12 mayıs tarihinde geniş kapsamlı bir fidye saldırısı yapılmış olup, dünyanın dört bir yanından kurumları etkisi altına almıştır. Kaspersky Lab mühendisleri, saldırıda kullanılan verileri analiz edip, ağırlıklı olarak Rusya olmak üzere en az 99 ülkede ortaya çıkan 100.000’den fazla saldırı girişimini teyit etmiş bulunmaktadır.

    Fidye yazılımı kurbanlarını Microsoft Windows üzerinde yer alan ve şuan da Microsoft Security Bulletin MS17-010 yamasıyla düzeltilmiş olan bir açıktan faydalanarak etkilemektedir. "Eternal Blue" olarak bilinen bu açık, 14 nisan tarihinde Shadowbrokers dump'ında ortaya çıkarılmıştı.

     Sisteme sızdıktan sonra, saldırganlar bir rootkit kurulumu gerçekleştirerek gerekli yazılımların indirilmesini sağlamakta ve bilgisayar üzerindeki verilerin şifrelenmesine sebep olmaktadır.  Fidye olarak bitcoin ile $600 talep edilmektedir ve bu fidye miktarı belirli bir süre içerisinde artmaktadır.

      Saldırıda kullanılan zararlı yazılımların isimlerini alttaki listede bulunduğu şekliyle tespit etmiştir:

 * Trojan-Ransom.Win32.Scatter.uf

 * Trojan-Ransom.Win32.Scatter.tr

 * Trojan-Ransom.Win32.Fury.fr

 * Trojan-Ransom.Win32.Gen.djd

 * Trojan-Ransom.Win32.Wanna.b

 * Trojan-Ransom.Win32.Wanna.c

 * Trojan-Ransom.Win32.Wanna.d

 * Trojan-Ransom.Win32.Wanna.f

 * Trojan-Ransom.Win32.Zapchast.i

 * Trojan.Win64.EquationDrug.gen

 * Trojan.Win32.Generic (System Watcher modülü açık olmalıdır)

 Yayılma riskin azaltılması için aşağıdaki maddeleri gözden geçirmenizi öneriyoruz:

• Microsoft tarafından bu açığı kapatmak için yayınlanan yamaları yükleyin.
• Tüm ağda çalışan sistemlerde, güvenlik çözümlerinin açık olduğundan emin olun.
• Kaspersky Lab uygulamlarındaki System Watcher bileşenin açık olduğundan emin olun.
• Network Attack Blocker ve Firewall modüllerinin düzgün bir şekilde yapılandırıldığından emin olun.
• Sistemlerinizi güncelleyin ve Kritik alan tarama tasklarını çalıştırın.
• MEM: Trojan.Win64.EquationDrug.gen yazılımının tespit edilmesi durumunda ilgili yamaların kurulu olduğundan emin olun ve sonrasında sistemi yeniden başlatın. 
• Daha ayrıntılı bilgi için blog yazısını inceleyin: Securelist.

 Eğer Windows yamalarını yükleyecek bir altyapınız bulunmuyorsa, alttaki adımları uygulayarak Kaspersky Security Center üzerinden yamaları yükleyin:

 Microsoft'un sitesinden açığa kapatan, işletim sisteminize uygun yamayı indirin:

https://technet.microsoft.com/library/security/MS17-010.aspx

Örneğin; Windows 7 x86 veya 64 için;

windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

 Diskiniz üzerinde bir klasör oluşturun ve bu *.msu dosyalarını içine kopyalayın. Klasör ismi önem teşkil etmemektedir.

1. Aynı klasör içerisinde upd.bat isimli, aşağıdaki komutları içeren bir dosya oluşturun. (Notepad'ı açıp farkı kaydet seçeneği ile kaydederken ismini upd.bat ismiyle kaydettiğinizde, kaydettiğiniz dosya bat dosyası olarak oluşacaktır.)

wusa.exe windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu /quiet /warnrestart

wusa.exe windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu /quiet /warnrestart

     Bu komutlar, güncelleme kurulumunu sessiz modda gerçekleştirecektir ancak yine de kurulum sonunda yeniden başlatma uyarısı verecek ve kullanıcının dosyalarını kaydetmesi için 1 dakika süre tanıyacaktır.

   Lütfen yeniden başlatma sürecinin iptal edilemeyeceğini unutmayın. Eğer /warnrestart parametresi /forcerestart parametresiyle değiştirilse, yeniden başlatma derhal başlayacak, oturum üzerindeki tüm kaydedilmemiş çalışmalar silinecektir.

 Sonuç olarak oluşturduğunuz klasörün içerisinde iki adet *.msu ve bir adet .bat uzantılı dosya olacaktır.

 ÖNEMLİ:  Eğer batch dosyası, hâlihazırda ilgili güncellemelerin bulunduğu sistemde çalıştırılırsa, kritik bir durum ortaya çıkmayacaktır.

    1- KSC konsolunu açın ve Remote Installation> Installation Files bölümüne gelin ve bir kurulum paketi (installation package) oluşturun. Ortadaki seçenek ile devam ederek Upd.bat'ı gösterip "copy entire installation folder to installation package" seçeneğini de işaretleyerek kurulum paketini oluşturun. Böylece istemciye göndermiş olduğunuz upd dosyasıyla birlikte güncellemelerde kopyalanacaktır.

  2- Kurulum paketi oluşturmak için işletim sistemi üzerinden bilgisayar seçimi oluşturmanız işinizi kolaylaştıracaktır. (bilgisayar seçimleri menüsünden herhangi bir grup seçip "install application ile kurulumu başlatın) Ya da yönetilen bilgisayarlarınız üzerinden, istediğiniz grup için kurulumu başlatın. Unutmayın  ki KSC, güncellemenin kurulum aşamasını size göstermiyor olacaktır, ancak kurulum bir şekilde askıda kalırsa, 2 saat içerisinde görev sonlandırılacaktır.

    3- Son olarak, support sayfamızda konuyla ilgili diğer çözüm adımlarına ulaşabilirsiniz: 

http://support.kaspersky.com/general/products/13698#block0 

System Watcher ile birlikte Network Attack Blocker modülünün açık olduğundan emin olmalısınız.  

 Bilgilendirme 1: 

Size sunduğumuz yönergede, örnek olarak sadece iki dosya kullanılmıştır. Teorik olarak, tüm işletim sistemleri için güncelleme dosyaları indirilip, yukarıda bahsedildiği şekilde kurulum paketi hazırlanabilir. Sonuç olarak, ihtiyaçlarınız doğrultusunda tüm güncellemeler kurulmuş olacaktır. Eski işletim sistemleri için *.msu dosyaları yerine, *exe ya da *.msi dosyaları kullanılmaktadır.

 Bilgilendirme 2: 

x86 ve x64 mimarisine sahip işletim sistemleri için güncellemeleri ayırmak mümkündür. Bu durumda oluşabilecek paket büyüklliği ve ekstra bir trafiğin önüne geçilmiş olunur, ancak bunun için iki adet görev çalıştırılmalıdır. Eğer ortamınızda Update Agent kullanılıyor ise, bu paket öncelikle Update Agentlara, oradan ise istemcilerinize direk olarak ulaşırlar. Bu durum ayrıca kurulum sürecini hızlandırmaktadır. 

Eğer lisanslama modeliniz System Management özelliğini destekliyorsa şayet, yukarıda bahsedilen paket hazırlama yöntemine ihtiyacınız yoktur. İlgili güncellemeleri seçip göndermeniz yeterli olacaktır.

 Konu ile ilgili bir sorunuz olması durumunda companyaccount.kaspersky.com üzerinden problem kaydı oluşturunuz.

Kaynak: www.leventyazici.com.tr