Küresel Fidye Yazılım Salgını


Merhaba,

Son yıllarda gördüğümüz en geniş ve tehlikeli zararlı yazılım salgınıyla karşı karşıya olabiliriz.

Son 6 saatte 74 ülkede 100,000’lerce sistem Wannacry türevi fidye yazılımdan etkilendi. Diğer fidye yazılımlar gibi bulaştığı sistemdeki dosyaları şifreleyip kullanılmaz hale getiren zararlı yazılım kurbandan para talep ediyor.

Zararlı yazılımın saatte 5 milyon mail gönderebilen dev bir operasyon kapsamında yayıldığı düşünülmektedir.

Zararlı yazılım  Windows sistemlerde eksik olabilecek MS17-010 yamasının kapattığı açığı kullanıyor. Konuya ilişkin Microsoft yayınladığı bilgi notuna https://technet.microsoft.com/en-us/library/security/ms17-010.aspx adresinden ulaşabilirsiniz.

Bu zafiyet Microsoft’un Mart ayında yayınladığı bir güncelleme ile kapatılmıştı ancak Dünya genelinde pek çok sistemde bu güncellemenin henüz yapılmadığı görüyoruz.

Son birkaç saate ilişkin bazı rakamlar şöyle (korku filmi gibi);

  • İspanyol telekom şirketi Telefonica’nın ağındaki bilgisayarların %85’i,
  • İngiltere’de 16 hastane,
  • Rusya’da 11,200 Kuruluş

Olaydan, an itibariyle, en çok etkilenen ülke İspanya’nın USOM’u (Ulusal Siber Olaylalara Müdahale Ekibi) CCN-CERT’in açıklamasında bu zararlı yazılımın aşağıdaki sistemleri etkilediği belirtilmiş;

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016

Acil olarak alınması gereken tedbirler şunlardır;

  • Ağ genelinde bulunan Windows işletim sistemlerinde MS17-010 yamasının geçildiğinden emin olun
  • Şüpheniz varsa, haftasonunda olduğumuzu da düşünerek, Pazartesi gününe kadar gelen mailleri karantina almakta fayda olabilir
  • Özellikle dışarıya açık UDP port 137 ve 138, TCP port 139 ve 445’i kapatın
  • Kritik verilerinizin tutulduğu sistemlerin son yedeklerini kontrol edin

Shodan Türkiye’de 23,000’den fazla sistemin bu saldırıda kullanılan SMB portlarının internete açık olduğu gösteriyor. Bu zararlı yazılımın solucan (worm) türevinin bu sistemleri hedef alması muhtemeldir. Açık olması şart değilse bu partları firewall üzerinden kapatmakta fayda var.

Sorun her dakika büyümektedir, ülkece en az hasarla atlatabilmemizi dilerim.