WannaCrypt Saldırısından Nasıl Korunulur

Bu konuyu okuyanlar

FlameWinder

Asistan
Katılım
25 Nisan 2017
Mesajlar
357
Reaksiyon puanı
106
Puanları
43
Dünya çapında bir kaç ülkeye bulaşmış olan wanacrypt0r bilgisayarınızı esir alan ve bitcoin karşılığında yeniden kullanılabilir hale getiren bir ransomeware. Kendini 2.0 sürümüne güncelleyerek farklı bir algoritma ile karşımıza çıkan bu virüs için standart önlemler pek işe yaramıyor. Bunun nedeni herhangi bir siteye girmek yada bir dosyayı açmak ile değil, internete bağlı olmanız sonucunda bilgisayarınıza bulaşabiliyor. Türkiye'nin de içinde bulunduğu bir tehdit söz konusu. Konu bu kadar ileriye gitmişken bir önlem almanın zamanı geldi diye düşünüyorum.

Öncelikle bu virüs yalnızca Windows işletim sistemlerini etkiliyor ve otomatik güncelleme almıyorsanız bilgisayarınızı etkileme ihtimali çok yüksek. Şifrelediği dosyaların uzantılarını .wnry, .wcry, .wncry, ve .wncryt olarak değiştiriyor. Bu virüsten korunmak için ya Microsoft'un yayınladığı güvenlik güncellemesini indirebilir (Microsoft Security Bulletin MS17-010 - Critical) ya da SMB dosya paylaşımını kapatabilirsiniz. SMB dosya paylaşımını kapatmak için adımları takip edebilirsiniz;

Windows 10

1 ) Denetim masasına girin.

2) Programlar'a tıklayın.
1.jpg


3) "Windows özelliklerini aç veya kapat" sekmesine tıklayın.
2.jpg


4) SMB dosya paylaşım özelliğinin yanındaki tik işareti kaldırın

3.jpg


5) Bilgisayarınızı yeniden başlatın

Windows 7
@__kadıköyRAP__
kullanıcısının paylaşımı:

Windows 7'de bahsi geçen menü yok. Regedit'ten kapatabilirsiniz.

Kod:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

İçinde yeni DWORD oluşturun, adını SMB1 yapın ve değerini 0 girin.

Ekli dosyayı görüntüle 22737


Veya bu işlemi PowerShell'i yönetici olarak çalıştırıp şu kodu girerek de yapabilirsiniz.

Kod:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Kaynak:
https://support.microsoft.com/tr-tr...r-2008-r2,-windows-8,-and-windows-server-2012


Bu önlem virüsün kendini yeniden güncelleyerek Windows'un güvenlik güncellemesini aşması durumunda da işe yarayacaktır. Bu nedenle güncellemeyi yapmak yerine bunu kullanmak daha faydalı olacaktır diye düşünüyorum.
 
Son düzenleme:

Ben Kenobi

Dekan
Katılım
6 Kasım 2011
Mesajlar
7,336
Reaksiyon puanı
3,102
Puanları
113
BusinessTux.png


Bu durumla alakası yok birazdan söyleyeceklerimin.
Aslında devletler için tehdit o kadar büyük durumda ki Linux kullanılsa bile bazı tehditler elimine edilemiyor.
Misal Intel'in 2010'dan sonraki tüm işlemcilere bilerek açık kapı bıraktığı ve bu açık kapıdan CIA'nin ve NSA'in hemen her bilgisayara istediği gibi sızabileceği ve bundan sistemin haberinin bile olmayacağı(donanımsal olduğu için) ortaya çıktı.
Bunu ortaya çıkaran da Linux'un kurucularından ve felsefesinin en önemli sahibi, aynı zamanda dünyanın en büyük beyaz hackerlarından biri olan Richard Stallman.
Stallman üstad Nvidia'yı hiç incelemedi, incelese büyük ihtimal onda da benzer şeyler bulacak.
Windows 10'nun bizzat kendisinin virüs gibi hareket ettiği konusuna hiç girmeyeceğim.
 

Halktan Biri

Dekan
Emektar
Katılım
30 Ekim 2016
Mesajlar
9,399
Reaksiyon puanı
9,195
Puanları
113
Ayrıca ben internetteki bir makalede WannaCrypt virüsünün bulaşmasından korunmak için PowerShell'den SMB1'in nasıl kaldırılacağını okudum. Ve hatta SMB1'i sildim. :)
 
Son düzenleme:

penguin

Profesör
Katılım
11 Haziran 2009
Mesajlar
3,495
Reaksiyon puanı
201
Puanları
63
Richard Stallman'i görünce aklıma direkt Teknoseyir'den (daha evvel de darkhardware'den) Levent Pekcan geliyor. İkiz kardeş gibiler. :)
Levent'e de selamlar.
 
Katılım
3 Mart 2007
Mesajlar
29,209
Reaksiyon puanı
2,081
Puanları
113
Windows 7'de bahsi geçen menü yok. Regedit'ten kapatabilirsiniz.

Kod:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

İçinde yeni DWORD oluşturun, adını SMB1 yapın ve değerini 0 girin.

2017-05-15_23-06-26.png



Veya bu işlemi PowerShell'i yönetici olarak çalıştırıp şu kodu girerek de yapabilirsiniz.

Kod:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Kaynak:
https://support.microsoft.com/tr-tr...r-2008-r2,-windows-8,-and-windows-server-2012
 
Son düzenleme:

FlameWinder

Asistan
Katılım
25 Nisan 2017
Mesajlar
357
Reaksiyon puanı
106
Puanları
43
Windows 7'de bahsi geçen menü yok. Regedit'ten kapatabilirsiniz.

Kod:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

İçinde yeni DWORD oluşturun, adını SMB1 yapın ve değerini 0 girin.

Ekli dosyayı görüntüle 22737


Veya bu işlemi PowerShell'i yönetici olarak çalıştırıp şu kodu girerek de yapabilirsiniz.

Kod:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Kaynak:
https://support.microsoft.com/tr-tr...r-2008-r2,-windows-8,-and-windows-server-2012
Ekleme için teşekkürler :) Bunu da ana mesaja ekliyorum.
 

42patriot42

Asistan
Katılım
5 Mayıs 2012
Mesajlar
338
Reaksiyon puanı
30
Puanları
28
2 kere benim olmayan ama ilgilendiğim bilgisayarlarda başıma geldi. Birinde tüm bilgisayardaki dosyaların uzantısı .odcodc yapmıştı diğerin de .wncry
-Birinde epostadan gelen bir dosya indirilmiş ve çalıştırılmış diğeri de netten indirilen bir dosya çalıştırılmış ve bilgisayara bulaşmış.
-En önce dikkatli bir kullanıcı olacaksınız. Epostadan gelen her linke tıklamayacaksınız mesela.
-Antivirüs programı yüklü olacak sistemi elinizden geldiği kadar güncel tutacaksınız ve arada sistem geri yükleme noktası oluşturacaksınız. (virüs sistem geri yükleme dosyasını da etkiliyor ama yine de çeşitli programlarla geri yükleme dosyalarından veri çekilebiliyor)

Eğer saldırı önemli bir firmanın önemli dosyalarını etkilemişse şifre kırılabiliyor ama kırılsa bile bazı dosyaları yine de bozmuş olabiliyor.
Şifre 256 bit şifreleme sisteminde olduğu için kırılamayınca ücretini ödüyorlar onda da bazen ödeme yapılmasına rağmen yardımcı olmadıklarını duydum.(Bu yolu hiç denemedim)

+Bu sebeplerle en güzeli önemli dosyalarınızı harici depolama alanlarınıza belirli zaman aralıklarıyla yedeklemek. Virüs bulaşırsa formatlar geçersiniz.
 

Baybars12345

Asistan
Katılım
11 Nisan 2018
Mesajlar
170
Reaksiyon puanı
54
Puanları
28
Yaş
40
Bende SMB 1.0 kapalı ancak Windows'um orijinal değil. O virüs bana bulaşır mı ?
 
Üst