WannaCry Salgını | Ciddiye alınmalı

15 Mayıs 2017
1960
Bakıldı
Bu yazıyı derecelendirin!
[Total: 0 Average: 0]

WannaCry Salgını olarak bilinen virüs hızla yayılmaya devam etmektedir.
özellikle windows kullanıcılarının konuyu ciddiye almasını öneriyorum. Yayılan virüs bir çok Ülke’de kritik durumlara neden olmuştur
. Bir kaç Ülke’nin fabrikalarında üretimin durmasına neden olduğu kaynaklarda sıkca görülmektedir. Nedir bu Wanna Cry  diyecek olursanız Değerli abim Sn Mehmet Yayla’nın Virüs hakkında detaylandırdığ Konuyu aşağıda paylaşıyorum.

Not : Kendilerini güvenlik uzmanı olarak tanıtan ve bilgisayarınızı Wcrypt’e karşı koruyacağını iddia eden e-mail ve bağlantılara itibar etmeyin. Bu bağlantılar bilgisayarınızı korumaktan ziyade zarar verebilir . İtibarı olmayan link ve E-postalara tıklamayın. #WannaCry

Bu yazımda son günlerin en popüler siber güvenlik olayı WannaCry zararlısına değineceğim. Ulusal basınımıza da konu olan bu zararlı  nasıl bulaşır, nasıl korunma sağlayabiliriz gibi konuları irdelemeye çalışacağım.

Aslında WannaCry birçok kişinin bildiği ransomware ailesinden. Şuana dek yaklaşık olarak 378 farklı çeşidi tespit edilmiş fidye yazılımlarından biri sadece. Onu özel kılan ise yayılma şekli.
Geçenlerde ShadowBrokers adlı grubun NSA’den sızdırdığı ETERNALBLUE istismarı yoluyla yayılıyor. Buna dair ilk şüphe duyanlardan birinin twitter gönderisi için : Tıklayınız

Bu ETERNALBLUE neyin nesidir diye soranlar için hemen kısaca değinelim,
Microsot’un SMB prokolündeki bir açık sayesinde uzaktan kod çalıştırmayı mümkün kılan bir zaafiyet. Özetle, herhangi bir linke tıklamasanız dahi bu açıklık sayesinde WannaCry mağduru olabilirsiniz.
İlgili zaafiyet için daha fazla bilgi : Tıklayınız

Tabii bu açıklık daha önce tespit edilmiş ve mart ayı içinde Microsoft tarafından yamanmıştı.
ama bazı büyük sistemlerde güncelleme geçmek çoğu zaman zordur ve takvime bağlıdır. sisteme vereceği zarar göz önüne alınarak yamanın sorunsuz çalıştığı test edilir, ya da yetkili firma tarafından geri çekilebilir öngörüsüyle yüklemek için zaman tanınır.

İşte tam da bu noktada güncel olmayan sistemleri hedef alan bir salgın WannaCry. Şuana dek Rusya, İngiltere ve Tayland en çok etkilenenler arasında. Hatta bazı fabrikalarda üretimi durduracak kadar büyük bir salgın.

WannaCry ile tanışalım:
Klasik bir fidye zararlısı gibi C++ ile yazılmış ve sisteme bulaştığında dosya uzantılarını .WCRY olarak değiştiren ve dosyaların tekrar açılması için para talep eden bir yazılım.
Araştırmalara göre, fidye ödendiğinde arkada manual olarak ödemeyi kontrol eden ve ödeme geldiyse insiyatife göre decrypt işlemini başlatan bir yönetici ekibi var. Bu durum göz önüne alınırsa fidye ödendiğinde dosyalarınızın kurtulmama ihtimali de var. Tamamen kişinin insiyatifine kalmış. Yine bana facebook’tan gelen bir mesajı paylaşmak isterim.



Teknik olarak bakarsak;

Zararlı sisteme bulaştığında C2 sunucudan ZIP arşiv halinde bir paket indiriyor.
Paket şifreli, paketin şifresi : WNcry@2ol7
Paket içindeki dosyalar ise şöyle :
b.wnry – Masaüstü resmi
c.wnry – Tüm ayar dosyaları (C2 sunucu, BTC wallet vs… )
r.wnry – Fidye notu
s.wnry –Tor client exe’si
t.wnry – şifre dosyası
u.wnry – Decrypt etmek için gereken çalıştırılabilir dosya (bu dosyayı silerseniz dahi ödeme yapmanız durumunda kopyasını bulamazsanız kurtarma şansınız kalmaz)
Taskdl.exe – Şifreleme esnasında oluşturduğu tüm geçici dosyaları silmeyi sağlayan çalıştırılabilir dosya (.WNCRYT)
Taskse.exe – Çalışan tüm uygulamaları listeleyen çalıştırılabilir dosya
msg\* – dil dosyaları (28 dil için )

Ek olarak zararlı şifreleme esnasında birkaç dosya daha oluşturuyor.
00000000.eky – şifre dosyasını şifreleyen dosya
00000000.pky – Public Key
00000000.res – C2 bağlantı özeti
Diğer birçok ransomware çeşidi gibi RSA-AES128 kombinasyonunu kullanıyor. RSA için Windows CryptoAPI fakat AES için özelleştirilmiş bir modül kullanıyor.

Wannacry tüm dosya türlerini değil, sadece aşağıdaki dosya türlerini hedef alıyor.
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

Sistem kayıtları ise aşağıdaki gibi:

Registry:
HKLM\SOFTWARE\WanaCrypt0r

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random>: “”<zararlı dizini>\tasksche.exe””

HKLM\SOFTWARE\WanaCrypt0r\wd: “<zararlı dizini>”

HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”

HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<zararlı dizini>\@WanaDecryptor@.bmp”

Dosya Sistemi:
@Please_Read_Me@.txt – Her dizinin altına txt dosyası koyuyor.
@WanaDecryptor@.exe.lnk –her şifrelediği dizinin altına txt’e giden bir kısayol dosyası koyuyor.
%DESKTOP%\@WanaDecryptor@.bmp
%DESKTOP%\@WanaDecryptor@.exe
%APPDATA%\tor\cached-certs
%APPDATA%\tor\cached-microdesc-consensus
%APPDATA%\tor\cached-microdescs.new
%APPDATA%\tor\lock
%APPDATA%\tor\state
<zararlı dizini>\00000000.eky
<zararlı dizini>\00000000.pky
<zararlı dizini>\00000000.res
<zararlı dizini>\@WanaDecryptor@.bmp
<zararlı dizini>\@WanaDecryptor@.exe
<zararlı dizini>\b.wnry
<zararlı dizini>\c.wnry
<zararlı dizini>\f.wnry
<zararlı dizini>\msg\m_bulgarian.wnry
<zararlı dizini>\msg\m_chinese (simplified).wnry
<zararlı dizini>\msg\m_chinese (traditional).wnry
<zararlı dizini>\msg\m_croatian.wnry
<zararlı dizini>\msg\m_czech.wnry
<zararlı dizini>\msg\m_danish.wnry
<zararlı dizini>\msg\m_dutch.wnry
<zararlı dizini>\msg\m_english.wnry
<zararlı dizini>\msg\m_filipino.wnry
<zararlı dizini>\msg\m_finnish.wnry
<zararlı dizini>\msg\m_french.wnry
<zararlı dizini>\msg\m_german.wnry
<zararlı dizini>\msg\m_greek.wnry
<zararlı dizini>\msg\m_indonesian.wnry
<zararlı dizini>\msg\m_italian.wnry
<zararlı dizini>\msg\m_japanese.wnry
<zararlı dizini>\msg\m_korean.wnry
<zararlı dizini>\msg\m_latvian.wnry
<zararlı dizini>\msg\m_norwegian.wnry
<zararlı dizini>\msg\m_polish.wnry
<zararlı dizini>\msg\m_portuguese.wnry
<zararlı dizini>\msg\m_romanian.wnry
<zararlı dizini>\msg\m_russian.wnry
<zararlı dizini>\msg\m_slovak.wnry
<zararlı dizini>\msg\m_spanish.wnry
<zararlı dizini>\msg\m_swedish.wnry
<zararlı dizini>\msg\m_turkish.wnry
<zararlı dizini>\msg\m_vietnamese.wnry
<zararlı dizini>\r.wnry
<zararlı dizini>\s.wnry
<zararlı dizini>\t.wnry
<zararlı dizini>\TaskData\Tor\libeay32.dll
<zararlı dizini>\TaskData\Tor\libevent-2-0-5.dll
<zararlı dizini>\TaskData\Tor\libevent_core-2-0-5.dll
<zararlı dizini>\TaskData\Tor\libevent_extra-2-0-5.dll
<zararlı dizini>\TaskData\Tor\libgcc_s_sjlj-1.dll
<zararlı dizini>\TaskData\Tor\libssp-0.dll
<zararlı dizini>\TaskData\Tor\ssleay32.dll
<zararlı dizini>\TaskData\Tor\taskhsvc.exe
<zararlı dizini>\TaskData\Tor\tor.exe
<zararlı dizini>\TaskData\Tor\zlib1.dll
<zararlı dizini>\taskdl.exe
<zararlı dizini>\taskse.exe
<zararlı dizini>\u.wnry
C:\@WanaDecryptor@.exe

Korunma : 
+ Öncelikle mutlaka güncellemelerinzi kontrol ediniz
Profesyonel kullanıcılar için Hakan UZUNER’in paylaştığı PowerShell Scriptini kullanabilirsiniz: Tıklayınız 
+ Server 2003 ve XP için gerekli yamaları şuradan indirebilirsiniz : Tıklayınız
( son satıra bakınız )
+ Diğer sistemler için şuradan yama çekip uygulayabilirsiniz. Tıklayınız
+ Mayasoft’un hazırladığı toplu paketler : Tıklayınız 
+ SMB Portunu (445) kapatın , şu linkten portun açık/kapalı olduğunu kontrol edebilirsiniz : Tıklayın
+ Virüsün yayılmaz hızı ve anlık haritalı takip için : Tıklayınız
+ SMB protokolünü geçici süre kapatabilirsiniz.
Denetim Masası—Program Ekle/Kaldır–Windows Özelliklerini Aç/Kapat–SMB çentiğini kaldırın.

Çözüm : 
Halihazırda ilgili zararlı için herhangi bir araç bulunmamasına rağmen, 1MB’den büyük dosyalarınız için tek tek bir çalışma yapılabilir. Bu kesin çözüm sağlamasa da, MDF,ZIP,RAR türü dosyalarda işe yarayabilecek bir yöntemdir.

Herkese kolaylıklar dilerim.

Alıntıdır : Konu : http://www.mehmetyayla.com/wannacry-salgini/

Emeğin için teşekkür ederim abi

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir