Fidye Yazılımlarından Korunma Yöntemleri

By | 16 Ağustos 2017

Kısa bir zaman önce adeta bir yazılım belası olarak adlandırılabilecek WannaCry isimli zararlı yazılım birçok sistemi çökertti.

Fidye yazılım, dosyalarınızı şifreleyen ve deşifre ederek tekrar kullanılabilir hale getirmek için sizden ücret isteyen zararlı kodlardan oluşur.

WannaCry da tıpkı diğer fidye yazılımlarda olduğu gibi, Windows işletim sistemini hedef alıyor. Ancak aşağıda bulunan adımların bir çoğu Windows dışındaki sistemlerde de kullanılabilir.

Şimdi bir fidye yazılım saldırı olasılığını azaltmak için yapılabileceklere göz atalım:

  • Kişisel bir güvenlik duvarı kurun: oldukça temel bir korunma yöntemi olan güvenlik duvarı sayesinde yazılımın, şifreleme sunucusu ile iletişimi kesilecektir.
  • Ağınızı “olağan dışı” trafik var mı yok mu diye kontrol edin. Özellikle de C:\Windows\Temp ya da aşağıdaki klasörlerden gelenlere dikkat edin:
    • %appdata%\*.exe
    • %appdata%\*\*.exe
    • %localappadata%\*.exe
    • %localappdata%\*.exe
  • Normal trafik dışında, özellikle 137, 139, 445 portlarından(bu portları kapatmanız halinde ağ üzerinden dosya paylaşımı yapamayacaksınız) olağan dışı bir hareket varsa bunu bloklayın.
  • Uygulamalarınızı haritalayın ve sadece örneğin bir Grup Politikası ile (ya da *nix sistemlerinde sudo yetkisi ya da SELinux üzerinden) çalışmasını sağlayın.
  • Antivirüs kurun ve sürekli güncel tutun.
  • İşletim sisteminiz için güvenlik yamalarını kurun. Kritik zafiyetleri anında kapatmak için otomatik güncelleme seçeneğini aktifleştirin.
  • Bilmediğiniz, güvenmediğiniz kaynaklardan gelen ekleri açmayın.
  • Aşağıdaki konumlardaki .exe dosyalarının çalıştırılmaması için Grup Politikası (Group Policy) oluşturun:
    • %appdata%\*.exe
    • %appdata%\*\*.exe
    • %localappadata%\*.exe
    • %localappdata%\*.exe
  • Windows’taki gizli dosya uzantılarını etkisiz hale getirmek için Grup Politikası oluşturun. Böylelikle çalıştırılabilir dosyaları tespit etmek daha kolay hale gelecektir.
  • Kayıt Defteri’nde, aşağıdaki anahtarlarda “olağan dışı” bir kayıt olup olmadığını kontrol edin:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Sistemlerinizin periyodik yedeklerini alın ve yedeklerin olduğu depolama aygıtlarını ağdan çıkartın. Sistemleriniz bir şekilde fidye yazılım tarafından enfekte edildiğinde, çevrimdışı geri yükleme gerçekleştirebilirsiniz. Yedek alımlarının ve geri yükleme işlemlerinin çevrimdışı olması gerektiğini unutmayın. Aksi takdirde zararlı yazılım, bu aygıta da bulaşacak ve geri yükleme işleminin hiçbir faydası olmayacaktır.
  • Her bilgisayarda yer alan yetkisiz uygulamaların giriş ve çıkış bağlantılarını, kişisel güvenlik duvarınız ile kısıtlayın.
  • Ana güvenlik duvarı ya da kişisel güvenlik duvarı içinde eğer IPS bulunuyorsa, bu özelliği aktifleştirin.
  • E-postalardaki .exe ve .zip uzantılı dosyaları engelleyin.
  • Firma çalışanlarınızı güvenlik farkındalığı konusunda yılda bir ya da iki kez eğitin.
  • Aşağıdaki powershell betiğini çalıştırarak sistemde herhangi bir Cyrptlocker malware olup olmadığını kontrol edin:
    • (Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames().Replace(“?”,”\”) | Out-File CryptoLockerFiles.txt -Encoding Unicode