Mayıs 14, 2017

WannaCry: Güvende misiniz?

Haberler Tehditler Zararlı Yazılım

[Son güncelleme tarihi 16 Mayıs Salı]

Birkaç gün önce WannaCry şifreleyici Trojanı salgın gibi yayılmaya başladı. Bu salgın global ölçekte tehdit oluşturuyor. Sadece bir günde 45.000’den fazla fidye yazılımı saldırısı ile karşılaştık, bu gerçekten çok yüksek bir sayı.

Ne oldu?

Birçok büyük şirket eş zamanlı olarak bulaşan zararlı yazılımı rapor ettiler. Bu büyük şirketlerden biri olan İngiliz Hastaneleri çalışmalarını durdurmak zorunda kaldı. Dışarıdan alınan haberlere göre WannaCry 100.000’den fazla bilgisayara bulaştı. Bu kadar ilgi çekmesinin sebebi de bu zaten.

Saldırıların yüzde olarak büyük kısmı Rusya’ya yapıldı. Ancak Ukrayna, Hindistan ve Tayvan da ağır şekilde etkilendi. WannaCry’ı sadece ilk gününde 74 ülkede tespit ettik.

WannaCry nedir?

Genel olarak WannaCry iki bölüm olarak geliyor. İlk bölüm bulaştırma ve yayılmayı sağlıyor. İkinci bölüm ise bilgisayara bulaştıktan sonra şifreleyiciyi indiriyor.

Bu, WannaCry ile hemen hemen bütün diğer şifreleyicilerin temel farkı şudur; sıradan bir fidye yazılımı bilgisayara bulaşması için kullanıcının bir hata yapması gerekir. Mesela şüpheli bir linke tıklamak, Word dosyasının zararlı macro çalıştırmasına izin vermek veya şüpheli bir dosya indirmek gibi. WannaCry ise sisteme hiçbir şey yapılmadan bulaşabiliyor.

WannaCry: Sömürü ve Yayılma

WannaCry’ın yaratıcıları, Windows’un “EternalBlue” isimli açığından yararlandılar ki Windows bu açığı 14 Mart’ta yayınladığı MS17-010 güncellemesi ile kapattı. Bu açığı kullanarak, suçlular bilgisayarlara uzaktan erişim sağlıyor ve şifreleyiciyi yüklüyorlar.

Eğer güncellemeyi yüklediyseniz, bu açık cihazınızda bulunmuyordur, bu da suçluların bilgisayarınızı uzaktan kontrol etmesini olanaksız kılıyor. Ancak Kaspersky Lab’ın GReAT ekibi (Global Research and Analysis Team) bir noktayı kesin olarak açıklamak istiyor. Eğer bir şekilde bu şifreleyiciçalışmaya başladıysa, açığı kapatmanız bir işe yaramayacaktır.

Bir bilgisayarı başarıyla hackledikten sonra, WannaCry bir bilgisayar virüsü gibi kendini yerel ağ üzerindeki diğer bilgisayarlara dağıtmaya çalışıyor. Önce ağdaki diğer bilgisayarları tarayarak EternalBlue açığı arıyor, eğer bulursa cihazlara bulaşıyor ve dosyaları şifreliyor.

WannaCry bulaşmış bir bilgisayarın bulunduğu yerel ağdaki tüm bilgisayarlara bulaşma ihtimali vardır. Bu yüzden bir şirket ne kadar büyükse WannaCry’dan o kadar etkileniyor – ağda ne kadar çok bilgisayar varsa, o kadar çok hasar veriliyor.

WannaCry: şifreleyici

şifreleyici olan WannaCry (bazen WCryptor veya WannaCry Decryptor – ki bu bir şifreleyici, şifre çözücü değil) diğer şifreleyicilerin yaptığını yapıyor: bilgisayardaki dosyaları şifreliyor ve şifreleri çözmek için para talep ediyor. Buna en benzeyen fidye yazılımı CryptXXX Trojanıydı.

WannaCry farklı birçok dosya uzantısını şifreliyor (tam liste için tıklayın). Bunların içerisinde Office dosyaları, fotoğraflar, videolar, arşivler ve diğer önemli kullanıcı verileri içerebilecek dosyalar. Şifrelenen dosyaların uzantısı .WCRY oluyor ve dosyalar tamamen erişilemez oluyor.

Daha sonra Trojan masaüstü duvar kağıdını, kullanıcıların dosyalarını geri almak için yapması gerekenleri belirten bir bilgilendirme yazısı ile değiştiriyor. WannaCry bu bildirim yazısını metin halinde de dosyalara yerleştirerek kullanıcının mesajı gördüğünden emin oluyorlar.

Temelde her şey fidye talep etmek için. Fidyeyi aldıktan sonra dosyaları açacaklarını iddia ediyorlar. Genel olarak suçlular böyle durumlar için 300$ değerinde Bitcoin talep ederler ancak WannaCry’ın yaratıcıları 600$ değerinde Bitcoin talep ediyorlar.

Ayrıca bu suçlular kullanıcıları 3 gün içerisinde fidyenin artacağını, dahası 7 gün sonra dosyaların kurtarılmasının imkansız olacağını söyleyerek korkutuyorlar. Suçlulara fidye ödemenizi tavsiye etmiyoruz çünkü dosyalarınızı geri alabileceğinizi kimse garanti edemez. Ayrıca geçmiş örneklere de bakarsak, fidye ödenmesine rağmen kullanıcıların dosyalarının silindiğini de gördük.

Domain kaydı yaptırmak bulaşmayı nasıl engelledi ve salgın neden henüz bitmedi

İlginç bir şekilde, bir Malwaretech araştırmacısı bir domain kaydı yaptırarak yazarlı yazılımın bulaşmasını durdurdu.

Anlaşılan o ki, WannaCry yazılımı önce bir domaine sorgu gönderiyor, eğer sorgudan pozitif yanıt alamazsa bilgisayarı şifrelemeye başlıyor. Eğer cevap alırsa, zararlı yazılım tüm işlerini durduruyor.

Araştırmacı bu alan adını kodların içerisinde bulduktan ve alan adını aldıktan sonra saldırıyı durdurdu. Alan adı satın alındıktan sonra bu alan adına aynı gün içerisinde on binlerce sorgu geldi, bu da on binlerce bilgisayarı kurtardığı anlamına geliyor.

Bu devre kesici özellik WannaCry’a kasıtlı olarak bir şeyler yanlış giderse diye eklenmiş olabilir. Yazılımı durduran araştırmacıya göre ise bu, zararlı yazılımın davranışının analizini zorlaştırmanın bir yolu. Araştırmacıların kullanmış oldukları test ortamında herhangi bir alan adından sıklıkla bilerek olumlu yanıt dönüldüğünde Trojanın hiçbir şey yapmayacağı görüldü.

Maalesef Trojanın yeni versiyonu, suçluların “devre kesici” adresini değiştirip saldırıya devam edebilirler. Yani WannaCry ateşi söndürüldü diyemeyiz.

WannaCry’a karşı nasıl korunulur

Maalesef şimdilik şifrelenmiş dosyalar için yapılabilecek bir şey yok (araştırmacılarımız çalışıyorlar). Bu da demek oluyor ki, bu yazılımla savaşmanın en iyi yolu, en başından korunarak hiç bulaşmamasını sağlamak.

Bulaşmayı engellemek ve hasarı en aza indirmek için yapmanız gerekenler;

  • Eğer Kaspersky Lab çözümü kullanıyorsanız: Kritik bölgeler için manuel tarama yapın. Çözümlerimiz bu yazılımı MEM:Trojan.Win64.EquationDrug.gen olarak tanıyor. Daha sonra bilgisayarınızı yeniden başlatın.
  • Eğer müşterimizseniz, System Watcher – Sistem İzleyici modülünü açık tutun. Yeni zararlı yazılımlarla savaşmanın en iyi yolu budur.
  • Yazılım güncellemelerini yükleyin. Özellikle bu durumda Windows’un sistem güvenlik uygulaması MS17-010’u yükleyin. Durum öyle ciddi ki, Windows artık resmi olarak destek vermediği işletim sistemleri için bile (Windows XP, Windows 2003 gibi) güncelleme çıkarttı. Gerçekten, hemen güncelleme yapın.
  • Düzenli olarak yedek alın ve yedek aldığınız cihazı bilgisayarınıza bağlı bırakmayın. Eğer güncel yedeğiniz varsa bulaşmış fidye yazılımı sizin için bir facia değil, sadece yedekleri geri yükleyeceğiniz şekilde zaman kaybı olacaktır. Eğer kendiniz yedekleme yapmak istemiyorsanız, Kaspersky Total Security‘nin otomatik yedekleme özelliğini kullabilirsiniz.
  • Güvenilir bir anti virüs çözümü kullanın. Kaspersky Internet Security, WannaCry’ı hem yerel hem de diğer ağlara bulaşmaya çalışırken tespit eder. Dahası, System Watcher modülü ile yapılan değişiklikleri geri alır. Bu da bulaşan zararlı yazılım veri tabanında olmasa bile sizin dosyalarınıza zararlı yazılımın size zarar vermesini engeller.

İşinizle ilgili yapmanız gereken düzenlemeleri öğrenmek için tıklayın.