresleyen bir güvenlik güncellemesi yayınladı. Böylece, Windows Update güncellemesi aktif olan tüm kullanıcılarımız bu zafiyeti kullanan saldırılara karşı koruma altına alındılar. Bu güvenlik güncellemesini henüz uygulamamış olan kullanıcılarımız Microsoft Security Bulletin MS17-010 güncellemesini yüklemeleri gerekmektedir.
•Windows Defender kullanmakta olan kullanıcılarımız için bu tehdidi Ransom:Win32/WannaCrypt olarak tespit eden bir güncelleme yayınlandı. Etkili koruma için ekstra bir önlem olarak, bilgisayarlarınızda kurulu olan antivirüs yazılımlarını güncellemenizi öneriyoruz.
•Bu saldırı zaman içinde gelişebileceği için, daha fazla koruma için kurumlara detaylı savunma stratejileri oluşturmalarını öneriyoruz. (Örneğin, SMBv1 attacks saldırılarından daha iyi korunmak için müşterilerimiz ağlarındaki eski protokolleri engellemeyi değerlendirebilirler).
Kullanıcılarımız herhangi bir olayla karşılaştıklarında “Olay_Bildirim_Formu” doldurulmalı ve Müdürlüğümüz Bilgi İşlem Birimi ile irtibata geçmelidirler.