WannaCry Fidye Yazılım Saldırsı - Kayıp Rehberi

Berkan 2017-05-15 15:16:21 UTC #1

WannaCry nedir?

Nam-ı diğer WanaCryptor 2.0.

Microsoft Windows işletim sistemini hedefleyen bir fidye yazılım programıdır.

Eğer MacOS veya Linux kullanıyorsanız endişelenmenize gerek yok.

12 Mayıs Cuma günü

150 Ülkede 230 binden fazla bilgisayara bulaşmıştır. (Sayı sürekli değişmekte.)

Europol ne dedi

Saldırı Europol tarafından eşi benzeri görülmemiş şekilde tarif edildi.

BTK Başkanının bu konudaki tweeti

Saldırıdan Etkilenen Organizasyonlar

[details=Saldırıdan Etkilenen Organizasyonlar Listesi]* São Paulo Court of Justice

Vivo
Lakeridge Health
PetroChina
Public Security Bureau
Sun Yat-sen University
Instituto Nacional de Salud
Renault
Deutsche Bahn
Telenor Hungary
Andhra Pradesh Police
Dharmais Hospital
Harapan Kita Hospital
University of Milano-Bicocca
Q-Park
Portugal Telecom
Automobile Dacia
Ministry of Foreign Affairs
MegaFon
Ministry of Internal Affairs of the Russian Federation
Russian Railways
LATAM Airlines Group
Faculty Hospital, Nitra
Banco Bilbao Vizcaya Argentaria
Telefónica
Sandvik
Timrå kommun
Garena Blade and Soul
National Health Service
NHS Scotland
Nissan Motor Manufacturing UK
FedEx
Massachusetts Institute of Technology
Saudi Telecom Company
CJ CGV
Hitachi[/details]

WannaCry Fidye Yazılım nasıl işliyor?

Fidye mantığı nasıl ise öyle.

Yazılımın yüklendiği bilgisayar şifreleniyor (encrypted).

Ve karşımıza böyle bir pencere açılıyor.

İlk üç gün boyunca 300 doları olarak ödemeniz gerekiyor.

Ödemezsek 600 dolara yükseliyor.

Eğer 7 gün içerisinde ödeme yapılmazsa, dosyalarınızı geri getirme şansınız bir daha olmuyor.

Gerçekten parayı ödemeye gücü olmayanlar için 6 ay içinde ücretsiz günlerin olacağını da belirtiyorlar.

Bu kısmımda kafama takıl şey hani 7 günden sonra kurtarma şansımız olmuyordu?

Ödeme sadece bitcoin aracılığı ile yapılıyor.

Yukarıdaki resimde söylenenler bunlar

Format işlemiyor mu?

Virüsün girdiği bilgisayara format atılmadığı hakkında bir şeyler okudum ama ben buna katılmıyorum.

Uzmanim.net’ten buna şöyle güzel bir cevap verilmiş:

Wannarcry ile alakalı olarak @alattin şunları ifade ediyor:

“Wannacry diğer fidye virüslerinden farklı. Diğerleri dosyaları şifreledikten sonra etkisiz kalırken bu senin bilgisayarın üzerinden kendini bulaştıracak başka bilgisayarlar arıyor. Yani aktif kalıyor. Format ile elbette temizlenir. Format ile temizlenmeyen virüs yoktur. Elbette doğru şekilde atılırsa. Sen formatı virüslü kurulum medyası üzerinden yaparsan sonra formattan formatla bile virüs geçmedi dersin…”

GTA 5 yüklenmeyince format atan bir kişi için bu virüs çok anlam ifade etmeyebilir.

kaynak: https://uzmanim.net/soru/wannacry-format-ile-gecermi/78293

MalwareTech virüsün yayılmasını durdurdu

Genç adam önce yazılımın her bir bilgisayara girdiğinde bir internet adresiyle bağlantı kurmaya çalıştığını fark etti.

Ancak uzun isimli bu web sitesinin kaydı yoktu.

MalwareTech yaklaşık 10 dolara bu web sitesini satın aldı.

Sitenin sahibi olması ona, bilgisayarların bu siteye nereden bağlandığını görmesini sağladı ve bu da yazılımın ne kadar yayıldığına dair fikir verdi.

Bunu yaparken istemeden, yazılımın kodunun bir bölümünün harekete geçmesine neden oldu.

Bu kod türü, ‘öldürme anahtarı’ olarak bilinen cinstendi. Bazı siber saldırganlar bunu, bir şeyler kontrollerinden çıktığında yazılımlarının yayılmasını durdurmak için kullanıyor.

MalwareTech bunun kazara olduğunu belirtti, ancak bu virüsün yayılmasını bir süreliğine yavaşlattı.

MalwareTech, “Bunu durdurduk ancak yenisi gelecek. Onlar için kodu değiştirip yeniden başlatmak büyük uğraş değil” dedi.

kaynak: http://www.mynet.com/haber/dunya/ingilterede-22-yasindaki-blog-yazari-fidye-yazilimini-kazara-durdurdu-3040506-1

MalwareTech Saldırı Haritası

MalwareTech WannaCry Saldırı için bir saldırı haritası sitesi oluşturdu. Buradan saldırıların anlık olarak nerelere yapıldığını görüntüleyebilirsiniz.

https://intel.malwaretech.com/WannaCrypt.html

WannaCry Yazılımı hangi açığı kullanarak böyle bir şey yaptı?

EternalBlue

ABD Ulusal Güvenlik Ajansı (NSA) tarafından genel olarak geliştirildiğine inanılan bir yazılım.

Açık nerede?

Microsoft’un Sunucu Mesaj Bloğu - SMB

EternalBlue, Microsoft’un Sunucu Mesaj Bloğu (SMB) protokolünü uygulamasında bir güvenlik açığından yararlanıyor.

Bununla ilgili açıklama Shadow Brokers hacker grubu tarafından 14 Nisan 2017’de yayınlanmış.

Fakat bu açık

Güvenlik açığı, 14 Mart 2017’de Microsoft tarafından sağlanan güvenlik güncelleştirmesi (MS17-010) ile giderilmişti.

Birçok Windows kullanıcısı, bu güncellemeyi yapmadığından dolayı bu virüsün yayılmasına neden oldu.

WannaCry Fidye Yazılım Saldırsından Nasıl Korunabiliriz?

Güncel İşletim Sistemi

Windows 10 en son sürümünü kullanıyorsanız bu açığa karşı almış olabileceğiniz en iyi önlemi almış olursunuz.

Gerçekten önemli bilgileriniz olduğu bir bilgisayarda hala Windows 10 kullanmıyorsanız artık geçin bir zahmet.

Güncellemeleri de amaan ne güncellemesi bu demeyin yapın.

Güncellemeyi manuel olarak indirmek için

https://technet.microsoft.com/en-us/library/security/ms17-017.aspx

##SMP Kapatma

Yok ben güncelleme yapmam diyorsanız o zaman virüsün kullandığı açığı kapatalım.

1. Program ve Özelliklerini gidelim

2. SMB1.0/CIF Filse Sharing Support tiki kaldıralım

3. Bilgisayarı yeniden başlatalım.

kaynak: https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07

Command Line’dan Kapatma

CMD’yi yönetici olarak çalıştırmayı unutmayalım.

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Port kapatma yöntemi Port 135 ve 445

SMB kullandığı port numaralar 135 ve 445 bunları kapatarak da önlem alabiliriz.

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=“Block_TCP-135”

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=“Block_TCP-445”

kaynak: http://stackoverflow.com/a/43952061