WannaCry fidye yazılımı şimdiden 230.000'den fazla bilgisayarı rehin alan yeni ve yaygın siber salgındır. Mevcut yayılma hacmiyle WannaCry, Cerber veya Locky gibi diğer kötü şöhretli siber tehditlerin düzeyine yaklaşıyor.
Bununla birlikte, ayırt eden şey WCry geçen yılın bu iki parazitinden en tehlikelisi, yeni dağıtım tekniklerinin kullanılmasıdır. kurbanların virüslü bağlantılara tıklamasına veya başka herhangi bir şekilde fidye yazılımı ediniminde yer almasına gerek yok yol.
Kötü amaçlı yazılım, bilgisayarlara sızmak ve kötü amaçlı komut dosyasını çalıştırarak kullanıcının verilerine erişilemez hale getirmek için ABD istihbaratı tarafından kullanılan uygulamaları ve araçları kullanır. Özellikle, fidye yazılımı, yama uygulanmamış bir MS17-010 güvenlik açığına sahip Windows cihazlarını hedeflemek için EternalBlue açığından yararlanır. Bu güvenlik açığı, artık desteklenmeyen ve hiçbir güvenlik güncellemesi almayan Windows sürümlerinde açıktır.
Neyse ki, en son olaylara yanıt olarak Microsoft, Windows XP, Windows Server 2003, Windows 8 ve diğer birkaç eski işletim sistemi için acil durum yamaları yayınladı. Ancak yazılım güncellemesi bile fidye yazılım saldırılarını önlemeye yetmeyebilir.
Aşağıda, kötü amaçlı yazılımları dağıtmak için kullanılan SMB (Sunucu İleti Bloğu) işlevinin nasıl devre dışı bırakılacağına ilişkin talimatlar vereceğiz. WanaCrypt0r bilgisayardaki dosyalar. Ancak öğreticiye geçmeden önce, daha kolay tanımanıza yardımcı olmak için kötü amaçlı yazılımın kısa bir tanımını ve virüslü bilgisayarda nasıl davrandığını vermek istiyoruz.
Wannacry, şifrelenmiş dosyaları işaretlemek için farklı uzantılar kullanır
Fark etmiş olabileceğiniz gibi, önceki paragraflarda WannaCry virüsüne atıfta bulunmak için farklı isimler kullandık. Bunun nedeni, virüsün, gerçekten de, çeşitli şekillerde ve biçimlerde dolaşmasıdır, büyük olasılıkla tanıması ve sonlandırması daha zor olacaktır.
Araştırma, virüsün artık dört farklı uzantı kullandığını ortaya koydu: .wncry, .wncrytt, .wcry veya .wncryt şifrelenmiş dosyaları işaretlemek için kullanılır, ancak fidye yazılımları aldıkça daha fazla varyasyon bekleyebiliriz. hız. Bu uzantıları bırakmak ve dosyaları kurtarmak için kullanıcılar, gaspçılara Bitcoin olarak 600 dolara kadar ödeme yapmalıdır; aksi takdirde şifrelenmiş veriler imha edilecektir. @[e-posta korumalı] penceresi, veri imhasına kadar geçen süreyi geri sayan bir zamanlayıcı açar. Ne yazık ki, şu anda şifrelenmiş verilerin ücretsiz olarak kurtarılmasına yardımcı olacak ücretsiz bir şifre çözme yazılımı bulunmamaktadır.
Bu nedenle, bir kez enfekte olduğunuzda, saldırının sonuçlarını geri almak için yapabileceğiniz pek bir şey yoktur. Bu nedenle, herhangi bir virüs sisteminize ayak basmadan önce önlem almak ve cihazınızı korumak çok daha önemlidir. WannaCry sızmasını önlemek için atmanız gereken bazı adımlar.
SMB nasıl devre dışı bırakılır ve WannaCry saldırısı nasıl önlenir?
SMB (Sunucu İleti Bloğu) işlevi, fidye yazılımının bilgisayarlara bulaşmasına izin veren ana güvenlik açığıdır. Bu özellik Windows'ta varsayılan olarak etkinleştirildiğinden, gaspçılar saldırıyı gerçekleştirmek için bunu kolayca kullanabilir. Bu nedenle, kullanmıyorsanız devre dışı bırakmanızı şiddetle tavsiye ederiz. Gerçekten çok basit ve üç temel adımda başarabilirsiniz:
- Ekranın sol alt köşesindeki Windows logosuna tıklayın ve arama çubuğuna “Windows Özellikleri” yazın.
- Özellik penceresini açın ve ayarlara gidin ve SMB girişini arayın. İşaretini kaldırın ve Tamam'ı tıklayın
- bilgisayarı yeniden başlat
SMB'yi PowerShell aracılığıyla da devre dışı bırakabilirsiniz. Yapmanız gereken “Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol” yazmanız. Özellik devre dışı bırakıldıktan sonra bilgisayarı yeniden başlatmanızı öneririz.