Security Blog

Fidye yazılımlardan korunma yolları

Yakın bir zaman önce adeta bir yazılım vebası olarak adlandırılabilecek WannaCry isimli zararlı yazılım birçok sistemi çökartti. EternalBlue, Microsoft Patch MS-017 ve fidye yazılımlarla ilgili denizler dolusu konuşuldu, tartışıldı. Merak etmeyin ben de konuyla ilgili birkaç damla daha eklemek niyetinde değilim. Bunun yerine, fidye yazılımlara karşı kendinizi nasıl koruyabileceğinizi anlatmaya çalışacağım.

Fidye yazılım, dosyalarınızı şifreleyen ve deşifre ederek tekrar kullanılabilir hale getirmek için sizden ücret isteyen zararlı kodlardan oluşur.

WannaCry da tıpkı diğer fidye yazılımlarda olduğu gibi, Windows işletim sistemini hedef alıyor. Dolayısıyla biz de Windows’a yönleneceğiz. Ancak aşağıda bulunan adımların bir çoğu Windows dışındaki sistemlerde de kullanılabilir.

Şimdi bir fidye yazılım saldırı olasılığını azaltmak için yapılabileceklere göz atalım:

  • Kişisel bir güvenlik duvarı kurun: oldukça temel bir korunma yöntemi olan güvenlik duvarı sayesinde yazılımın, şifreleme sunucusu ile iletişimi kesilecektir.
  • Ağınızı “olağan dışı” trafik var mı yok mu diye kontrol edin. Özellikle de C:\Windows\Temp ya da aşağıdaki klasörlerden gelenlere dikkat edin:
    • %appdata%\*.exe
    • %appdata%\*\*.exe
    • %localappadata%\*.exe
    • %localappdata%\*.exe
  • Normal trafik dışında, özellikle 137, 139, 445 portlarından(bu portları kapatmanız halinde ağ üzerinden dosya paylaşımı yapamayacaksınız) olağan dışı bir hareket varsa bunu bloklayın.
  • Uygulamalarınızı haritalayın ve sadece örneğin bir Grup Politikası ile (ya da *nix sistemlerinde sudo yetkisi ya da SELinux üzerinden) çalışmasını sağlayın.
  • Antivirüs kurun ve sürekli güncel tutun.
  • İşletim sisteminiz için güvenlik yamalarını kurun. Kritik zafiyetleri anında kapatmak için otomatik güncelleme seçeneğini aktifleştirin.
  • Bilmediğiniz, güvenmediğiniz kaynaklardan gelen ekleri açmayın.
  • Aşağıdaki konumlardaki .exe dosyalarının çalıştırılmaması için Grup Politikası (Group Policy) oluşturun:
    • %appdata%\*.exe
    • %appdata%\*\*.exe
    • %localappadata%\*.exe
    • %localappdata%\*.exe
  • Windows’taki gizli dosya uzantılarını etkisiz hale getirmek için Grup Politikası oluşturun. Böylelikle çalıştırılabilir dosyaları tespit etmek daha kolay hale gelecektir.
  • Kayıt Defteri’nde, aşağıdaki anahtarlarda “olağan dışı” bir kayıt olup olmadığını kontrol edin:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Sistemlerinizin periyodik yedeklerini alın ve yedeklerin olduğu depolama aygıtlarını ağdan çıkartın. Sistemleriniz bir şekilde fidye yazılım tarafından enfekte edildiğinde, çevrimdışı geri yükleme gerçekleştirebilirsiniz. Yedek alımlarının ve geri yükleme işlemlerinin çevrimdışı olması gerektiğini unutmayın. Aksi takdirde zararlı yazılım, bu aygıta da bulaşacak ve geri yükleme işleminin hiçbir faydası olmayacaktır.
  • Her bilgisayarda yer alan yetkisiz uygulamaların giriş ve çıkış bağlantılarını, kişisel güvenlik duvarınız ile kısıtlayın.
  • Ana güvenlik duvarı ya da kişisel güvenlik duvarı içinde eğer IPS bulunuyorsa, bu özelliği aktifleştirin.
  • E-postalardaki .exe ve .zip uzantılı dosyaları engelleyin.
  • Firma çalışanlarınızı güvenlik farkındalığı konusunda yılda bir ya da iki kez eğitin.
  • Aşağıdaki powershell betiğini çalıştırarak sistemde herhangi bir Cyrptlocker malware olup olmadığını kontrol edin:
    • (Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames().Replace(“?”,”\”) | Out-File CryptoLockerFiles.txt -Encoding Unicode

Eğer sisteminiz enfekte olduysa, her zaman şuraya göz atabilirsiniz:

https://www.nomoreransom.org/decryption-tools.html

Hepsi bu kadar! Eğer siz de profesyonel bir yedekleme hizmeti almak istiyorsanız, çekinmeden bizimle iletişime geçebilirsiniz.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com