Wannacry ransomware saldırısı: bilinmesi gereken 3 önemli şey

WannaCry adıyla yapılan Ransomware saldırıları, Siber Güvenlik uzmanları tarafından Cuma günü dünya çapında bildirildi ve bu hafta ikinci bir saldırı dalgası beklendiği için web bağlantılı cihazlarda güvenlik önlemlerinin artırılması için birçok uyarı yapıldı.

Fidye yazılımı saldırıları - on yıllık bir hacker numarası - Rusya, Ukrayna, İspanya, İngiltere ve Hindistan'ı büyük ölçüde vurdu.

ABD, Brezilya, Çin, diğer ülkeler arasında Kuzey Amerika, Latin Amerika, Avrupa ve Asya gibi diğer ülkeler fidye yazılım saldırısına uğradı.

Fidye yazılımı '.wcry' uzantısını kullanan bir cihazdaki dosyaları şifreler ve bir SMBv2 (Sunucu İleti Bloğu Sürüm 2) uzaktan kod yürütme yoluyla başlatılır.

Ayrıca Okuyun: Fidye Yazılım nedir ve Nasıl Korunmalı? ve Smartphone, WannaCry Ransomware Attack'a Karşı Hassas mı?

Kaspersky Lab'ın Global Araştırma ve Analiz ekibi, 'SMB hizmetlerini açığa çıkaran yamalı Windows bilgisayarlarına uzaktan saldırılabileceğini' ve 'bu güvenlik açığının salgına neden olan en önemli faktör olarak göründüğünü' belirtti.

Hacking grubu Shadow Brokers’ın 14 Nisan’da bu saldırıyı internette yapabilecek kötü amaçlı yazılımları yapmaktan sorumlu olduğu bildiriliyor.

Saldırı Ne Kadar Yaygındır?

Siber güvenlik uzmanları saldırının ek dalgalarını daha fazla sisteme çarpmasını beklediği için bu saldırının tam etkisi hala bilinmiyor.

New York Times’taki bir rapora göre, saldırı 150’den fazla ülkede 200.000’den fazla bilgisayarı kontrol altına aldı.

Rusya bakanlıkları, FedEx, Deutsche Bahn (Almanya), Telefonica (İspanya), Renault (Fransız), Qihoo (Çin) ve İngiltere Ulusal Sağlık Hizmetlerini içeren şirketler ve devlet kurumları etkilendi.

İspanya Bilgisayar Acil Durum Müdahale Ekibi (CCN-CERT) de, organizasyonların fidye yazılımdan etkilenebileceğini söylediği için ülkede yüksek bir alarm çağrısı yaptı.

“Kötü niyetli WannaCrypt yazılımı hızla dünyaya yayıldı ve ABD'deki NSA'dan çalınan istismarlardan çekildi. Microsoft, bu güvenlik açığını gidermek için bir güvenlik güncelleştirmesi yayımladı, ancak çoğu bilgisayar dünya çapında eşlenmemiş kaldı ”dedi.

Aşağıdaki yazılım şu ana kadar etkilenmiştir:

• 32 bit sistemler için Windows Server 2008
• 32 bit sistemler için Windows Server 2008 hizmet paketi 2
• Itanium tabanlı sistemler için Windows Server 2008
• Itanium tabanlı sistemler için Windows Server 2008 service pack 2
• X64 tabanlı sistemler için Windows Server 2008
• X64 tabanlı sistemler için Windows Server 2008 hizmet paketi 2
• Windows Vista
• Windows Vista servis paketi 1
• Windows Vista hizmet paketi 2
• Windows Vista x64 Sürümü
• Windows Vista x64 Edition hizmet paketi 1
• Windows Vista x64 Edition hizmet paketi 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 ve R2
• Windows 10
• Windows Server 2016

Sistemleri Nasıl Etkiler?

Kötü amaçlı yazılım, ofis uzantıları, arşivler, medya dosyaları, e-posta veritabanları ve e-postalar, geliştirici kaynak kodu ve proje dosyaları, grafik ve görüntü dosyaları ve daha fazlasını içeren dosyaları şifreler.

Bitcoins'te talep edilen 300 $ 'lık fidyenin yapılmasının yanı sıra ödeme yapıldıktan sonra dosyaların şifresini çözmek için yardımcı olan kötü amaçlı yazılımın yanı sıra bir şifre çözücü aracı da kuruluyor.

Şifre çözme aracı iki geri sayım sayacı çalıştırır - 3 günlük bir süreölçer, ardından fidye artacağı belirtilir ve dosyalar sonsuza dek kaybedilmeden önce kalan süreyi belirten 7 günlük bir süreölçerdir.

Yazılım aracının metnini birden çok dile çevirme yeteneği olduğu göz önüne alındığında, saldırının küresel olarak hedeflendiği açıktır.

Şifre çözme aracının kullanıcı tarafından bulunmasını sağlamak için, kötü amaçlı yazılım, etkilenen bilgisayarın duvar kağıdını da değiştirir.

Nasıl Güvende Kalınır?

• Virüsten koruma yazılımınızın veritabanının güncellendiğinden ve sisteminizi gerçek zamanlı koruduğundan ve bir tarama çalıştırdığından emin olun.
• Kötü amaçlı yazılım: Trojan.Win64.EquationDrug.gen algılanırsa, karantinaya alındığından ve silindiğinden emin olun ve sistemi yeniden başlatın.
• Henüz yapmadıysanız, saldırıda yararlanılan SMB güvenlik açığını azaltan Microsoft'un resmi yama olan MS17-010'u yüklemeniz önerilir.
• Bilgisayarınızdaki SMB'yi bu kılavuzu Microsoft tarafından kullanarak da devre dışı bırakabilirsiniz.
• Kuruluşlar, 137 ve 138 UDP haberleşme portlarını ve 139 ve 445 TCP portlarını izole edebilirler.

ABD Tabanlı Sistemler Yanlışlıkla Güvenceye Alındı

22 yaşındaki bir İngiliz güvenlik araştırmacısı, yanlışlıkla, kötü amaçlı yazılımın henüz kaydedilmemiş kill switch alanını satın aldığında ABD'deki ağlara yayılmasını yanlışlıkla durdurdu.

Site yayına girer girmez saldırı durduruldu. Kötü amaçlı yazılımın öldürme anahtarını nasıl açığa çıkardığı ve nihayetinde kapattığı hakkındaki raporunu buradan okuyabilirsiniz.

Ayrıca Oku: Bu Kritik Android Güvenlik Kusuru Google tarafından Sabitlenmedi.

“Zaten fidye yazılımının bir öldürme anahtarı olmayan başka bir çeşidi var, bu da bulundurulmasını zorlaştırıyor. Avrupa’daki ülkeleri etkilemeye çoktan başladı, ”diyor Trend Micro India Teknik Başkanı Sharda Tickoo.

Saldırıdan ve spekülasyonlardan kimin sorumlu olduğunu hala belirsiz bırakıyor - ayrıca, çevrimiçi olarak kötü amaçlı yazılımın yayınlanmasından da sorumlu olan Shadow Brokers’ı (çok sayıda korsan kuruluşunu) da işaret ediyor.

Aşağıda Wannacry / Wannacrypt Ransomware için GT Hindi videosunu izleyin.