Pazartesi, 24 Temmuz 2017

WannaCry Fidye yazılımı nedir ve nasıl önlenir ?

Merhaba,

Cuma günü (12 Mayıs) fidye yazılımın yeni versiyonu çıktı. Bu versiyonda tek bilgisayara bulaşmış olsa da ağ üzerinden diğer bilgisayar için de tehdit oluşturuyor.

 

WannaCry isimli ransomware, esasen NSA(ABD Ulusal Güvenlik Ajansı) tarafından geliştirilen bir gizli Windows açığını kullanıyor. Geçtiğimiz aylarda bilinmeyen bir hacker grubu NSA’i hackleyerek NSA tarafından kullanılan güvenlik açıklarını sızdırdı(ShadowBroker NSA leak). Bu güvenlik açığı(CVE-2017-0145 ), Windows SMB protokolü üzerinden yetkisiz bir şekilde uzaktan zararlı kod çalıştırmaya yarıyor(Conficker’ın kullandığı açık gibi). Microsoft, 14 Mart tarihinde açığı kapatan bir güncelleme yayınladı. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 adresinden ayrıca ayrıntılı kaynaklar incelenebilir.

Nasıl önem alınır ?

  • Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayınız. Ayrıca bildiğiniz ve güvendiğiniz birinden gelen e-mail içerisinde beklemediğiniz ve talep etmemiş olduğunuz bir ek varsa açmamanızı öneriyoruz.
  • Kullandığınız Antiriviüs ürünü ve Virüs İmza Veritabanı Sürümünün en güncel sürümde olduğuna emin olunuz.
  • İşleri gereği sürekli farklı kişilerden e-posta alan iş arkadaşlarınızı uyarınız – örneğin muhasebe departmanları veya insan kaynakları departmanları.
  • Verilerinizi düzenli olarak yedekleyiniz. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır. Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırınız.  Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alınız.
  • Uzak Masaüstü Bağlantısı erişimini kapatınız veya kısıtlayınız.(bknz. Uzak Masaüstü Bağlantısı Protokolü üzerinden gelebilecek tehditlere karşı öneriler).
  • Microsoft Office içerisinden makroları devre dışı bırakınız.
  • Windows XP kullanıyorsanız, SMBv1 protokolünü devre dışı bırakınız.

Speaker and Author at @UnifyTurkiye. Interested in Microsoft @Azure, Cloud Technologys and Disaster Recovery. He is working ESET Turkey.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir