WannaCry Fidye Yazılımından Korunun!


WannaCry 12 Mayıs 2017 Cuma günü ortaya çıkan bir fidye yazılımıdır. 2 temel modülden oluşur, solucan ve asıl fidye yazılımı; Solucan modülü, Microsoft Windows SMB Server Remote Code Execution Vulnerability (CVE-2017-0144) ve Microsoft Windows SMB Server Remote Code Execution Vulnerability (CVE-2017-0145) zaafiyetlerinden faydalanarak yayılmış ve bulaştığı sistemler üzerindeki tüm verileri şifreleyerek ulaşılamaz hale getirmiştir.

Söz konusu zaafiyetler SMBv1 kullanan tüm Windows sürümlerini etkilemektedir.

Microsoft tarafından 14 Mart 2017’de yayınlanan aşağıdaki yamayla söz konusu açık giderilmiştir. Microsoft Security Bulletin MS17-010 – Critical Security Update for Microsoft Windows SMB Server (4013389) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Check Point tarafından WannaCry’a karşı koruma sağlamak üzere aşağıdaki IPS imzaları yayınlanmıştır.

  • Microsoft Windows EternalBlue SMB Remote Code Execution https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332.html

  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0177.html

  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0198.html

  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0200.html

  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0203.html

  • Microsoft Windows SMB Information Disclosure (MS17-010: CVE-2017-0147) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html

  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0148) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0419.html

Bu ve benzeri zararlı yazılımlardan korunmak için müşterilerimize aşağıdaki adımları uygulamalarını öneriyoruz.

  • Kullandığınız AV, IPS ve Web Filtering sistem / yazılımlarını ve işletim sistemlerinizi güncel tutun.

  • Kullandığınız bir EndPoint çözümü varsa veya Active Directory’niz üzerinden bir GPO aracılığıyla WNCRY uzantılı dosyaların çalıştırılmasını engelleyin.

  • Güvenlik cihazlarınızda dışarıdan ağınıza doğru (inbound) yönündeki UDP 137 & 138 ve TCP 139 & 445 portlarını kapatın.

Ek olarak Check Point tarafından yayınlanan analiz sonuçlarını aşağıdaki link’lerden inceleyebilir, herhangi bir sorunuz olması halinde support@zerosecond.com.tr adresinden doğrudan bize ulaşabilirsiniz.

http://blog.checkpoint.com/2017/05/12/global-outbreak-wanacryptor/

http://blog.checkpoint.com/2017/05/16/crying-futile-sandblast-forensic-analysis-wannacry/


Son yazılar
Arşiv

© 2016  Zero Second® Bilişim Sistemleri | 0212 270 71 21

  • LinkedIn Social Icon