Wcry-WannaCrypt3r 2.0 zararlısı httpget methodu ile kontrol sağladıktan sonra eğer bağlantı testi yaptığı alan aktif ve kullanılabilir durumda ise 445 TCP sunucu mesaj bloğu açığı olan MS17-010 sayesinde sızıp hızla ağda yayılabiliyor.

Bugün bizim sunucularımıza bulaştığı noktanın ağdaki farklı bir sunucu olduğunu tespit edebildik. Bununla birlikte TCP 139 ve 445 UDP : 137 – 138 Portlarını bloke edildiğinde zararlı yayılma yada etkileme gibi işlevlerini tamamen kaybediyor. İlgili portları bloke ettikten sonra MS17-010 için yayınlanan güncellemeyi rahatlıkla uygulayabilir, açığı tamamen kapatabilirsiniz.

Şuanda smb’yi tam olarak nasıl kullandığı bilinmesede, smb trafiğini kesmek bu zararlıyı engellemek için tek çözüm.
Test ettiğimiz sunucumuz daha önce 4 kez zararlı tarafından şifrelenmiş ve formatlanmıştı, yeniden kurulduğunda erişimi ayarlamadan önce portları kapattık ve erişime bu şekilde açtık. Sonrasında güncellemeyi yükleyip portları açıp test ettik. Sorun tamamen çözüldü.
Güncelleme Linki :

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

WannaCrypt3r ilk sürümü ile Cuma günü başlangıç aşamasında ilk birkaç saat içersinde;


– FedEx ABD operasyonları durduruldu.
– Nissan Sunderland Fabrikası üretimi askıya aldı.
– Renault Fransa – İngiltere – Almanya – Rusya – Çin – ABD – Türkiye gibi bir çok ülkede Pazartesiye kadar vardıyaları iptal edip üretimi durdurdu.
– NSH(Ulusal Sağlık Sistemi)’ne bağlı 48 şube servis dışı duruma geldi.
– Rusya’da içişleri bakanlığına ait 1000 sunucu ve bilgisayar kullanılamaz hale geldi.
– Çin’in köklü bankası Bank Of China ATM’leri ve şubeleri servis dışı oldu.
– İspanya’da telefon ve yakıt istasyonları servis dışı kaldı.

WannaCrypt3r yeni sürümünü inceleyen Kasperksky uzmanı tüm analizleri arasında en kötü geçen analizi olduğunu belirtti.Henüz yayılım ve dağıtım mantığı çözülemedi. Bilinen tek şey Doublepulsar ve EternalBlue’dan ilham alınarak üretildiği. Fakat diğer sürümünden farklı olarak SMB protokolünü kullanmaması kafalarda soru işareti oluşturuyor.

Hazırlayan: Kani Başpınar