Wannacry Nedir & Nasıl Korunuruz?

0
287

Son zamanlarda sıkça adını duyduğumuz Wanna Cryptor 2.0 Ransomware nedir, ne değildir ve elimizden geldiğince nasıl korunuruz şöyle bi toparlayalım istedim. Pek çok yalan yanlış bilgi ve söylemler havada uçuşmakta. Bunları güzelce derlemek lazım. Hiç oyalanmadan başlayalım yolumuz uzun.

WannaCry’ı Tanıyalım

Ransomware Nedir?

Sistemlerdeki önemli pek çok dosyayı şifreleyerek kullanılamaz hale getiren ve çoğu zaman çözücü şifreyi vermek için belirli ücret talep eden zararlı yazılım türlerine Ransomware demekteyiz. Yani bir nevi fidye yazılımı/zararlısı diyebiliriz. Ransomware ile şifrelenen dosyaların açılması yazılımın türüne, algoritmasına, nasıl yazıldığına göre değişmektedir.

Wanna Crypt0r Nedir?

Wanna Crypt0r bir Ransomware yani fidye yazılımıdır. Son günlerde gündeme lap diye oturmuştur ki hepimiz adına artık aşinayız. İngiltere’nin sağlık sistemini çökertmesi ile birden patlak verdi. Ve hızla yayılmakta. 150 ülke ve 250.000’den fazla bilgisayara yayılmış durumda. Daha da kötüsü Türkiye’de bu tehtit eşiğinin içerisinde yer alıyor. Sonrasında İspanya’nın dev telekomünikasyon şirketi olan Telefonica’ya verdiği önemli derecede hasar ile adını biraz daha duyurdu. Derken diğer ülkelerdeki fabrikaların üretimini etkilemesi, okulların eğitimini etkilemesi…

WannaCry’dan Etkilenen Bir Demiryolu İşletmesi

Wanna Crypt0r Nasıl Çalışıyor, Diğer Ransomware’lardan Farkı Ne?

İşte asıl olay bu noktada başlıyor. Wanna Crpt0r’un diğer ransomwarelardan farklı olmasının en büyük sebebi herhangi bir linke tıklamanıza, e-mail hesabı açmanıza, birşeyler indirmenize gerek yok bulaşması için. NSA (Amerika Ulusal Güvenlik Ajansı) tarafından geçtiğimiz aylarda yazılan ve The Shadow Broker adındaki tabiri caizse siyah şapkalı hacker grubunun yayınladığı ETERNALBLUE exploitinden yararlanıyor zararlımız. Yani Windows işletim sistemlerindeki SMB v.1 (Server Message Block) protokolünde bulunan bir zaafiyetten yararlanıyor. Dahası kendisine müdahale edilmesini engelliyor. Yani internete bağlı olan, Windows’un daha önce yayınladığı MS17-010 güncellemesini yüklememiş olan bütün bilgisayarlar WannaCry’ın hedefi halinde. Ayrıca bir ağdaki bir bilgisayara bulaştıktan sonra zararlının diğer bilgisayarlara bulaşması çokta uzun sürmüyor. WannaCry’ın bir bilgisayardaki dosyaları şifrelemesi yaklaşık olarak 40 saniyesini alıyor. İngiliz sağlık sistemini çökertmesi hemen hemen 6 saatini almış olmalı ki buda oldukça kısa bir süreden bahsediyoruz. WannaCry’ın nasıl çalıştığını daha iyi anlamak için aşağıdaki görseli inceleyebilirsiniz.

WannaCry Execution Flow

WannaCry Şifreleri Çözülebilir Mi?

Maalesef bu sorunun cevabı şimdilik hayır. Pek çok güvenlik araştırmacısının dikkati ve araştırmaları WannaCry üzerine çevrildi bile. Ancak şimdilik WannaCry’ın şifrelediği dosyaları çözmenin bir yolu yok. Maalesef beklemekten başka çare de yok.

Ne Kadar Ücret Talep Ediyorlar, Ödeme Nasıl Gerçekleşiyor?

Talep ettikleri ücret, zararlı bilgisayarınıza ilk bulaştığında 300$ değerinde Bitcoin. Gün geçtikçe istenilen ücrete faiz biniyor ve belli bir süre sonrasında da dosyalarınızın geri dönüştürülemeyecek bir biçimde silineceğini söylüyor zararlı bize.

WannaCry’ın Talep Ettiği Ücret, Faiz ve Dosyaların Yok Edileceğine Dair Ekran

Ödemeler size verilen Bitcoin Wallet’a yapılıyor ve belirtilen miktarın eşdeğeri kadar Bitcoin ile ödemeyi yapmanız isteniyor. Ödemelerde Bitcoin talep edilmesinin sebebi Bitcoin’in geride iz bırakmaması. Yani transfer işleminin takibinin neredeyse imkansız olması. Bakın imkansız değil fakat oldukça zor. Yüklü miktarda pek çok kişinin kısa süre içerisinde aynı Wallet’a Bitcoin aktarması takip işlemini kolaylaştıracağını düşünmekteyim.

WannaCry Hangi İşletim Sistemlerini Etkiliyor?

  • Windows XP
  • Microsoft Windows Vista SP2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2012 and R2
  • Windows Server 2016

Talep Edilen Parayı Ödemek Çözüm Mü?

Bunun hakkında ne çözüm demek ne de çözüm değil demek doğru olmaz. Ancak talep edilen parayı ödememek için size birkaç sebep sunayım. Öncelikle yapılan işten yola çıkacak olursak bu insanların pek iyi niyetli insanlar olduğunu söyleyemeyiz. Ve size hiçbir şekilde garanti sunamazlar. Siz ödemeyi yaptıktan sonra bu kişilere ulaşmanız da mümkün olmayacaktır. Yanlış hatırlamıyorsam daha öncelerde de CryptoLocker Ransomware’ından etkilenen bazı kişiler verilen fidyeyi ödeme yoluna gitmişlerdi ve sonucunda hem cepleri yanmıştı hemde dosyalarını kaybetmişlerdi.

 

WannaCry’ın Yayıldığı Ülkeleri Gösteren Harita

WannaCry’ın Arkasında Lazarus Group Mu Var?

Öncelikle biraz Lazarus Group’tan bahsedelim. Aslında Ay Yıldız Tim, Cyber-Warrior Tim gibi bir aktivist etnik hack ekibi düşünün. İşte Lazarus Group tam olarak bu. Verdiğim örneklere aldanılmasın Lazarus Group bir Türk hacker ekibi değil. Google güvenlik araştırmacılarından bir kişi geçtiğimiz günlerden WannaCry ile Lazarus arasındaki ilişki ile ilgili bir Tweet paylaştı.

WannaCry ile Lazarus Arasındaki İlişki

Ayrıca güvenlik firması Kaspersky Lab ve Symantec’te WannaCry’ın Lazarus Group arasındaki ilişkiyi anlatan açıklamalarda bulundu.

WannaCry Hangi Dosyaları Şifreliyor?

WannaCry aşağıdaki uzatılara sahip sistemdeki bütün dosyaları şifreliyor.

<em>.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc</em>

 

WannaCry’dan Korunmak

Ransomware Bulaştı. Ne Yapabilirim?

Maalesef WannaCry sisteminize bulaştıktan sonra artık yapabileceğiniz bir şey yok. En azından şimdilik. Oturup beklemelisiniz ve güvenlik araştırmalarını yakından, eş zamanlı olarak takip etmelisiniz.

Bulaşmayı Engellemek ve Zararı En Aza İndirmek İçin Yapabilecekleriniz

  • ETERNALBLUE exploitinden korunmak için Microsoft’un yayınlamış olduğu MS17-010 güncelleştirmesini mutlaka yükleyin.
  • Düzenli olarak sisteminizin yedeğini alın. Herhangi bir bulaşma durumunda bu zararınızı en aza indirmenizde büyük bir etken olacaktır.
  • Sisteminizin yedeğini aldığınız cihazı sisteme ve mümkünse gerekmedikçe internete bağlı bulundurmayın.
  • Windows Defender yüklü ise Microsoft buna da bir güncelleme getirdi. Windows Defender’ınızın güncellemelerini gerçekleştirin. Ransom:Win32/WannaCrypt olarak tespit edilecektir.
  • Ücretsiz Malware analiz servislerinden olan Hybrid-Analysis’ın wannacry.exe yazılımını kullanabilirsiniz.
  • SMB v.1 DOUBLEPULSAR şuraya exploitinden sisteminizin etkilenip etkilenmediğini tıklayarak öğrenebilirsiniz.
  • Dışarıya açık UDP:137 ve UDP:138 ayrıca TCP:139 ve TCP:445 portlarını kapatabilirsiniz.

SMB v1.’i Kapatın

WannaCry zaten hali hazırda SMB v1’den kaynaklanan zaafiyeti kullanmakta. SMB v1 protokolünü kapatmanız gerçekten önemli. Bunu nasıl yapacağız? PoweShell’i Administrator olarak başlatmamız gerek. Bunun için izlenecek yol şu şekilde : Başlat > PowerShell > Sağ Tık > Yönetici Olarak Çalıştır. Karşımıza mavi bir ekran geldi. Aşağıdaki komutu çalıştırarak SMB v1’in ağınızda açık olup olmadığını kontrol edelim.

Get-SmbServerConfiguration

EnableSMB1Protocol‘ün karşısında True yazıyorsa aktif demektir sonraki adıma geçebiliriz. Yok False yazıyor ise buradan sonra yapacağınız birşey yok. True yazdığını var sayarsak aşağıdaki komutu çalıştırarak SMB v1’i kapatalım.

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Yapacağınız başka bir işlem yok SMB v1 protokolü kapanmış olacaktır. SMB v1 istemcisini de devre dışı bırakmakta fayda var bunu için de önce

<code>sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi</code>

hemen ardından

<code>sc.exe config mrxsmb10 start= disabled</code>

komutlarını çalıştırmanız yeterli olacaktır.

Linux Kullanmak WannaCry’dan Bizi Kurtarır Mı?

Pek çoğumuz tam olarak bu noktada yanılgıya düşmekteyiz. Evet Linux kullanmak WannaCry zararlısından bizi korur fakat bu ileriye yönelik bir koruma sağladığı anlamına kesinlikle gelmez. Kaldı ki The Shadow Brokers ekibinin GitHub’da Exploit listesini incelersek Linux’un bizi tamamen güvenli tutmadığı ve kesinlikle Linux kullanmanın ileriye yönelik tam anlamıyla bir çözüm sunmayacağını görürüz. Ek olarak şu görsel de açıklayıcı olacaktır. Görselde Wine üzerinden WannaCry’ın Linux sistemlere de bulaşabildiğini de gördük. Fakat bu kalıcı bir hasar bırakmamakta ve kendiliğinden bulaşmamakta. Yalnızca dışarıdan bir etki ile bulaşabiliyor. (Örneğin zararlının USB ile sisteme enfekte edilmesi.) 

WannaCry’ın Linux’a Enfekte Olduğunu Gösteren Görsel

Genel Anlamda Ransomware’lardan Korunmak

  • Bilmediğiniz ve güvenmediğiniz E-Mail’leri açmayın. Açtıysanız dahi verilen linklere tıklamayın.
  • Phishing saldırılarına dikkat edin. Phishing ile ilgili detaylı bilgi için Oltaya Düşmeyin (Phishing Güvenliği) blog yazımı okuyabilirsiniz.
  • KasperSky’ın NoMoreRansom adlı çalışmasına göz atabilirsiniz.

Umarım daha fazla can yakmadan bu felaketin bir çıkar yolu bulunur. Hepinize güvenli günler…

Kaynak: mehmetayberk.com

CEVAP VER

Please enter your comment!
Please enter your name here