WannaCry Yayılmaya Devam Ediyor. Korunmak İçin Bazı Önlemler

Ortaya çıktığı ilk saatlerde 74 ülkede 100,000’lerce sistem Wannacry türevi fidye yazılımdan etkilendi. Diğer fidye yazılımlar gibi bulaştığı sistemdeki dosyaları şifreleyip kullanılmaz hale getiren zararlı yazılım kurbandan para talep ediyor.

Zararlı yazılımın saatte 5 milyon mail gönderebilen dev bir operasyon kapsamında yayıldığı düşünülmektedir.

Zararlı yazılım Windows sistemlerde eksik olabilecek MS17-010 yamasının kapattığı açığı kullanıyor. Konuya ilişkin Microsoft yayınladığı bilgi notuna
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx adresinden ulaşabilirsiniz.

Acil olarak alınması gereken tedbirler şunlardır:

Kimden gönderildiğinden kesinkes emin olmadığınız ve/veya şüpheli gözüken e-postaları, açmadan hemen silin.
Bilgisayarınızın Microsoft güncellemelerinin tam olup olmadığını kontrol edin, herhangi bir güncelleme varsa, yapın.
Virüs programınızın ve virüs veri tabanının güncel olup olmadığını kontrol edin.
Herhangi bir bulaşma riskine karşın, dosyalarınızın yedeklerini alın.

Daha sonra zararlıların size bulaşmasına engel olmak için aşağıda belirtilen yöntemleri uygulamanızda fayda var. Bu işlemler ile zararlıların kullandıkları portların kapatıldığı ve bu sayede büyük oranda koruma sağlandığı söylenmektedir.

Lütfen bilgisayarlarınızda bu önlemleri alınız. Ayrıca, zararlının yaptıkları ve yapabilecekleri hakkında aşağıda verilen bağlantıları inceleyebilirsiniz.

Tüm Windows Sürümlerinde Yapılması Gerekenler

Denetim masasında (Control Panel) Programlar ve Özellikleri (Programs and Feautures) açtıktan sonra, buradan aşağıdaki ekranda gördüğünüz gibi SMB 1.0 içeren kutular seçiliyse, seçimi kaldırmanız gerekmektedir.

Aşağıda verilen tüm komutlar Windows PowerShell’i yönetici hakları ile açtıktan sonra aşağıdaki komutlar girilemelidir.
Windows PowerShell i Yönetici olarak açmayı bilmiyorsanız konu ile ilgili yazımızı buradan okuyabilirsiniz.

Windows 7, Windows Server 2008 R2, Windows Vista, ve Windows Server 2008 Bilgisayarlarda Yapılması Gerekenler

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 –Force
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

Windows 8 ve Windows Server 2012 Bilgisayarlarda Yapılması Gerekenler

Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-SmbServerConfiguration -EnableSMB2Protocol $false
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

Windows 8.1, 10 ve Windows Server 2016 Bilgisayarlarda Yapılacaklar:

Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-SmbServerConfiguration -EnableSMB2Protocol $false
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

İşlemler tamamlandıktan sonra, bilgisayarınızı yeniden başlatmanız gerekmektedir.

Zararlı hakkında bilgi almak isteyenler aşağıdaki adresleri ziyaret edebilirler:

http://blog.talosintelligence.com/2017/05/wannacry.html
https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/
http://thehackernews.com/2017/05/how-to-wannacry-ransomware.html

Saygılarımızla,

Çankaya Üniversitesi Bilgi İşlem Müdürlüğü

Çankaya Üniversitesi Merkez Kampüsü
Yukarıyurtçu Mahallesi
Mimar Sinan Cad. No:4
06790 Etimesgut/ANKARA
Tel: +90 (312) 233 10 30
Web: http://www.cankaya.edu.tr
E-Posta: bim@cankaya.edu.tr