Yazı İçinde Bulabileceğiniz Bilgiler Neler?
WannaCry son 1 haftadır tüm dünyayı etkisi altına alan, dünya çapında 3-4 günde 350.000’den fazla bilgisayarı etkisi altına alan ve yayılmaya devam eden bir Fidye Yazılımıdır. Sizler için WannaCry Nedir, Nasıl Bulaşır, Nasıl Önlem Alınır ve Virüs Nasıl Temizlenir gibi konularda bazı bilgiler aktarıyor olacağız.
WannaCry bir Fidye Yazılımı olmasının yanında bir virüs gibi değil bir Solucan gibi hareket etmektedir. Bu sebeple de siz herhangi bir dosya açmadan, siteye girmeden ya da mail üzerinden bir işlem yapmadan, ağ üzerinden hızlı bir şekilde bilgisayarınıza bulaşabilmektedir. Normalde bu tarz yazılımlar bir virüs mantığı ile hareket etmekte ve siz bir dosyayı açtığınızda ya da indirdiğinizde aktif hale gelmektedir.
Herhangi bir işlem yapmasanız dahi bilgisayarınız ve ağınız aktif ise WannaCry isimli fidye yazılımın cihazınıza bulaşma ihtimali vardır. Türkiye’de şu ana kadar 200 kadar cihaza bu virüsün bulaştığı belirtilmiş durumda.
WannaCry isimli yazılım ilk olarak Rusya merkezli olarak görülmüş sonrasında ise Tüm Dünyayı etkisi altına almıştır. Süreç içerisinde saldırılan sadece Kuzey Kore’de görülmediği gibi bir durum ortaya çıkmıştır. Ancak yazılımın halen hangi bölgeden veya ülkeden yayıldığı bilinmemektedir. Birçok komple teorisi Kuzey Kore’yi gösteriyor olsa da bu ülkede kullanılan Kapalı İnternet Ağı sebebiyle yazılımın bu ağa giremediği, girse dahi hangi cihazlara bulaştığı ile alakalı bir veriye ulaşılamadığını belirtmekte fayda var.
Bu arada virüsün isminin WannaCry – Ağlamak İstiyorum olması da ayrıca bir ironi. Tüm verileri kaybeden kullanıcıların ciddi anlamda ağlamak istemeleri üzerine kurgulanmış bir virüs ve şu aşamada bulaştığı her bilgisayarda sistem dilini görerek kullanıcılara kendi dillerinde bir uyarı metni çıkardığı da bir gerçek.
Yazılımın İlk Çıkışı CIA Tarafından Hazırlanan Hacking Sistemine Dayanıyor
Fidye yazılımın hazırlanmasında CIA tarafından daha önce kullanılan ve daha sonrasında da sızdırılan CIA Hacking Tool adındaki yazılımın kullanıldığı ve Microsoft tarafından 2017 yılı Mart ayında bir güncelleme ile bu açığı kapattığı bilgisi verilmiş durumda. Ancak bu güncelleme o tarihte Microsoft firması tarafından sadece Windows 10 gibi güncel sürümlere verilmişti. Alt sürümlere bir güncelleme paketi çıkarılmamıştı. Microsoft firması WannaCry adındaki virüsün ağlarda dolaşmaya başlaması ile daha eski sürümlere de hızlı bir şekilde güncelleme göndermeye başladı. Ancak birçok kullanıcı için artık çok geçti.
Şu ana kadar WannaCry üzerinden dosyaları şifrelenen 200 kadar kişi veya firmanın Bitcoin üzerinden ödeme yaptığı ve ödeme sonrasında içeriklerini kurtardıkları bilgisi geldi. Ancak bu bilginin ne kadar doğru olduğu konusunda ne yazık ki bir veri yok. Günümüzde 1 Bitcoin parasının ortalama olarak 5.900 – 6.000 TL olduğunu ve bu yazılımın kişi veya kuruma göre 1 Bitcoin ya da daha fazla ödeme talep ettiği bilgisi de ayrıca karşımıza çıkıyor.
Virüs cihaza giriş yaptıktan sonra özellikle o ağ üzerinde açık bulunan bütün cihazlara hızlı bir şekilde yayılabiliyor. Özellikle Kurumsal Firmalar bu virüsten ciddi anlamda etkilendiler. Hindistan gibi ülkelerde Banka Sistemlerinin çöktüğü bilgisi verilmiş durumda. Almanya’da bir tren istasyonunda yine yazılımın aktif olduğu gelen görsellerde görünüyor. Bunun dışında birçok büyük otomobil ve teknoloji firması sıkıntı yaşamaya başlamış ve fabrikalardaki işlemleri durdurmuş durumda.
WannaCry Virüsünün Bulaşmasını Nasıl Engellerim?
Öncelikli olarak cihazınızın Güncelleme – Update alanına girerek Tüm Güncellemeleri yüklemeniz ve sonrasında bilgisayarınızı yeniden kapatmanız gerekmektedir. Microsoft firmasının son 2 gün içerisinde tüm eski ve yeni işletim sistemi sürümlerine birer güncelleme gönderdiğini belirtmemiz gerek. Cihazınız Crackli olsa dahi bu güvenlik güncellemesini güncellemeniz gerekecek. Aksi durumda fidye yazılımının hedefleri arasına girmiş olacaksınız.
Bunun dışında gelen ilk veriler SMB Özelliğinden kaynaklı ortaya çıkan bir açık ile cihazlara bu yazılımın bulaştığı yönünde. Bu sebeple de SMB 1.0/CIFS Dosya Paylaşım Desteği özelliğini devre dışı bırakarak virüsten korunmak adına bir adım atabilirsiniz.
Ancak gelen güncellemeler ile virüsün farklı açıkları da tespit etmesi ve cihazlarınıza farklı kapılardan da girmeye çalışması oldukça muhtemel. Bu sebeple gerek Windows İşletim Sisteminin gerek Antivirüs Programınızın gerekse de Windows Defender yazılımın güncel olması şart.
SMB özelliği kapatmak için yapmanız gerekenler sırasıyla şu şekilde:
- Başlat kısmına SAĞ Tık yapınız veya arama kısmına giriniz.
- Açılan sekmeden “Programlar ve Özellikler” kısmına giriniz veya arama yapınız.
- Sol kısımdaki Windows Özelliklerini Aç Kapa sekmesine giriniz.
- Açılan sekmeden SMB 1.0/CIFS Dosya Paylaşım Desteği kısmındaki tiki kaldırın.
- Açılan sekmeden işlemi onaylayın ve Cihazı Yeniden Başlatın.
Cihazı yeniden başlatana kadar yapılan düzenleme etkin olmayacaktır. O sebeple de işlem sonrasında cihazınızı kesinlikle yeniden başlatmanız gerekmektedir.
Bu işlem sonrasında cihazınız ağ içerisindeki görünme durumu gizliye geçiyor. Ancak siz IP üzerinden ağ üzerindeki cihazlara ulaşabilirsiniz. Gerek yazıcılara gerek diğer verilere sadece IP üzerinden erişebiliyorsunuz. Normal bir ev kullanıcısı için SMB ayarının kapanması çok ekstra bir sıkıntı yaratmayacaktır.
Yazılımın ilerde evrim geçirmesi ve ortaya çıkan farklı açıklar ile cihazlara sızmaya devam etmesi gibi bir risk ise ne yazık ki mevcut. Yani güncellemeleri takip etmeniz yine gerekli. Sadece SMB Özelliğini kapatarak virüsten %100 oranında korunmanız ne yazık ki mümkün değil.
Sadece Windows Cihazları Etkilemiş Durumda
Yazılım şuan için sadece Windows İşletim Sisteminde görünmüş durumda. Apple – Android veya Windows Mobile üzerinden henüz bir virüs haberi gelmiş değil. Bu açığın Windows İşletim Sistemi üzerindeki bir açıktan ulaşılıyor olması diğer cihazları şu aşamada güvende tutuyor.
Cihaza WannaCry fidye yazılımının bulaşması ile ortalama olarak 4-5 dakika içinde tüm verileriniz şifrelenecektir. Siz bu süreci arka planda gerçekleştiği için göremezsiniz. Bu sebeple de şuan bile cihazınızdaki veriler WannaCry tarafından şifreleniyor olabilir.
İlk sürüm için 22 yaşındaki bir bilişimci şans eseri yazılımın durdurma işlemini keşfetmişti. Ancak hemen sonrasında V2 ve hatta V3 sürümleri kısa sürede yayılmaya devam ettiler. Bu sebeple de aslında ilk sürümün yavaşlatılması pek bir anlam ifade etmedi. Ayrıca virüsün engellenmesi virüs bulaşan cihazlardaki verilerin kurtarılması anlamına gelmiyor.
WannaCry Bulaşan Bilgisayarlarda Hangi İşlemler Yapılmalı?
Virüsün bulaştığı cihazlara ancak Format atıp sıfırdan Windows İşletim Sistemini kurarak virüsten temizleme yapabilirsiniz. Antivirüs programları bu konuda bir şey yapamıyor. Bu sebeple de fidye yazlımı tarafından şifrelenen tüm dosyalarda ne yazık ki geri dönüşü olmadan çöpe gitmiş olacak. Yeni sistem kurulumu sonrasında hemen güncelleme işlemlerini yapmanız gerekecektir.
Eğer içerideki bilgiler çok önemli ise belirlenen Bitcoin oranında ödeme yaparak virüsün cihazdaki blokeyi kaldırmasını için dua edebilir veya dünya üzerinde şuan bu virüs için kafa yoran yazılımcıların şifrelenen verileri kurtarmaları için bir çözüm yolu aramalarını bekleyebilirsiniz.
Ancak eğer cihazı yeniden kullanabilmek istiyorsanız cihazın içindeki her şeyi silmek ve sıfırdan bir Windows İşletim Sistemi yüklemek zorunda kalacaksınız demektir. Fidye yazılımı cihazdaki verileri şifrelediği için cihazınızın donanımsal yapısında herhangi bir bozulma ya da çökme ise meydana gelmiyor.
WannaCry İle Alakalı Bazı Küçük Bilgi Notları
Şu aşamada virüsle alakalı pazarda birçok firma tarafından açıklamalar yapılıyor. Ancak resmi bir açıklama yok. Yani şuan ki tüm açıklamalar birer tahminden ibaret. Yani yapılan her açıklama ne yazık ki doğru veya net değil.
Birkaç madde ile WannaCry hakkındaki bazı bilgileri sizlere aktarmak istiyoruz. Bilgilerin bazılarını teyit etmiş olsak da yine de eksik ya da hatalı olma ihtimalleri mevcut.
- İlk 24 saatte virüsten 130.000 kullanıcı etkilendi.
- Virüs 15 Mayıs 2017 Pazartesi gününe kadar (3 Günde) 350.000 kullanıcıya ulaştı.
- Renault firması 5 Ana Fabrikasında üretimi durdurdu.
- Nissan firması Ana Üretim Noktasındaki üretimi durdurdu.
- Basına çıkan birçok bilgi ve teori hızlı bir şekilde yeni güncellemeler ile çürütülmeye devam ediyor.
- WannaCrypt3r sürümünün sadece SMB Açığı ile bulaşmadığı düşüncesi oluşmaya başladı.
- Virüsün E-Posta sistemini şuan için kullanmadığı ama daha sonraki güncellemelerde geçiş yapacağı kanısı oluşmaya başladı.
- Türkiye’de henüz çok yüksek sayıda virüs bulaşmış bilgisayar yok.
- NHS’ye ait 2000 bilgisayar ataklardan zarar gördü.
- Pazartesi 79 kadar kullanıcı Fidye Ödemesi yaptı. Sadece bugün için toplam hasılat 27 Bin Dolar seviyesinde. Toplam rakamın 200 kullanıcıya ulaştığı varsayılır.
- Dünyaca ünlü birçok antivirüs firması zararlı yazılımı halen tespit edemiyor. (64 Yazılım)
- Mısır’da Siber Güvenlik Kriz Masası kuruldu.
- Çin’deki ulusal polis sistemi devre dışı kaldı.
- Brezilya güvenlik önlemlerini aldıktan kısa süre sonra %45’lik bir virüse yakalanma oranına çıktı.
- Hindistan’da birçok banka sistemi felç oldu. Ülkedeki bankamatik ve banka şubeleri hizmet dışı kaldı.
- Çin’in büyük petrol firmalarından birisi olan China Petrol hizmet dışı kaldı.
- Renault firmasının Türkiye fabrikaları geçici olarak iş durdurma kararı aldı.
Verilerinizi Hard Disklere Yedekleyip Bilgisayar İle Bağlantısını Kesin
Son gelinen noktada WannaCry Virüsü ile alakalı sorun yaşamak istemeyen kullanıcıların önce İnternet Bağlantılarını kesmeleri ve sonrasında da verilerini Hard Disk gibi yedekleme birimlerine yedeklemeleri gerekiyor.
Akabinde hard disk ile bilgisayar arasındaki bağlantıyı kesmeli ve ağınıza yeniden bağlantı yapmalısınız. Bu sayede bilgisayarınıza bir şekilde WannaCry isimli zararlı solucan bulaşsa bile Önemli Verileriniz yedeklendiği için başınız ağrımayacaktır.
Ayrıca eğer geniş bir ağ yapısını kullanıyor ve bilgisayarlarınızı korumak istiyorsanız ağınız ile internet arasındaki bağlantıyı keserek süreçleri, eğer mümkün ise, belli bir süre sadece tablet PC gibi Android İşletim Sistemli cihazlar üzerinden takip ediniz.
Yazılımın ilerleyen süreçte sadece Fidye Yazılımı olarak kalmaması, veri hırsızlığı ve daha birçok yapıya bürünmesi de söz konusu. Bilgisayarınız bir kez ele geçirildikten sonra Zombi Cihaz olarak kullanımı, Bilgisayardaki verilerin başka konumlara aktarılması, Keylogger gibi yazılımların cihazlara yüklenmesi gibi birçok sorun da ortaya çıkabilmektedir.
Microsoft Türkiye’den Bir Açıklama Yapıldı
WannaCry Zararlı Yazılımı ile alakalı olarak Microsoft Türkiye tarafından detaylı bir açıklama yapıldı ve sitesinden duyuruldu.
Bu blog yazısıyla tüm son kullanıcı ve kurumların bu saldırıdan korunmak için yapması gerekenleri paylaşıyoruz.
Ayrıca tüm müşterilerimizi korumak için beklenenin ötesinde bir adım atarak, özel destek politikasına tabi olan Windows XP, Windows 8 ve Windows Server 2003 platformları için de bir güvenlik güncellemesi yayınlıyoruz.
Mart 2017’de, bu saldırıların faydalandığı zafiyeti adresleyen bir güvenlik güncellemesi yayınladık. Böylece, Windows Update güncellemesi aktif olan tüm kullanıcılarımız bu zafiyeti kullanan saldırılara karşı koruma altına alındılar. Bu güvenlik güncellemesini henüz uygulamamış olan kurumların hemen Microsoft Security Bulletin MS17-010 güncellemesini dağıtmalarını öneriyoruz.
Windows Defender kullanmakta olan müşterilerimiz için bu tehdidi Ransom: Win32/WannaCrypt olarak tespit eden bir güncelleme yayınladık. Etkili koruma için ekstra bir önlem olarak, bilgisayarlarınızda kurulu olan antivirüs yazılımlarını güncellemenizi öneriyoruz. Farklı bir güvenlik sağlayıcısının antivirüs çözümünü kullanmakta olan müşterilerimiz koruma altında olduklarını bu sağlayıcılarla teyit edebilirler.
Bu saldırı zaman içinde gelişebileceği için, daha fazla koruma için kurumlara detaylı savunma stratejileri oluşturmalarını öneriyoruz. (Örneğin, SMBv1 attacks saldırılarından daha iyi korunmak için müşterilerimiz ağlarındaki eski protokolleri engellemeyi değerlendirebilirler).
Bazı müşterilerimizin artık Microsoft tarafından desteklenmeyen Windows sürümlerini kullanmakta olduğunu biliyoruz. Bu müşterilerimiz Mart ayında yayınladığımız Güvenlik Güncellemesini alamadılar. Ancak, saldırıların potansiyel etkisini değerlendirerek Windows XP, Windows 8 ve Windows Server 2003 gibi sadece özel destek politikasına tabi olan platformlarımız için de Güvenlik Güncellemesini yayınladık. Bu karar, detaylı bir durum değerlendirmesinin ardından tüm müşteri ekosistemimizi koruma altına alma prensibiyle alındı.
Windows İşletim sisteminin desteklenen versiyonlarını kullanan müşterilerimiz (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016) için MS17-010 Güvenlik Güncellemesi Mart ayında yayınlandı. Bu versiyonlarda otomatik güncellemeleri aktif hale getirmiş olan veya güncellemeyi manuel olarak yükleyen müşterilerimiz koruma altındalar. Diğer müşterilerimizin mümkün olan en kısa süre içinde güncellemeyi yüklemelerini tavsiye ederiz.
Saldırıların bazıları yaygın olarak görülen zararlı dosya ekleri gibi oltalama (phishing) taktiklerini kullanmaktalar. Bu nedenle, tüm müşteri ve son kullanıcılarımız güvenilmeyen veya bilinmeyen kaynaklardan gelen e-posta ve dokümanlara karşı dikkatli olmalılar. Office 365 müşterilerimiz için sürekli olarak Ransom:Win32/WannaCrypt gibi tehditleri monitör ediyor ve koruma servislerimizi güncelliyoruz.
Bu zararlı yazılım hakkında daha detaylı bilgi Windows Güvenlik Bloğundaki Microsoft Zararlı Yazılım Koruma Merkezi’nde bulunuyor. Microsoft Zararlı Yazılım Koruma Merkezi’ne yeni olanlar için, bu platform BT Güvenlik Uzmanlarının sistemlerini daha iyi koruyabilmelerine yönelik bilgiler sunma odaklı teknik tartışma platformumuzdur.
Gelişmeler oldukça, müşterilerimizle birlikte çalışarak daha fazla destek sağlamak üzere bu blog yazısını güncelleyeceğiz.
WannaCry ile alakalı olarak ortaya çıkacak olan Güncel Verileri bu sayfa üzerinden duyurmaya ve siz değerli takipçilerimize aktarmaya devam ediyor olacağız. Sizler de sayfamızı takipte kalarak WannaCry Fidye Virüsü ile alakalı daha detaylı bilgilere erişebilirsiniz.