Dev WanaCryptor Saldırısından Nasıl Korunmalısınız?

Dünya çapında tehlikeli seviyede zarara yol açan WanaCryptor nasıl ortaya çıktı; ondan korunmak için ne yapmalısınız?

Dev Fidye Yazılımı Saldırısından Nasıl Korunmalı?

Eşine sıkça rastlamadığımız bir siber saldırı, geçen haftadan bu yana tüm dünyadaki birçok bilgisayarı etkiledi. WanaCrypt0r, Wcry, Wannacry gibi isimlerle anılan zararlının bu denli güçlü olmasının nedenlerinden biri, The Shadow Brokers adlı hacker grubunun ABD Ulusal Güvenlik Ajansı'nın (NSA) elindeki açıklardan birini geçen ay herkese açmış olması.

Son dönemde artan fidye yazılımlarının (ransomware) şekline bürünen zararlı, antivirüs geliştiricisi Avast'a göre en az 100 bin bilgisayarı etkiledi. Saldırı Türkiye'yi de etkilerken en çok Rusya, Ukrayna ve Tayvan'daki bilgisayarları çökertti. WanaCrypt0r bilgisayarınıza bulaştığında sizden 300 dolar talep ediyor ve şaşırtıcı biçimde bunu iki düzineden farklı dilde yapabiliyor.

Neler Oluyor?

WanaCrypt0r, sadece evde oturan kullanıcıların bilgisayarlarını değil, bankaların, hastanelerin, telekomünikasyon kurumlarının, elektrik santrallerinin ve diğer kritik birimlerin de işleyişini etkiledi. Sadece Birleşik Krallık'ta en az 40 Ulusal Sağlık Hizmeti, acil duruma geçti ve önemli ameliyatları iptal etti. Hasta güvenliğinin de gerilemesiyle zararlının ölümlere yol açtığı tahmin ediliyor.

İlk olarak Şubat 2017'de çıkan WanaCrypt0r'un ilk sürümü, bulaştığı dosyaların uzantısını .WNCRY olarak değiştiriyor, her dosyaya "WANACRY!" dizisini ekliyordu.

WanaCrypt0r, en çok Equation Group'la eşleştirilen bir açığın kullanıldığı bilgisayarlar arasında yayılıyor. Equation Group, NSA ile yakından ilişkilendirilen bir grup.

Yeni Açıklar

WanaCryptor 2.0, sızan SMB (Server Message Block, bir Windows ağ dosya paylaşım protokolü) açığını (EternalBlue) da kullanarak yanı başınızdaki bir bilgisayara sıçrayabiliyor. Bunun için eposta, bağlantı gönderme gibi yolları izlemeye ihtiyaç da duymuyor.

Bir başka NSA açığı olan DOUBLEPULSAR'ı da kullanan WanaCryptor, bu sayede uzaktan kötü amaçlı kod çalıştırabiliyor. Burada daha önce arka kapı yüklenen sistemler taranıyor ve bulunduğunda WanaCryptor yükleniyor. DOUBLEPULSAR arka kapısı bulunmazsa zararlı, ETERNALBLUE SMB açığına geri dönüş yapıyor.

Kritik Güvenlik Güncellemesi

NSA hack'leme araçlarının ortaya dökülmesinden ardından NSA'in sıfırıncı gün açıklarını kendi bünyesinde biriktirdiği gün gibi ortaya çıkmıştı. Böyle bir hareketin ne kadar büyük bir tehlike olabileceğini şimdi açıkça görüyoruz.

Microsoft, Eternalblue açığını rastlantı eseri Mart ayında, Shadow Brokers'ın etkili açıkları tamamen ortaya dökülmeden önce kapatmıştı. Saldırının doğası sayesinde bu açığın kullanıldığı anlaşılıyor. Yayılma hızına bakıldığında ise çok büyük sayıda kurumun kritik güncellemeyi, yayınlanmasının iki ay sonrasında bile yükleyemediği anlaşılıyor.

Sonuç olarak sorun yaşayan şirketler, başkalarını suçlama yoluna gidecekler. Peki parmaklar kimi gösterecek? Elbette birçok tehlikeli sıfırıncı gün açığını stoklayan NSA'i. Zararlının geliştiricileri, onu NSA'in açıklarıyla güncelleyerek etkili hale getirdiler.

Riskte misiniz?

Açık, SMBv1'i devre dışı bırakarak kapatılabiliyor. Bunu nasıl yapabileceğiniz, Microsoft tarafından burada detaylı olarak anlatılıyor. Buna ek olarak, sisteminizi normal bir biçimde güncelliyorsanız, bu saldırılardan direkt olarak etkilenme olasılığınız düşük.

Bundan Sonra Ne Olacak?

Temizlik süreci başlayacaklar ve sorundan etkilenen firmalar, veri ve finansal bakımdan kayıplarını hesaplayacaklar. Umarız ki yaşanan bu olay, firmaların artık güvenlik uygulamalarını gerçekten gözden geçirip güvenliği ciddiye almalarını ve kullanımı tehlikeli hale gelen Windows XP'yi bırakmalarını sağlar.

Zeynel A. Öztürk

Okuyucu Yorumları

Toplam 13 Yorum

apple iyice kaşınmış... karışmadığı bir virüs çeteleri kalmıştı... virüs apple tarafından sağlanmasa etkisi bu kadar olmazdı...

Her türlü zararlının reklam ağları üzerinden de bulaşabileceğini bilmelisiniz. Tehlikeli email'leri açmasanız da, tehlikeli sitelere girmeseniz de sisteminize zararlı yüklenebilir. Bu yüzden tarayıcılarınızı daima sandbox/container içinde çalıştırın ve reklamları mutlaka filtre edin! Opera entegre bir reklam filtreleyiciye sahiptir ve artık yeni Comodo Sandbox/Container ile de uyumlu bir tarayıcıdır. Opera'nın aynı zamanda entegre VPN'i de var. %100 güvenlik için mutlaka Restore Rx de kullanın!

@cleverman Apple bir virüs yaptı cleverman hala onu koruyorsun...

Genel: Comodo IS ve Restore Rx kullanın! Browser'ları ve mail istemcinizi daima container içinde çalıştırın! Ekleri sağ tıklayarak container içinde açın! Firewall'dan sadece bazı programların çıkışına izin verin! HIPS'ten tüm dosyaları değiştirilmeye karşı koruma altına alın! Container'ı son 6 saat içinde yüklenmiş tüm yürütülebilirleri otomatik olarak bloke edecek ve karantinaya alacak şekilde ayarlayın! WSH ve BitLocker'ı devredışı bırakın! Comodo Secure DNS kullanın! Reklamları bloke edin!..

Diğer taraftan okuyuculara şunu da belirtmek isterim: Administrator Hesabı yönetici hakları gerektiren işlemleri gerçekleştirmek için kullanılması gereken bir hesap türüdür. Günlük kullanıma uygun değildir. Günlük kullanıma uygun olan hesap türü Standart Kullanıcı Hesabıdır. Standart Kullanıcı Hesabı sizleri pek çok tehlikeden koruyan, extra güvenlik sağlayan bir hesap türüdür. Ben bile nadiren Administrator Hesabını kullanıyorum...

Her zaman ki söylediğimi tekrar söylüyorum: Büyük bir şirketim olsa, asla konvansiyonel yöntemler ile bir LAN oluşturmam. Kısaca dosyalar depolanır, yedeklenir, paylaşılır, şirketiçi mail'leşme, mesajlaşma, voip olur... ama asla uçbirimler Microsoft Çözümleri ile birbirine bağlı olmazlar. Farklı ve güvenli bağ politikaları kullanırım. Gördüğünüz gibi yamaların da faydası yok; çünkü birileri bir yerlerde açıkları depoluyor, gizliyor ve de kullanıyor. Yamalar her zaman cracker'ları takip eder...

XP ve W7'yi kimse bırakmaz bence. Önce maliyet, sonra güvenlik geliyor, sonra da uyumluluk problemleri dikkate alınıyor. Böyle bir ortamda kimse XP ve W7'den vazgeçmez....

Xp yi artık bırakın yeni windowslar alın operasyonu. Şu pardus geliştirilip resmi dairelerimizde kullanılmadıkça yakında herkesin e devletten battığının göstergesidir.

@16 Mayıs 2017 11:15 olay windows 10 dahil hepsini etkiliyor hala anlamadın mı?

Dünyada daha çok XP kullanıcısı olduğunu düşünürsek, olayın kime yarayacağı gayer ortada. The Microsoft. O

2 ay sonra denmiş ama afedersiniz de WUS server olmasına rağmen o güncelleme gelmemiş durumda manuel kurduk alay mı ediyorlar birde küfreder gibi

Bu saldırı(!) iddiasına dayanarak dünya genelindeki bir çok banka , siber saldırı var atm ve bankalarda işlem yapamıyoruz diyerek, mudilerinin rızası dışında geç ödediler halada bunu uzatmaya çalışıyorlar.Geç ödemenin bankalar ve sermayedarların kar oranlarına katkısını düşünen varmı.? Anti-virüs kullanmıyorum ve hiç kullanmadım, sözü edilen virüsü ben bulaştığını idaa eden kişiden ne yaptıysam kendime bulaştıramadım, dahası bulaşan arkadaşın makinasını temizlemem 15 dk mıı aldı programsız..

@16 Mayıs 2017 23:05 Zombi olmuşsun haberin yok.

Sen de yorum yaz


CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir