TR-17-052 (WannaCry Ransomware)

Genel Bilgi

Dünya genelinde phishing (oltalama) saldırısı ile bulaştırılan, Microsoft Windows SMB zafiyetini kullanarak iç ve dış ağda yayılan WannaCry Ransomware bir fidye yazılımı olup bilgisayar üzerindeki tüm kritik dosyaları şifrelemekte ve şifreli dosyaları geri çözmek için 300$ - 600$ arasında ücret istemektedir. WannaCry zararlı yazılımının çalışma yapısı iki aşamada gerçekleşmektedir.

1) Bulaştığı sistem üzerindeki tüm dosyaları şifrelemek.

2) Microsoft Windows SMB zafiyetinden yararlanarak iç ve dış ağdaki diğer sistemlere bulaşmak.

Microsoft, Windows SMB zafiyetinin kapatılması için 14 Mart 2017 tarihinde MS17-010 güncellemesi yayınlanmıştır. İlgili zararlı yazılımın MS17-010 güncellemesi kurulu olan sistemlerde SMB yoluyla bulaşma olasılığı olmamakla birlikte zararlı yazılım SMB zafiyeti olan bir sisteme bulaştıktan sonra bu güncellemenin yapılması bir yarar sağlamamaktadır.

Etki

İlgili zararlı yazılım sisteme bulaşıp mevcut Microsoft Windows SMB zafiyetinin istismar edilmesi sonucu zararlı yazılım iç ve dış ağda yayılıp tüm kritik dosyaları şifrelemektedir. Şifrelediği dosyalar arasında Microsoft Office dosyaları, metin belgeleri, fotoğraflar, videolar, arşiv dosyaları başta olmak üzere 100’den fazla uzantıyı şifrelediği tespit edilmiştir.

Sistem üzerindeki dosyalar şifrelendikten sonra masaüstü duvar kağıdı kaldırılarak kullanıcıların karşısına şifreli dosyaların çözülebilmesi için ücret talep eden bir mesaj çıkmaktadır. Bu ücret 300$ - 600$ arasında olup istenen ücret ödenmediği taktirde 3 gün sonra ücretin artacağı ve 7 gün sonra dosyaların geri kurtarılmasının imkanı olmayacağını belirterek kullanıcıları ilgili ücreti ödemeye zorlamaktadır.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM) kullanıcı ve sistem yöneticilerine;

1) Güncel olmayan sistemlerde SMB için MS17-010 güncellenmesi,

2) Windows dosya paylaşım servisi olan SMB’nin kullanılmadığı durumlarda kapatılmasını,

3) USOM tarafından SMB zafiyetiyle ilgili yayınlanan 21 Mart tarihli bildirimin (www.usom.gov.tr/tehdit/177.html) incelenmesi,

4) USOM zararlı bağlantılar listesinin (www.usom.gov.tr/zararli-baglantilar/1.html) güvenlik cihazlarında tanımlanmasını,

5) Benzeri zararlı yazılımlara karşı düzenli olarak yedek alınmasını,

6) Antivirüs yazılımlarının güncel olarak kullanılmasını

7) Merak uyandıran phishing epostalarına karşı dikkatli olunması ve eklerinin kesinlikle açılmamasını tavsiye etmektedir. 

Kaynaklar

https://www.usom.gov.tr/tehdit/177.html

https://twitter.com/TRCert/status/863116499405426689 (12/05/2017, 22:39)

https://support.microsoft.com/tr-tr/help/4013389/title

https://blog.kaspersky.com.tr/wannacry-ransomware/3181/

2017-05-13