2 Mayıs‘ta dünya çapında birçok kuruluşu etkileyen büyük çapta bir fidye yazılımı (WannaCrypt) saldırısı gerçekleştirilmiştir. Bu konudaki çeşitli istatistik sonuçlarına göre en çok Rusya’da olmak üzere 74 ülkede en az 45.000 fidye yazılımı bulaştırma teşebbüsü saptanmıştır.
Bu fidye virüsü, EternalBlue, EternalSynergy ve EternalRomance adında leak edilen NSA exploitlerini kullanarak yayılmakta ve her geçen gün bulaştığı sistem sayısı da artmaktadır.
Windows SMB üzerinden hedef sistemlere bulaşan bu virüsten korunmak için, bazı windows güncellemelerinin kurulu olması gerekmektedir.
Sistemleriniz üzerinde (XP-7,8,8.1-2K8,2K8R2, 2012, 2012R2, 10) gerekli güncellemelerin kurulu olup olmadığını test etmek amacıyla aşağıdaki vbscript kodunu kullanabilirsiniz.
'-----------------------
Dim KBList
Set KBList = CreateObject("System.Collections.ArrayList")
KBList.Add "4012212"
KBList.Add "4012213"
KBList.Add "4012214"
KBList.Add "4012215"
KBList.Add "4012216"
KBList.Add "4012217"
KBList.Add "4012598"
KBList.Add "4012606"
KBList.Add "4013198"
KBList.Add "4013429"
KBList.Add "4019474"
KBList.Add "4015221"
KBList.Add "4016637"
KBList.Add "4015219"
KBList.Add "4016636"
KBList.Add "4019473"
KBList.Add "4019472"
KBList.Add "4015217"
KBList.Add "4015438"
KBList.Add "4016635"
KBList.Add "4015549"
KBList.Add "4015550"
KBList.Add "4015551"
KBList.Add "4019215"
KBList.Add "4019216"
KBList.Add "4019264"
Set WshShell = CreateObject("WScript.Shell")
WshShell.Run "cmd /c wmic qfe list | clip", 0, True
For Each kb In KBList
If InStr(CreateObject("htmlfile").ParentWindow.ClipboardData.GetData("text"), "KB" + kb) > 0 Then
MsgBox("Sisteminiz gerekli güncellemeleri almış ve güvenli! (KB" + kb + ")")
WScript.Quit
End If
Next
MsgBox("Sisteminize gerekli güncellemeler yüklenmemiştir! Lütfen Windows Update Çalıştırınız!")
'-----------------------
Yeni bir x.vbs dosyası oluşturunuz, ardından yukarıdaki kodu yazarak kaydediniz.
Kaydedilen script'i çalıştırdığınız da arka planda gerekli güncellemelerin kurulu olup olmadığı kontrol edilecek ve size bildirilecektir.
Ancak leak edilen daha birçok exploit'in belirli aralıklarla paylaşılacağı bilgisine karşın, sistem üzerinde 445 ve 139 portlarının kapatılması adına, aşağıdaki kodu cmd üzerinden çalıştırmanız önerilmektedir.
C:\Users\Tolga> netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"
C:\Users\Tolga> netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Ayrıca RDP Kullanımının kapatılması veya portunun değiştirilmesi, güvenliği bir nebze olsun arttıracaktır.
Güvenli sistemler dileğiyle :)
Tolga SEZER.
0 yorum:
Yorum Gönder