WANNACRY SALDIRISI İLE İLGİLİ ALMANIZ GEREKEN ÖNLEMLER |
12 mayıs tarihinde geniş kapsamlı bir fidye saldırısı yapılmış olup, dünyanın dört bir yanından kurumları etkisi altına almıştır. Kaspersky Lab mühendisleri, saldırıda kullanılan verileri analiz edip, ağırlıklı olarak Rusya olmak üzere en az 99 ülkede ortaya çıkan 100.000’den fazla saldırı girişimini teyit etmiş bulunmaktadır. Fidye yazılımı kurbanlarını Microsoft Windows üzerinde yer alan ve şuan da Microsoft Security Bulletin MS17-010 yamasıyla düzeltilmiş olan bir açıktan faydalanarak etkilemektedir. "Eternal Blue" olarak bilinen bu açık, 14 nisan tarihinde Shadowbrokers dump'ında ortaya çıkarılmıştı. Sisteme sızdıktan sonra, saldırganlar bir rootkit kurulumu gerçekleştirerek gerekli yazılımların indirilmesini sağlamakta ve bilgisayar üzerindeki verilerin şifrelenmesine sebep olmaktadır. Fidye olarak bitcoin ile $600 talep edilmektedir ve bu fidye miktarı belirli bir süre içerisinde artmaktadır. Saldırıda kullanılan zararlı yazılımların isimlerini alttaki listede bulunduğu şekliyle tespit etmiştir: * Trojan-Ransom.Win32.Scatter.uf * Trojan-Ransom.Win32.Scatter.tr * Trojan-Ransom.Win32.Fury.fr * Trojan-Ransom.Win32.Gen.djd * Trojan-Ransom.Win32.Wanna.b * Trojan-Ransom.Win32.Wanna.c * Trojan-Ransom.Win32.Wanna.d * Trojan-Ransom.Win32.Wanna.f * Trojan-Ransom.Win32.Zapchast.i * Trojan.Win64.EquationDrug.gen * Trojan.Win32.Generic (System Watcher modülü açık olmalıdır) Yayılma riskin azaltılması için aşağıdaki maddeleri gözden geçirmenizi öneriyoruz:
Eğer Windows yamalarını yükleyecek bir altyapınız bulunmuyorsa, alttaki adımları uygulayarak Kaspersky Security Center üzerinden yamaları yükleyin: Microsoft'un sitesinden açığa kapatan, işletim sisteminize uygun yamayı indirin: https://technet.microsoft.com/library/security/MS17-010.aspx
Örneğin; Windows 7 x86 veya 64 için;
windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu Diskiniz üzerinde bir klasör oluşturun ve bu *.msu dosyalarını içine kopyalayın. Klasör ismi önem teşkil etmemektedir.
wusa.exe windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu /quiet /warnrestart wusa.exe windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu /quiet /warnrestart Bu komutlar, güncelleme kurulumunu sessiz modda gerçekleştirecektir ancak yine de kurulum sonunda yeniden başlatma uyarısı verecek ve kullanıcının dosyalarını kaydetmesi için 1 dakika süre tanıyacaktır.
Lütfen yeniden başlatma sürecinin iptal edilemeyeceğini unutmayın. Eğer /warnrestart parametresi /forcerestart parametresiyle değiştirilse, yeniden başlatma derhal başlayacak, oturum üzerindeki tüm kaydedilmemiş çalışmalar silinecektir. Sonuç olarak oluşturduğunuz klasörün içerisinde iki adet *.msu ve bir adet .bat uzantılı dosya olacaktır. ÖNEMLİ: Eğer batch dosyası, hâlihazırda ilgili güncellemelerin bulunduğu sistemde çalıştırılırsa, kritik bir durum ortaya çıkmayacaktır. 1- KSC konsolunu açın ve Remote Installation> Installation Files bölümüne gelin ve bir kurulum paketi (installation package) oluşturun. Ortadaki seçenek ile devam ederek Upd.bat'ı gösterip "copy entire installation folder to installation package" seçeneğini de işaretleyerek kurulum paketini oluşturun. Böylece istemciye göndermiş olduğunuz upd dosyasıyla birlikte güncellemelerde kopyalanacaktır. 2- Kurulum paketi oluşturmak için işletim sistemi üzerinden bilgisayar seçimi oluşturmanız işinizi kolaylaştıracaktır. (bilgisayar seçimleri menüsünden herhangi bir grup seçip "install application ile kurulumu başlatın) Ya da yönetilen bilgisayarlarınız üzerinden, istediğiniz grup için kurulumu başlatın. Unutmayın ki KSC, güncellemenin kurulum aşamasını size göstermiyor olacaktır, ancak kurulum bir şekilde askıda kalırsa, 2 saat içerisinde görev sonlandırılacaktır. 3- Son olarak, support sayfamızda konuyla ilgili diğer çözüm adımlarına ulaşabilirsiniz: http://support.kaspersky.com/general/products/13698#block0 System Watcher ile birlikte Network Attack Blocker modülünün açık olduğundan emin olmalısınız. Bilgilendirme 1: Size sunduğumuz yönergede, örnek olarak sadece iki dosya kullanılmıştır. Teorik olarak, tüm işletim sistemleri için güncelleme dosyaları indirilip, yukarıda bahsedildiği şekilde kurulum paketi hazırlanabilir. Sonuç olarak, ihtiyaçlarınız doğrultusunda tüm güncellemeler kurulmuş olacaktır. Eski işletim sistemleri için *.msu dosyaları yerine, *exe ya da *.msi dosyaları kullanılmaktadır. Bilgilendirme 2: x86 ve x64 mimarisine sahip işletim sistemleri için güncellemeleri ayırmak mümkündür. Bu durumda oluşabilecek paket büyüklliği ve ekstra bir trafiğin önüne geçilmiş olunur, ancak bunun için iki adet görev çalıştırılmalıdır. Eğer ortamınızda Update Agent kullanılıyor ise, bu paket öncelikle Update Agentlara, oradan ise istemcilerinize direk olarak ulaşırlar. Bu durum ayrıca kurulum sürecini hızlandırmaktadır. Eğer lisanslama modeliniz System Management özelliğini destekliyorsa şayet, yukarıda bahsedilen paket hazırlama yöntemine ihtiyacınız yoktur. İlgili güncellemeleri seçip göndermeniz yeterli olacaktır. Konu ile ilgili bir sorunuz olması durumunda companyaccount.kaspersky.com üzerinden problem kaydı oluşturunuz. |