WannaCry, 12 Mayıs 2017'de vahşi doğada ortaya çıkan ve 200,000'den fazla ülkede 150'den fazla sisteme hızla yayılan bir fidye yazılımı türüdür.
WannaCrypt, WanaCrypt0r, WCrypt ve WCRY olarak da bilinen WannaCry solucanı, "EternalBlue" kodlu Microsoft Sunucu İleti Bloğu (SMB) protokolündeki belirli bir açıktan yararlanır ve eski, yamalanmamış Microsoft Windows sistemlerine bulaşmak için kimlik avı e-posta dolandırıcılığı taktiklerini kullanır .
Güvenlik Yaması ve Öldürme Anahtarı ile Azaltılmış Olası WannaCry Hasarı
Microsoft, 14 Mart'ta yayınlanan bir güncelleme danışma belgesindeki (MS17-010) "EternalBlue" SMB güvenlik açığını düzeltdi, ancak o sırada yalnızca Windows 10 için geçerliydi. Ancak WannaCry, yamalanmamış Windows 7 ve Windows Server 2008 ve önceki işletim sistemlerini hedeflemek için geliştirilmiştir.
WannaCry'nin vahşi doğada keşfedilmesinin ardından Microsoft, yeni SMB yamasını Windows XP, Windows 7, Windows 8 ve Windows Server 2003 işletim sistemlerini de kapsayacak şekilde genişletti.
Bu güvenlik yamaları, WannaCry'nin olası yayılmasının hafifletilmesine yardımcı olurken, birçok Windows sistemi, son güvenlik yamaları söz konusu olduğunda güncelliğini yitirmeye devam ediyor ve sonuç olarak WannaCry ve diğer kötü amaçlı yazılımlar gibi fidye yazılımlarına karşı savunmasız olmaya devam ediyor.
WannaCry'nin potansiyel hasarı, WannaCry kodunda bulunan bir "öldürme anahtarı" nın tetikleyicisi tarafından da hafifletildi. WannaCry kodu, belirli bir etki alanına bağlanmayı denemek ve yalnızca sistemleri etkilemek ve etki alanına bağlanmanın başarısız olduğu ortaya çıkarsa daha da yayılmak için tasarlanmıştır. Vahşi doğada ortaya çıkışından bu yana, WannaCry'deki alan adı kaydedildi ve kuruldu, bu da WannaCry'nin ilk türünün daha fazla yayılmasını ve hasarını sınırlandırdı.
WannaCry Nasıl Çalışır ve Yayılır?
WannaCry'nin iki ana bileşeni vardır: eski, yamalanmamış Windows sistemlerinde ve fidye yazılımının kendisinde SMB güvenlik açığından yararlanmaya çalışan bir damlalık Truva Atı.
WannaCry tarafından etkilenen sistemler, yerel ağın yanı sıra İnternet üzerindeki diğer yamalı Windows sistemlerine de bulaşmaya çalışmak için kullanılır.
Virüs bulaşmış makinelerde, WannaCry bulduğu tüm dosyaları şifreler ve bunları .WNCRY dosya adı uzantısıyla yeniden adlandırır. WannaCry daha sonra her dizinde bir fidye mesajı oluşturur ve arka plan duvar kağıdı resmini, kullanıcıların tüm dosyalarının şifresinin çözülmesi ve normale döndürülmesi için Bitcoin para birimi cinsinden 300 dolar ödemesini talep eden bir fidye mesajı ile değiştirir.
WannaCry ve Diğer Fidye Yazılım / Kötü Amaçlı Yazılım Saldırılarına Karşı Koruma
Sistemleri WannaCry'den ve diğer fidye yazılımı ve kötü amaçlı yazılım türlerinden korumak için Microsoft, WannaCry / WannaCrypt varyantlarına karşı savunmasız olmayan Windows 10'a yükseltmeyi önerir.
Kullanıcıların ayrıca eski Windows sistemlerine SMB güvenlik güncellemesini yüklemeleri ve Windows Update hizmeti aracılığıyla tüm güvenlik yamaları ve güncellemelerinde güncel kalmaları önerilir.
Ek olarak, kullanıcılar istenirse bu sayfadaki talimatları izleyerek SMB'yi özel olarak devre dışı bırakabilir. Microsoft Bilgi Bankası makalesi veya 445 numaralı bağlantı noktasından gelen SMB trafiğini engellemek için ağ yönlendiricisine veya yazılım güvenlik duvarına bir kural ekleyerek SMB trafiğini kısıtlayın.