5 Temmuz 2017 Çarşamba

SA4539/KY51-HA6: Test Sonuçlarımıza Göre; WannaCry Nedir, Nasıl Önlem Alınmalıdır?

"Unutmayın; önceden alınan önlemler sizi bu virüsten yüzde 90'a kadar koruyabilir."


Dünyada büyük şirketlere ve otomasyon sahiplerine korku salan bir tür "Hack" yöntemi (tarzı) geliştirildi. Yöntemin adı "Wanna Cry" ...

Dikkat edin "yöntem" diyorum. Çünkü eskiden bilgisayarı kısmen ele geçirmekle her hangi bir gelir elde edemeyen "İnternet korsanları" şu an Wanna Cry yöntemi ile hard diskinizin kısmen belli bölümünü, bazen ise tamamını kilitleyip (şifreleyip) sizden bir ücret talep ediyorlar.

Bizde bu konuyu merak edip olayı tam anlamıyla incelemek için eski bir bilgisayarımızı hazırlayıp karantinalı bir biçimde bu virüsü bulaştırdık. Tepkilerini inceledik ve "Nasıl korunabilir?" Bunu araştırdık.

Adım adım gidelim.
  1. Virüsün bulaşma şekli: E-mail ile gelen dosyalar arasına gizlenerek ya da taşınabilir bir diskte bulunan ön yüklemeli programlar vasıtası ile bulaşıyor.
  2. Virüsün bulaştıktan sonraki yayılma süresi: Bilgisayarınızın hızına göre değişen durum söz konusu... Bizde 2 dakikayı buldu bazen 30 saniye bazen ise 5 dakika arası.
  3. Virüsün yayıldıktan sonraki ilk tepkisi: Bir ekran karşınıza çıkıyor, arka plan resminiz gidiyor ve siyah bir ekran geliyor. Ve şöyle bir uyarı veriyor ;

TÜM DOSYALARINIZ ŞİFRELENDİ !

DOSYALARINIZIN ŞİFRESİNİ AÇTIRMAK İSTİYORSANIZ AŞAĞIDAKİ YAZILI KODA 300 DOLAR DEĞERİNDE BITCOIN GÖNDERİN.



Tabi biz kontrollü olarak bulaştırdığımız için böyle bir ücret ödemek zorunda kalmadık. Çünkü bilgisayarımızın sistemini bir usb'de oluşturduk. Virüsü temizleyememe durumumuzda diske biçimlendirme yapıp kurtarmak için...

Test sonuçlarımıza göre Wanna Cry ın bazı özellikleri;

  1. Virüs ağ üzerinden diğer bilgisayarlarınızla iletişim kurabiliyor.
  2. Virüs hızla yayılıyor ve tüm önemli dosyalarınızı kilitliyor.
  3. Kodlaması tamamen sayısal şifreleme sistemi ile şifrelenmiş üst düzey programlama bile bilseniz tam sistemine ulaşamayabilirsiniz.
  4. Dosyalarınıza 20 haneden başlayan ve dahada uzayabilen bir şifre koyuyor. (Kendi Decoder programı olmadan çözülmesi zor)
  5. Uzak erişim ile yazılımcısına ulaşıyor. (Bu kısım çok önemli, özel dosyalarınızın kopyası uzak erişimci tarafından arşivleniyor olabilir)
  6. Fidyeyi yatıranların ise şifreli dosyaları açılıyormuş genel olarak böyle bir iddia mevcut. (Bence hiç sevinmesinler çünkü biçimlendirme yöntemi ile bile silinmediğine bir şekilde kendini kopyalayıp gizlendiğine şahit olduk)
  7. Biz bir kaç kopya dosya oluşturduk ve bunların önemli dosya olduğunu varsaydık. Dosyalarımızı kurtarmakta başarılı olduk. Bilgisayarın güvenli modda açılması ile yarım saati bulan işlemler sayesinde önemli dosyalarımız olarak düşündüğümüz dosyayı kurtarmayı başarabildik. Ama şunu ekleyelim sistemi virüsten kurtaramadık. Yani var olan kurulu işletim sisteminin çöküşüne engel olamadık.

Biraz üstte virüsün sahibi ile iletişim kurduğunu aktarmıştım. 

Peki şimdi soruyorsunuzdur iletişim kuruyorsa sahibi bulunamaz mı?

Evet, bu konuyu şimdi biraz daha açalım.

Virüs "Deep Web" üzerinden iletişim kuruyor sahibi ile...

Yani siz farkında olmadan "deep web-derin internet" ile iletişim kurabilen internet tarayıcısı olan "Thor browser"u bilgisayarınıza indirip kendi içine yüklenen yönergeler ile sizi yazılımcısına para aktarmanız için yönlendiriyor.

Bundan sonrası çok önemli...

Zira istediği zaman istediğini derin internette bulup çıkaran derin istihbarat sahibi ülkeler isterse tahminimce bu şahıslara ulaşabilir. Ama yine yukarıda dediğimiz gibi virüsün enteresan bir özelliği var! 

HARD DİSKİNİZDEKİ DOSYALARIN KOPYASINI UPLOAD EDEBİLİYOR. YANİ BİLGİLERİNİZİ AKTARIYOR.

Neden bulmazlar? 

Belki anlayan anlamıştır. Belki de gerçekten bulamıyorlardır deyip gülelim...

Neyse, şimdi ülkemizdeki şirketlerimizi ve kurumlarımızı önlemler konusunda uyaralım...

  1. MUTLAKA ÖNEMLİ BİLGİSAYARLARINZI İNTERNET YERİNE KAPALI AĞA BAĞLAYIN!
  2. ÖNEMLİ BİLGİLERİNİZİ AĞA KAPALI HARİCİ DİSKLERDE TUTUN!
  3. OTOMASYON İÇİN KULLANDIĞINIZ SİSTEMLERİ İNTERNETTEN  UZAK TUTUN!
  4. PERSONELİN PC'LERE DIŞARIDAN HARİCİ DİSK TAKMASINA ENGEL OLUN!
  5. MÜMKÜN OLDUĞUNCA GÜVENMEDİĞİNİZ VEYA TANIMADIĞINIZ BİR YERDEN GELEN MAİLİ BİLGİSAYARINIZA İNDİRMEYİN!
  6. SÜREKLİ KULLANILAN ÖNEMLİ BİLGİSAYARLARINIZIN YEDEK DİSKLERİNİ TUTUN, HATTA BİR ADET İNTERNETE BAĞLI OLMAYAN YEDEK BİR BİLGİSAYARINIZ OLSUN. BÖYLELİKLE HİÇ BİR İŞİNİZ AKSAMADAN VİRÜS BULAŞAN SİSTEM DÜZELENE KADAR DEVAM EDEBİLİRSİNİZ .

Unutmayın; önceden alınan önlemler sizi bu virüsten yüzde 90'a kadar koruyabilir.

Saygılar

 Hakkı Aslan, 05.07.2017, Sonsuz Ark, Konuk Yazar, Dümenciler Dünyası, Kybernétes, 



Sonsuz Ark'tan


  1. Sonsuz Ark'ta yayınlanan yazılardan yazarları sorumludur. 
  2. Sonsuz Ark linki verilerek kısmen alıntı yapılabilir.
  3. Sonsuz Ark yayınları Sonsuz Ark Manifestosu'na aykırı yayın yapan sitelerde yayınlanamaz

Yorum Gönder

Seçkin Deniz Twitter Akışı