12 Mayıs’ta dünya çapında birçok kuruluşu etkileyen WannaCry saldırısının etkisi yavaş yavaş ortaya çıkıyor. İşte tüm detaylar.
WannaCry saldırısının ardınd araştırmacılar çalışmalarına tüm hızıyla devam ediyor. Analiz edilen veriler sonucunda şirketlerin koruma alt sistemlerinin, en çok Rusya’da olmak üzere 74 ülkede en az 45.000 fidye yazılımı bulaştırma teşebbüsü saptadığını doğrulandı.
Söz konusu fidye yazılımı, kurbanlarına Microsoft Windows’ta bulunan ve Microsoft Güvenlik Bülteni MS MS17-010 kapsamında tanımlanıp kapatılmış olan bir güvenlik açığından faydalanarak bulaşmaktadır. Kullanılan “Eternal Blue” adlı exploit*, 14 Nisan’da Shadowbrokers veri dökümünde ortaya çıkarılmıştır.
600 USD Talep Ediliyor
Saldırganlar sisteme girdikten sonra bir kök kullanıcı takımı (rootkit) kurarak, verileri şifreleyecek olan yazılımı indirmektedir. Zararlı yazılım dosyaları şifreledikten sonra 600 ABD Doları değerinde Bitcoin ödemesi talebi, miktarın yatırılacağı sanal cüzdan bilgileriyle birlikte ekranda gösterilmektedir. Talep edilen fidye miktarı zaman geçtikçe artacak şekilde ayarlanmıştır.
Konu hakkında açıklama yapan Kaspersky Lab uzmanları; mümkün olan en kısa sürede bir şifre çözme aracı geliştirmek adına, saldırı esnasında şifrelenerek kilitlenen verileri deşifre etmenin mümkün olup olmadığını tespit etme çalışmalarına devam ediliyor.
Kaspersky Lab güvenlik çözümleri, söz konusu saldırıda kullanılan zararlı yazılımı aşağıdaki isimlerle saptamaktadır:
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- Trojan.Win32.Generic (Sistem İzleyici bileşeni etkin olmalıdır)
Zararlı yazılımın bulaşma riskini azaltmak için aşağıdaki önemlerin alınması öneriliyor:
- Saldırıda kullanılan güvenlik açığını kapatmak üzere Microsoft’un sunduğu resmi yamayı yükleyin
- Tüm ağ düğümlerinde güvenlik güvenlik çözümlerinin aktif olduğundan emin olun
- Kaspersky Lab’ın çözümü kullanılıyorsa, davranışsal proaktif bir tespit bileşeni olan Sistem İzleyici modülünü içerdiğinden ve çalışır halde olduğundan emin olun
- Söz konusu zararlı yazılımı en kısa sürede tespit etmek için Kaspersky Lab çözümünde bulunan Kritik Alan Taraması’nı çalıştırın (aksi halde 24 saat içerisinde otomatik olarak tespit edilecektir)
- MEM: Trojan.Win64.EquationDrug.gen’
i saptadıktan sonra sistemi yeniden başlatın - Müşteriye Özel Tehdit İstihbaratı Raporlaması hizmetlerini kullanın