WannaCrypt Saldırısından Nasıl Korunulur

Şu anda konuyu okuyanlar (Üyeler: 1, Ziyaretçi & Botlar: 0)

Katılım
25 Nis 2017
Mesajlar
360
Beğeniler
106
Puanları
43
Konum
Ankara
#1
Dünya çapında bir kaç ülkeye bulaşmış olan wanacrypt0r bilgisayarınızı esir alan ve bitcoin karşılığında yeniden kullanılabilir hale getiren bir ransomeware. Kendini 2.0 sürümüne güncelleyerek farklı bir algoritma ile karşımıza çıkan bu virüs için standart önlemler pek işe yaramıyor. Bunun nedeni herhangi bir siteye girmek yada bir dosyayı açmak ile değil, internete bağlı olmanız sonucunda bilgisayarınıza bulaşabiliyor. Türkiye'nin de içinde bulunduğu bir tehdit söz konusu. Konu bu kadar ileriye gitmişken bir önlem almanın zamanı geldi diye düşünüyorum.

Öncelikle bu virüs yalnızca Windows işletim sistemlerini etkiliyor ve otomatik güncelleme almıyorsanız bilgisayarınızı etkileme ihtimali çok yüksek. Şifrelediği dosyaların uzantılarını .wnry, .wcry, .wncry, ve .wncryt olarak değiştiriyor. Bu virüsten korunmak için ya Microsoft'un yayınladığı güvenlik güncellemesini indirebilir (Microsoft Security Bulletin MS17-010 - Critical) ya da SMB dosya paylaşımını kapatabilirsiniz. SMB dosya paylaşımını kapatmak için adımları takip edebilirsiniz;

Windows 10

1 ) Denetim masasına girin.

2) Programlar'a tıklayın.
1.jpg


3) "Windows özelliklerini aç veya kapat" sekmesine tıklayın.
2.jpg


4) SMB dosya paylaşım özelliğinin yanındaki tik işareti kaldırın

3.jpg


5) Bilgisayarınızı yeniden başlatın

Windows 7
@__kadıköyRAP__
kullanıcısının paylaşımı:

Windows 7'de bahsi geçen menü yok. Regedit'ten kapatabilirsiniz.

Kod:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
İçinde yeni DWORD oluşturun, adını SMB1 yapın ve değerini 0 girin.

Ekli dosyayı görüntüle 22737


Veya bu işlemi PowerShell'i yönetici olarak çalıştırıp şu kodu girerek de yapabilirsiniz.

Kod:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Kaynak:
https://support.microsoft.com/tr-tr...r-2008-r2,-windows-8,-and-windows-server-2012


Bu önlem virüsün kendini yeniden güncelleyerek Windows'un güvenlik güncellemesini aşması durumunda da işe yarayacaktır. Bu nedenle güncellemeyi yapmak yerine bunu kullanmak daha faydalı olacaktır diye düşünüyorum.
 
Son düzenleme:
Katılım
6 Kas 2011
Mesajlar
6,983
Beğeniler
2,698
Puanları
113
#2


Bu durumla alakası yok birazdan söyleyeceklerimin.
Aslında devletler için tehdit o kadar büyük durumda ki Linux kullanılsa bile bazı tehditler elimine edilemiyor.
Misal Intel'in 2010'dan sonraki tüm işlemcilere bilerek açık kapı bıraktığı ve bu açık kapıdan CIA'nin ve NSA'in hemen her bilgisayara istediği gibi sızabileceği ve bundan sistemin haberinin bile olmayacağı(donanımsal olduğu için) ortaya çıktı.
Bunu ortaya çıkaran da Linux'un kurucularından ve felsefesinin en önemli sahibi, aynı zamanda dünyanın en büyük beyaz hackerlarından biri olan Richard Stallman.
Stallman üstad Nvidia'yı hiç incelemedi, incelese büyük ihtimal onda da benzer şeyler bulacak.
Windows 10'nun bizzat kendisinin virüs gibi hareket ettiği konusuna hiç girmeyeceğim.
 

penguin

Profesör
Katılım
11 Haz 2009
Mesajlar
3,507
Beğeniler
195
Puanları
63
Konum
Noname
#4
Richard Stallman'i görünce aklıma direkt Teknoseyir'den (daha evvel de darkhardware'den) Levent Pekcan geliyor. İkiz kardeş gibiler. :)
Levent'e de selamlar.
 
Katılım
3 Mar 2007
Mesajlar
29,263
Beğeniler
2,010
Puanları
113
#5
Windows 7'de bahsi geçen menü yok. Regedit'ten kapatabilirsiniz.

Kod:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
İçinde yeni DWORD oluşturun, adını SMB1 yapın ve değerini 0 girin.

2017-05-15_23-06-26.png



Veya bu işlemi PowerShell'i yönetici olarak çalıştırıp şu kodu girerek de yapabilirsiniz.

Kod:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Kaynak:
https://support.microsoft.com/tr-tr...r-2008-r2,-windows-8,-and-windows-server-2012
 
Son düzenleme:
Katılım
25 Nis 2017
Mesajlar
360
Beğeniler
106
Puanları
43
Konum
Ankara
#6
Windows 7'de bahsi geçen menü yok. Regedit'ten kapatabilirsiniz.

Kod:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
İçinde yeni DWORD oluşturun, adını SMB1 yapın ve değerini 0 girin.

Ekli dosyayı görüntüle 22737


Veya bu işlemi PowerShell'i yönetici olarak çalıştırıp şu kodu girerek de yapabilirsiniz.

Kod:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Kaynak:
https://support.microsoft.com/tr-tr...r-2008-r2,-windows-8,-and-windows-server-2012
Ekleme için teşekkürler :) Bunu da ana mesaja ekliyorum.
 
Katılım
5 May 2012
Mesajlar
320
Beğeniler
30
Puanları
28
Konum
Şırnak
#7
2 kere benim olmayan ama ilgilendiğim bilgisayarlarda başıma geldi. Birinde tüm bilgisayardaki dosyaların uzantısı .odcodc yapmıştı diğerin de .wncry
-Birinde epostadan gelen bir dosya indirilmiş ve çalıştırılmış diğeri de netten indirilen bir dosya çalıştırılmış ve bilgisayara bulaşmış.
-En önce dikkatli bir kullanıcı olacaksınız. Epostadan gelen her linke tıklamayacaksınız mesela.
-Antivirüs programı yüklü olacak sistemi elinizden geldiği kadar güncel tutacaksınız ve arada sistem geri yükleme noktası oluşturacaksınız. (virüs sistem geri yükleme dosyasını da etkiliyor ama yine de çeşitli programlarla geri yükleme dosyalarından veri çekilebiliyor)

Eğer saldırı önemli bir firmanın önemli dosyalarını etkilemişse şifre kırılabiliyor ama kırılsa bile bazı dosyaları yine de bozmuş olabiliyor.
Şifre 256 bit şifreleme sisteminde olduğu için kırılamayınca ücretini ödüyorlar onda da bazen ödeme yapılmasına rağmen yardımcı olmadıklarını duydum.(Bu yolu hiç denemedim)

+Bu sebeplerle en güzeli önemli dosyalarınızı harici depolama alanlarınıza belirli zaman aralıklarıyla yedeklemek. Virüs bulaşırsa formatlar geçersiniz.
 

Benzer Konular

Üst
stat counter