Wanna Cry Nedir? Nasıl Önlem Alınabilir?

Bilindiği üzere geçtiğimiz Cuma günü Rusya’dan başlayarak neredeyse tüm dünyayı etkisi altına alan Wanna Cry virüsü 150 ülkede 200 binden fazla kişiyi etkiledi. BTK (Bilgi Teknolojileri ve İletişim Kurumu) Başkanı Ömer Fatih Sayan, Türkiye’nin de saldırıdan etkilenen ülkeler arasında olduğunu açıkladı. Yazılım, sızdığı bilgisayar içindeki verileri kilitliyor ve belgelerin yeniden kurulumu için kullanıcıdan ödeme talep ediyor. Yazılım, ‘solucan’ olarak bilinen virüs aracılığıyla bilgisayarlara giriyor. Ayrıca WannaCry, sadece Windows işletim sistemine sahip bilgisayarları etkiliyor. Siber saldırı asıl olarak kurumları hedeflese de bireysel bilgisayar kullanıcıları da risk altında.

Teknik olarak Wanna Cry nedir? Sistemlere nasıl zarar verir?

“TheShadowBrokers” isimli hacker grubu, Nisan ayında National Security Agency’in (NSA) FUZZBUNCH isimli exploit kitini sızdırdı. Sızdırılan bu zafiyet kiti içerisinde birçok exploit bulunmaktadır. İlgili exploitlerden EternalBlue exploiti yine exploit kiti içerisinde bulunan DOUBLEPULSAR payloadı ile birlikte kullanıldığında Windows işletim sistemlerindeki SMB servisinin zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamaktadır.

MS17-010 (CVE-‎2017-0144) kodu ile isimlendirilen bu zafiyet WannaCry adlı bir fidye yazılımı tarafından kullanılmaya başlandı.

Aynı zamanda, fidye yazılımı herhangi bir kullanıcı etkileşimi gerektirmeksizin bulaştığı ağda MS17-010 zafiyetinin olduğu sistemleri tarayarak bulmakta ve zafiyet barındıran sistemleri de etkilemektedir.

Wannacry wormu Windows SMB protokolünü kullanarak yayılmaktadır. NSA tarafından bu açıklığı barındıran sistemlere sızmak için kullanılan bir exploit, NSA’den bu bilgiler sızdırıldığında internet üzerinden yayınlanmaya başladı. Açıklanan belgeler ve bilgiler ışığında biri ya da birileri tarafından bu zafiyeti istismar eden fidye zararlı yazılımı geliştirilerek internete sunuldu.

MalwareTech Rumuzlu İngiliz Güvenlik Araştırmacısı Yanlışlıkla Virüsün Yayılmasını Engelledi

BBC‘ye konuşan MalwareTech rumuzlu 22 yaşındaki güvenlik araştırmacısı, işinden bir hafta izin aldığını fakat yayılan bu fidye yazılımını duyduktan sonra bilgisayarının başına geçip incelemeye başladığını anlattı.

MalwareTech rumuzlu güvenlik araştırmacısı, uygulamanın kodlarına ulaşarak bir ”kapatma düğmesi” bulduğunu ve bunu uygulamaya geçirdiğini belirtti: ”Aslında kısmen şans eseriydi. Bütün gece uygulamayı incelemiş ve gözümü kırpmamıştım. Buluşumun ardından yoğun ilgi gördüm. İznimi böyle kullandığım için patronum bana bir hafta daha izin verdi”

Wanna Cry virüsünün  her bilgisayara bulaştığında belirli bir internet adresine bağlanmaya çalıştığını belirten MalwareTech, rastgele harflerden oluşan bu uzun adresin aslında olmadığını fark etti. 10 dolara bu alan adını satın alarak gelecek bağlantılardan yola çıkarak virüsün kaç bilgisayara ve hangi ülkelere bağlandığını ortaya çıkarmak istedi fakat bu hamlesi beklenmedik bir biçimde yazılımın içindeki kodu tetikleyerek yayılmasını sonlandırdı.

”Kapatma düğmesi” olarak da adlandırılan bu kodlar, zararlı yazılım yaratıcıları tarafından ters bir durum olmasına karşı yazılımın yayılmasını engellemek için kullanılıyor. Bu arada MalwareTech adlı kullanıcının bu buluşun yazılımın yayılmasını engellese de, bu virüsten etkilenmiş bilgisayarlar için çözüm kaynağı olarak görülmüyor. Araştırmacılar, bir sonraki fidye yazılımlarda bu ”kapatma düğmesi” kodunun olmayacağını tahmin ediyor.

Araştırmacı Troy Hunt, ” Wanna Cry virüsü daha fazla bilgisayara bulaşamayacak ama kesinlikle bunu taklit eden başka zararlı yazılımlar olacaktır” dedi. 22 yaşındaki genç araştırmacı ise ”Bu yazılımı durdurmayı başardık ama kesinlikle yeni bir yazılım gelecek ve bizler onu durduramayacağız” diyor ve ekliyor;

”Bu işte çok para var, o yüzden devam etmemeleri için hiçbir neden yok. Ufak bir kod değişikliğine gitmek onlar için hiç de zor değil. Bu yüzden yeni zararlı yazılımla karşılaşma ihtimalimiz yüksek, hafta sonu olmasa bile Pazartesi sabahı. İnsanların sistemlerini güncellemeleri çok önemli. Yalnızca güncelleme yaparsanız güvende olursunuz.”

Peki Wanna Cry Adlı Fidye Yazılımından Korunmak İçin Ne Gibi Önlemler Alınabilir?

Öncelikle güncelleme, yedekleme ve şüpheli e-maillere dikkat etmek gerekli. İşletim sistemlerini güncellemek, güvenilir anti-virüs programlarını kullanmak ve şüpheli e-mail ve linklere dikkat etmek kullanıcıları virüsten korumanın başlıca yollarıdır.

Microsoft Türkiye Blog internet sitesinden Pazar günü yapılan bilgilendirmede, kullanıcılara güncellemeleri açık tutmaları ve Microsoft Security Bulletin MS17-010 güncellemesini yapmaları tavsiye ediliyor. Microsoft ayrıca, Ransom:Win32/WannaCrypt adlı korunma programının yüklenmesi ve antivirüs yazılımlarının da güncel olması gerektiğini belirtiyor.

Ayrıca Windows işletim sisteminizin SMBv1 servisini kapatınız.
SMBv1 servisini kapatmak için aşağıdaki işlemleri takip edebilirsiniz.
Başlat->Denetim Masası->Programlar->Windows Özelliklerini Aç veya Kapat->SMB 1.0/CIFS Dosya Paylaşım Desteği yanındaki işareti kaldırın.

  • Kullandığınız işletim sistemi Windows ise hangi sürümü olursa olsun mutlaka güncel bir sistem kullanmalısınız. Bunu her daim sürdürmeli ve önemli verilerinizi her zaman mutlaka yedeklemelisiniz.
  • Yanıltıcı maillere dikkat. Şüpheli mailleri açmayın.
  • Şüpheli internet sitelerine dikkat edin. Şüpheli linklere tıklamayın, şüpheli yazılımlar indirmeyin.
  • Bilinmeyen web sitelerine mümkün olduğunca adres çubuğuna link yazarak girin. Başka siteler üzerinden giriş yapmayın.
  • Saldırıya uğrarsanız fidye ödemeyin. Bunun bir faydası olmayabilir kilitlenen dosyalarınız geri verilmeyebilir.
  • Güncellenmiş güvenilir anti virüs programları kullanmaya özen gösterin.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.