Wannacry/wannacrypt Fidye Virüsü
Türkiye dahil 99 ülkede 100.000 üzerinde sisteme bulaşan WannaCry/WannaCrypt Fidye yazılımı CryptoLocker’da olduğu gibi spam e-postaların ekinde bulunan virüslü dosya ile ve internete açık RDP ler üzerinden yayılıyor. Farkı ise bir windows güvenlik açığını kullanarak bulunduğu ağdaki tüm makinelere kendini bulaştırabilmesi. Bu güvenlik açığı tüm Windows işletim sistemlerinde mevcut ve Microsoft güncelleme yayınladı.
Yapılabilecek en etkili 3 çözüm
- Windows update yapmak
- Bilgisayarımızda yok ise Üniversitemizin Lisanslı antivirüsü Kaspersky kurmak. http://lisans.mersin.edu.tr
- Bilmediğimiz kaynaktan gelen maillerin eklerini açmamak.
Detay Bilgi İsteyenler aşağıdaki yazıyı okuyabilir.
Fidye yazılımı kurbanlarını Microsoft Windows üzerinde yer alan ve şuan da Microsoft Security Bulletin MS17-010 yamasıyla düzeltilmiş olan bir açıktan faydalanarak etkilemektedir. "Eternal Blue" olarak bilinen bu açık, 14 nisan tarihinde Shadowbrokers dump'ında ortaya çıkarılmıştı.
Sisteme sızdıktan sonra, saldırganlar bir rootkit kurulumu gerçekleştirerek gerekli yazılımların indirilmesini sağlamakta ve bilgisayar üzerindeki verilerin şifrelenmesine sebep olmaktadır. Fidye olarak bitcoin ile $600 talep edilmektedir ve bu fidye miktarı belirli bir süre içerisinde artmaktadır.
Kaspersky Lab uzmanları, saldırıda kullanılan şifreleme algoritmasının kırılıp kırılamayacağını incelemektedirler ve buna bağlı olarak en kısa süre içerisinde bir decryption aracı geliştirmek adına çalışmaları devam sürdürmektedirler.
Kaspersky Lab çözümleri, saldırıda kullanılan zararlı yazılımların isimlerini alttaki listede bulunduğu şekliyle tespit etmiştir:
* Trojan-Ransom.Win32.Scatter.uf
* Trojan-Ransom.Win32.Scatter.tr
* Trojan-Ransom.Win32.Fury.fr
* Trojan-Ransom.Win32.Gen.djd
* Trojan-Ransom.Win32.Wanna.b
* Trojan-Ransom.Win32.Wanna.c
* Trojan-Ransom.Win32.Wanna.d
* Trojan-Ransom.Win32.Wanna.f
* Trojan-Ransom.Win32.Zapchast.i
* Trojan.Win64.EquationDrug.gen
* Trojan.Win32.Generic (System Watcher modülü açık olmalıdır)
Yayılma riskin azaltılması için aşağıdaki maddeleri gözden geçirmenizi öneriyoruz:
- Microsoft tarafından bu açığı kapatmak için yayınlanan yamaları yükleyin.
- Tüm ağda çalışan sistemlerde, güvenlik çözümlerinin açık olduğundan emin olun.
- Kaspersky Lab uygulamlarındaki System Watcher bileşenin açık olduğundan emin olun.
- Network Attack Blocker ve Firewall modüllerinin düzgün bir şekilde yapılandırıldığından emin olun.
- Sistemlerinizi güncelleyin ve Kritik alan tarama tasklarını çalıştırın.
- MEM: Trojan.Win64.EquationDrug.gen yazılımının tespit edilmesi durumunda ilgili yamaların kurulu olduğundan emin olun ve sonrasında sistemi yeniden başlatın.
- Daha ayrıntılı bilgi için blog yazısını inceleyin: Securelist.
Eğer Windows yamalarını yükleyecek bir altyapınız bulunmuyorsa, alttaki adımları uygulayarak Kaspersky Security Center üzerinden yamaları yükleyin:
1. Microsoft'un sitesinden açığa kapatan, işletim sisteminize uygun yamayı indirin:
https://technet.microsoft.com/library/security/MS17-010.aspx
Örneğin; Windows 7 x86 veya 64 için;
windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
2. Diskiniz üzerinde bir klasör oluşturun ve bu *.msu dosyalarını içine kopyalayın. Klasör ismi önem teşkil etmemektedir.
3. Aynı klasör içerisinde upd.bat isimli, aşağıdaki komutları içeren bir dosya oluşturun. (Notepad'ı açıp farkı kaydet seçeneği ile kaydederken ismini upd.bat ismiyle kaydettiğinizde, kaydettiğiniz dosya bat dosyası olarak oluşacaktır.)
wusa.exe windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu /quiet /warnrestart
wusa.exe windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu /quiet /warnrestart
Bu komutlar, güncelleme kurulumunu sessiz modda gerçekleştirecektir ancak yine de kurulum sonunda yeniden başlatma uyarısı verecek ve kullanıcının dosyalarını kaydetmesi için 1 dakika süre tanıyacaktır.
Lütfen yeniden başlatma sürecinin iptal edilemeyeceğini unutmayın. Eğer /warnrestart parametresi /forcerestart parametresiyle değiştirilse, yeniden başlatma derhal başlayacak, oturum üzerindeki tüm kaydedilmemiş çalışmalar silinecektir.
Sonuç olarak oluşturduğunuz klasörün içerisinde iki adet *.msu ve bir adet .bat uzantılı dosya olacaktır.
ÖNEMLİ: Eğer batch dosyası, hâlihazırda ilgili güncellemelerin bulunduğu sistemde çalıştırılırsa, kritik bir durum ortaya çıkmayacaktır.
4. KSC konsolunu açın ve Remote Installation> Installation Files bölümüne gelin ve bir kurulum paketi (installation package) oluşturun. Ortadaki seçenek ile devam ederek Upd.bat'ı gösterip "copy entire installation folder to installation package" seçeneğini de işaretleyerek kurulum paketini oluşturun. Böylece istemciye göndermiş olduğunuz upd dosyasıyla birlikte güncellemelerde kopyalanacaktır.
5. Kurulum paketi oluşturmak için işletim sistemi üzerinden bilgisayar seçimi oluşturmanız işinizi kolaylaştıracaktır. (bilgisayar seçimleri menüsünden herhangi bir grup seçip "install application ile kurulumu başlatın) Ya da yönetilen bilgisayarlarınız üzerinden, istediğiniz grup için kurulumu başlatın. Unutmayın ki KSC, güncellemenin kurulum aşamasını size göstermiyor olacaktır, ancak kurulum bir şekilde askıda kalırsa, 2 saat içerisinde görev sonlandırılacaktır.
6. Son olarak, support sayfamızda konuyla ilgili diğer çözüm adımlarına ulaşabilirsiniz:
http://support.kaspersky.com/general/products/13698#block0
System Watcher ile birlikte Network Attack Blocker modülünün açık olduğundan emin olmalısınız.
Bilgilendirme 1:
Size sunduğumuz yönergede, örnek olarak sadece iki dosya kullanılmıştır. Teorik olarak, tüm işletim sistemleri için güncelleme dosyaları indirilip, yukarıda bahsedildiği şekilde kurulum paketi hazırlanabilir. Sonuç olarak, ihtiyaçlarınız doğrultusunda tüm güncellemeler kurulmuş olacaktır. Eski işletim sistemleri için *.msu dosyaları yerine, *exe ya da *.msi dosyaları kullanılmaktadır.
Bilgilendirme 2:
x86 ve x64 mimarisine sahip işletim sistemleri için güncellemeleri ayırmak mümkündür. Bu durumda oluşabilecek paket büyüklliği ve ekstra bir trafiğin önüne geçilmiş olunur, ancak bunun için iki adet görev çalıştırılmalıdır. Eğer ortamınızda Update Agent kullanılıyor ise, bu paket öncelikle Update Agentlara, oradan ise istemcilerinize direk olarak ulaşırlar. Bu durum ayrıca kurulum sürecini hızlandırmaktadır.
- 2017-05-15 23:58:58
- 3428
Güncel Haberler
