WannaCry Nedir? WannaCry’dan Etkilenirsek Ne Yapmalıyız?
Cuma günü öğleden sonra keşfedilen ve keşfedildiğinden bu yana hızlı yayılmaya devam eden WannaCry fidye saldırısı, 150’den fazla ülkede 10.000 kuruluş ve 200.000 kişiyi etkiledi. Bununla birlikte, kötü amaçlı yazılımların yayılmasını yavaşlatmak için önlemler alındı fakat yeni varyasyonlar ortaya çıkmaya başladı.
Europol Direktörü Rob Wainwright, BBC’ye, siber saldırının “kendi çapında benzeri görülmediğini” söyledi ve Pazartesi günü insanlar işine geri döndüklerinde muhtemelen devam edeceğini de belirtti. Microsoft, Windows XP için bir düzeltme eki yayınlayarak olağan dışı bir adım atarken, yetkililer, işletmelerin sistemlerinin güncellenmesini sağlamak için uyarıda bulunuyorlar.
WannaCry; bilgisayar kullanıcılarının, bilgisayarlarını yeniden kullanabilmeleri için belirli bir ücret ödeyene kadar bilgisayarları kullanamaz hale getiren bir fidye yazılımdır. En fazla İngiltere’nin etkilendiği bu saldırı ülkemizi de etkisi altına aldı. BTK Başkanı Ömer Fatih Sayan’ın yaptığı açıklamaya göre; ülkemizin siber güvenlik merkezi USOM ön alma operasyonlarına devam ediyor.
MalwareTech adlı 22 yaşındaki bir siber güvenlik uzmanı, fidye kodunda keşfedilen bir alan adını kaydederek saldırıyı yavaşlattı. BBC‘ye yaptığı açıklamada, düzeltmesinin etrafında çalışan başka bir saldırının daha yakında olacağını söyledi.
Araştırmacılar bu tweetten sonra fidye yazılımının iki yeni varyasyonunu keşfettiler. Biri başka bir alan adı kaydı ile engellendi, ancak diğer varyantın acil anahtarı olmadığından kısmen çalışmaya devam ediyor. Yazılım, Windows XP’de bir güvenlik açığını kullanıyor ve bir kere virüs bulaştırdığında, dosyaları şifreliyor ve diğer bilgisayarlara yayıyor. Mağdurlara, tekrar erişim sağlamak için Bitcoin’de 300 dolarlık bir ödeme talebi geliyor. Bununla birlikte, saldırının yaygınlığına rağmen, faillerin yalnızca 20.000 dolar civarında ödeme yaptıkları sanılıyor.
Europol, saldırının arkasındaki insanları keşfetmek için Federal Soruşturma Bürosu ile birlikte çalıştığını belirtti.
Microsoft, WannaCry Saldırısına Karşı Güncelleme Yayınladı
Microsoft, WannaCry fidye yazılımından kullanıcıların daha fazla hasar görmesini önlemek için bir güvenlik düzeltme eki yayınladı. Bu güncelleme; Windows 7, Windows 8 ve Windows Serves 2003 kullanıcılarını korumak için yayınlanan bir güncellemedir. Yaklaşık üç yıl önce desteğinin sona erdiği bu sürümlerin WannaCry’dan daha fazla zarar görmesini önlemek amacıyla bir güvenlik düzeltme eki piyasaya sürüldü.
WannaCry; Türkiye de dahil olmak üzere dünyanın 100’den fazla ülkesine yayılmıştır. İngiltere’nin sağlık sistemi, İspanyol telefon şirketi Telefonica vb. olmak üzere pek çok hizmeti engelleyen ve ABD Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen bir sistem açığından kaynaklanan bir saldırıdır. Buna ek olarak, Windows’un desteklenen sürümlerinden herhangi birisini, özellikle de Windows 10‘u kullanıyorsanız saldırıdan uzaksınız demektir.
WannaCry’dan Nasıl Korunursunuz?
Windows Güncellemesini Yapın
Virüs, Mart’ta çıkan Microsoft güvenlik güncellemesi olan MS17-010 tarafından kapatılan ETERNALBLUE exploit’i kullanmaktadır. Güncelleme merkezinden bilgisayarınızda bötle bir güncelleme olup olmadığını kontrol edin. Eğer güncelleme yoksa Microsoft’un web sitesinden indirin ve kurun.
135 ve 445 Portunu Kapatın
Antivirüs şirketlerinin yayınladıkları raporlara göre WannaCry, Sunucu İleti Bloğu’nun olduğu bağlantı noktalarına giriyor. Penetrasyonu engellemek adına virüsün içeriye girdiği 135 ve 445 numaralı bağlantı noktalarını önleyin. Bunun için yönetici konsolunu admin modunda açmanız ve aşağıda verdiğimiz kodları çalıştırmanız gerekir. Her komuttan sonra “OK” yazısını görmeniz gerekmektedir.
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=”Block_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″
SMBv1 Desteğini Devre Dışı Bırakın
Güvenlik açığını kapatmak amacıyla SMBv1 desteğini devre dışı bırakmalısınız. Bu komutu yönetici olarak çalıştırmalısınız.
WannaCry’dan Etkilenirseniz Ne Yapacaksınız?
Sisteminiz zaten WannaCry‘dan etkilenmişse şifrelenmiş dosyalarınızı kurtarabileceğinizi bilmelisiniz. İzleyeceğiniz adımlar şunlardır;
- Ağ bağlantısını bilgisayarınızdan kaldırın. Bu, ağ kablosunu kaldırarak veya bilgisayarınızdaki kablosuz işlevini kapatarak yapılabilir. Bu fidye yazılımının yayılmasını önlemenizi sağlayacaktır.
- İster dizüstü bilgisayar ister iş istasyonu işlem birimi olsun, etkilenen bilgisayarınızı yeniden başlatın.
- Virüs bulaşmış bilgisayarınızı yeniden kurduktan sonra yaptığınız yedeklemeden sisteminizi geri yükleyebilirsiniz.