WannaCry / Wcry Ransomware: BT / Sistem Yöneticilerinin Yapması Gerekenler

WannaCry / Wcry fidye yazılımının etkileri yaygın olsa da bir umut ışığı var: Fidye yazılımında, tetiklendiğinde sistemde çalışmasını engelleyen bir “öldürme anahtarı” bulunuyor.

Geçen hafta WannaCry’ın saldırıları sırasında sisteminiz uyku modunda ise geçen hafta sonu WannaCry’ın saldırılarından kurtulmuş olma şansı çok yüksek. Ama sistemi uyandırdığınızda ne olacak? Kısa cevap: Öldürme anahtarı hala fidye yazılımının şifreleme rutinini engeller. Bu, IT / sistem yöneticileri ve bilgi güvenliği (InfoSec) profesyonellerinin, savunmasız sistemleri düzeltmek veya bunları güncellemek, WannaCry gibi tehditlerin gelecekte onları etkilemesini önlemek için yararlanabileceği bir fırsat penceresidir.

Hafta boyunca sistem ve ağlarınızın fidye yazılımının saldırılarından etkilenip etkilenmediğini kontrol etmek için yapabileceğiniz bazı eylemler var.

[OKUYUN: Trend Micro’nun WannaCry fidye yazılımı koruması hakkındaki son güncelleme]

Uyku modundaki makinelere virüs bulaşmaz, bu nedenle derhal onları yamalayın.

Trend Micro’nun WannaCry analizi ve simülasyonları gösteriyor ki, makineler uyku modunda ise, Aktarma Kontrol Protokolü (TCP) bağlantı noktası port 445 açık ve yamasız olsa dahi fidye saldırısı başarısız olur.

WannaCry fidye yazılımı saldırı zincirinin bir kısmı, daha fazla sisteme bağlanmayı ve bunlara bulaşmayı gerektirir. Uyku modunda bir makineye bağlanmaya çalışırsa, bir “soket hatası” alır ve ona erişemez. Sonuç olarak, kötü amaçlı yazılım bir sonraki IP’ye geçecek ve ona bağlı makinelere erişmeye çalışacaktır.

Bu IT / sistem yöneticilerine WannaCry’ın enfeksiyonunu sistemlere bulaştırmak için kullandığı güvenlik açığına hemen yamayarak engellemeleri için bir fırsat penceresi sunar.

[Security Intelligence Blog’tan: WannaCry / Wcry fidye yazılımının teknik bir özeti]

Makineyi “uyandırdığınızda” ne olur?

WannaCry, sistemin Yerel Alan Ağı’nı (LAN) ilk enfeksiyon esnasında tarar ve LAN’daki tüm IP’leri numaralandırır. Enfekte olmuş makinenin LAN’ı hafta sonu boyunca (kötü amaçlı yazılım ortaya çıktıktan sonra) numaralandırılmışsa ve ağdaki savunmasız bir makine uyku modunda ise WannaCry bunu atlayacaktır. Buna göre, kullanıcı virüs bulaşmamış bir bilgisayarı virüslü bir ağ içinde uyandırdığında virüs bulaşmaz. Bu, IT / sistem yöneticileri için gerekli düzeltme eklerini ve güncellemeleri sisteme uygulama fırsatıdır.

Bununla birlikte, başlangıçta virüs bulaşmış bir makineyi yeniden başlatmak, LAN tarama işlemini yeniden başlatacaktır. Neyse ki, WannaCry’ın “öldürme anahtarı” var. WannaCry’ın bulaşma rutininin bir bölümü, canlı bir URL / etki alanını kontrol eden bir istek gönderilmesini içerir. URL’nin canlı ya da çevrimiçi olduğunu gösteren isteği geri gelirse, öldürme anahtarı etkinleştirilecek ve WannaCry’ın sistemden çıkmasını isteyecektir ve artık onun yayılması için şifreleme yordamlarına geçilmeyecektir. Böylece, virüs bulaşmış makine yeniden başlatılsa bile, öldürme anahtarı, WannaCry’ın üzerindeki rutinlerini yerine getirmesini engeller.

Bununla birlikte, bu bir kurtuluş kabul edilmemelidir. Bu fırsat penceresi veya saldırıya maruz kalma olarak gelişebilir. BT / sistem yöneticileri, bu noktada sistemleri hemen yamamalı ve güncelleştirmelidir.

[OKUYUN: Çok katmanlı çözümler ve WannaCry / Wcry fidye yazılımına karşı savunma]

WannaCry zaten sistemdeyse ne olacak?

Makineye zaten virüs bulaşmışsa ne olur? WannaCry’ın bileşenlerinden biri olan mssecvc.exe, sistemde zaten bulunuyorsa, öldürme anahtarı-orada olduğu sürece- WannaCry’ın şifreleme bileşeninin güvenlik açığı bulunan makineye düşmesine engel olacaktır. BT / sistem yöneticileri ve InfoSec uzmanları, gerekli vaka yanıtlama ve düzeltme görevlerini – özellikle sistem güncelleme ve ekleme – yapabilirler.

[OKUYUN: WannaCry ve yamanın gerçekliği]

Sistemlerinizi düzeltin ve en iyi uygulamaları uygulayın.

WannaCry hadisesi, düzenli olarak yama uygulanan ve güncellenmiş sistemlerin, ağların korunmasının önemini ortaya koyuyor. WannaCry gibi tehditler bir kuruluşa ulaşmak için güvenlik açıklarının kötüye kullanır. Bu, saldırıya açık olmak ile bir yamanın uygulanması arasındaki maruz kalma penceresidir. Sistemleriniz ve ağlarınız ne kadar uzun süre savunmasız kalırsa, saldırganlara saldırmak için o kadar çok zaman tanımış olursunuz. Kuruluşlar, ticari faaliyetlerini sürdürmek için gerekenler ile güvenli çalışma ihtiyaçlarını dengelemelidir.

Gerçekten de, saldırganları uzak tutmak, birçok işletme için zamana karşı bir yarış. Proaktif güvenlik mekanizmaları, sağlam BT politikaların ve iş ortamındaki güçlü güvenlik duruşunu birleştiren, kapsamlı bir savunma yaklaşımı, WannaCry gibi tehditleri engellemeye yardımcı olabilir.

Trend Micro Fidye Yazılımı Çözümleri

Şirketler, fidye yazılımları gibi tehditlerin getirdiği riskleri hafifletmek için çok katmanlı bir yaklaşım kullanmalıdır.

Trend Micro ™ Deep Discovery ™ E-mail Inspector ve InterScan ™ Web Security gibi e-posta ve web ağ geçidi çözümleri, fidye yazılımının son kullanıcılara ulaşmasını önler. Son nokta düzeyinde, Trend Micro Smart Protection Suites, yüksek güvenilirliğe sahip otomatik öğrenme, davranış izleme ve uygulama denetimi ve tehdidin etkisini en aza indiren güvenlik açığı koruması gibi çeşitli yetenekler sunar. Trend Micro Deep Discovery Inspector ağlardaki fidye yazılımlarını algılar ve bloke eder; Trend Micro Deep Security ™ fidye yazılımının fiziksel, sanal veya bulut durumuna bakılmaksızın kuruluş sunucularına erişmesini durdurur.

Küçük işletmeler için Trend Micro Worry Free Services Advanced, E-posta Güvenliği Barındırma aracılığıyla bulut tabanlı e-posta ağ geçidi güvenliği sağlar. Uç nokta koruması, aynı zamanda, fidye yazılımını algılamak ve engellemek için davranış izleme ve gerçek zamanlı web itibarı gibi çeşitli yetenekler de sunar.

Ev kullanıcıları için Trend Micro Security 10, kötü amaçlı web sitelerini, e-postaları ve bu tehditle ilişkili dosyaları engelleyerek fidye yazılımına karşı güçlü koruma sağlar.

Trend Micro’un teknik destek sayfasında Trend Micro Deep Security, Vulnerability Protection, TippingPoint, Deep Discovery Inspector, ve Trend Micro Home Network Security tespit ve çözümleri hakkında daha ayrıntılı bilgi bulabilirsiniz.

Bir cevap yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.