Windows server işletim sistemi ailesinde 2016-2017 yılları arasında yaygınlaşan crypto locker virüs saldırıları geçtiğimiz günlerde yayılan bir haber ile bir grup hacker tarafından günceme getirildiği ve saldırı için hazırladıklarına dair haberler internet ortamında gezinmeye başladı.
Aslı nedir bilinmez ancak biz güvenlik önlemlerimizi almayı ihmal etmeyelim.
Geçtiğimiz zaman diliminde duyduğumuz petya ve wannacry crypto virüsleri genel olarak sisteme SMBv1 protokolünde bulunan açıktan giriş sağlayıp işletim sisteminde bulunan dosyalarınızı şifreliyor. Bir süre sonra sisteminizi açtığınızda dosya formatlarının değiştiğini ve istediğiniz dosyalara erişmek istediğinizde bir uyarı ekranı geliyor ve sisteminizin şifrelendiğini belli bir ücret karşılığında bu şifrelemenin giderebileceğini içeren bir ekran ile karşılaşıyorsunuz.
Geçmiş olduğumuz dönemlerde wannacry ile birçok kullanıcıyı etkileyen saldırının örnek görseli aşağıdaki gibidir.
Crypto virüslerinin hemen hemen hepsinin temeli fidye istemeye dayanmaktadır. İlk olarak bu tip virüslerde görülen ortak özellik Windows dizini altında perfc klasörünün oluşması olarak tespit edilmiştir.
Data boyutu ve kaynak durumuna göre 10 ile 60 dk arasında tüm sisteminiz şifreleniyor ve sisteminiz yeniden başlatılmaya zorlanıyor. Yeniden başlatma sonrası NTFS partationlarınızın MFT tabloları şifrelenerek virüs tam anlamı ile aktif duruma geliyor.
Bu kadar virüsün özeliklerinden bahsettik peki önlem olarak ne yapacağız. Fiziksel bir firewall cihazınız yok ise işletim sisteminizde belli ayarları yapılandırarak işlemlerinizi tamamlayabilirsiniz.
Crypto virüslerinden korunmak ve saldırıları engellemek için yapmanız gerekenler
- Windows SMBv1protokolünün devre dışı bırakılması
yada takip edilmesi
- Windows işletim sisteminizin en güncel süreme
sahip olması
- Windows firewall açık ve doğru yapılandırılmış
olması
- Her ihtimal düşünülerek düzenli yedek alınması
Ek bilgi: Genelde bu tip virüsler eski işletim sistemlerinde güncellenmemiş versiyonlarında yaşanmaktadır. Örneğin Windows Server 2008, Windows Server 2012, Windows XP veya Windows7 gibi işletim sistemlerinde çok görülen bir sorundur.
Yeni nesil güvenlik seviyesi artırılmış olan Windows Server 2016 veya Windows Server 2019 işletim sistemlerinde bu sorun nerdeyse hiç denecek kadar az seviyede yaşanmıştır. Biz sistem yöneticileri veya IT çalışanları yine de bu durumu ciddiye alıp gerekli önlemleri almamızda fayda olacağını düşünmekteyiz.
Crypto virüs saldırılarından korunmak için sıraladığım maddeler kapsamında neler yapmalıyız aşağıda sizlere bunları anlatacağım.
Windows SMBv1 güvenlik
önleminin alınması
Dosya paylaşımı için çok sık kullanılan bu protokol için
eğer işletim sisteminiz eski versiyonlardan birine sahip ise bence hiç riske
girmeyin bu servisi kapatın.
Client işletim sistemi Windows XP veya Windows 7 gibi SMBv1
kapatmak için aşağıdaki yönergeyi izleyebilirsiniz.
- Kapatmak için Control Panel açınız.
- Programs
tıklayınız.
- Sol bölümde bulunan Turn Windows feature on or off linkine tıklayınız.
- Windows Features penceresinde SMB1.0/CIFS file sharing support
checkbox üzerinde bulunan check işaretini kaldırıp OK butonuna basınız.
- Sistemi yeniden başlatınız. SMBv1 kapatma
işleminiz tamamlanmıştır.
Web Server işletim sistemi kullanıyorsanız aşağıdaki yönergeleri izleyerek SMBv1 kapatabilirsiniz.
- Server
Manager açınız.
- Manage
menüsüne basınız.
- Remove
Roles and Features seçiniz.
- Features penceresinde SMB1.0/CIFS File sharing
support checkbox üzerinde bulunan check
işaretini kaldırıp OK butonuna basınız.
- Sistemi yeniden başlatınız. SMBv1 kapatma
işleminiz tamamlanmıştır.
Bir diğer yöntem ethernet ayarlarınızda bulunan file and printer sharing yapılandırmasıdır. Bu bölümde aktif kullanılan connection servislerine dikkat etmek gerekir. Sunucunuz yerel bir network üzerinde bulunuyor ise dikkat etmeniz gereken internet ağı üzerinden bu sunucuya erişim sağlanıp sağlanamadığıdır.
Eğer natlama ile bu sunucuya erişim sağlıyor yada sunucunuz public bir IP ile internete çıkıyor ise Ethernet ayarlarınızdan file and printer sharing for Microsoft networks özelliğini kapatmanızı öneririm. Bu yapılandırmada dikkat etmeniz gereken detay bu işlem sonrası sunucu üzerinde bulunan paylaşımdaki printer, klasör yada dosyalara erişim sağlayamazsınız.
Windows işletim
sisteminizin güncel olması
Kullanmış olduğunuz client yada server işletim sisteminizin Windows Update bölümünden tüm güvenlik ve cumulative güncellemelerinizi yükleyiniz.
İşletim sisteminizde eksik yada yüklemekte sorun yaşadığınız
güncelleme paketlerini http://www.catalog.update.microsoft.com/home.aspx
linkinden indirip yükleyebilirsiniz.
Windows güvenlik
ayarlarının yapılandırılmış olması
- Windows Firewall aktif duruma getiriniz.
- Windows Firewall kurallarını düzenleyin.
- RDP yada dışardan erişim sağlanan servislerin
portlarının değiştirilmesi
Detaylara aşağıdaki
linkten erişim sağlayabilirsiniz.
Düzenli yedek
alınması
Sunucularınızda ki verilerin korumak yada en ön önemlisi herhangi bir failover bir durumda datalarınızın büyük bir bölümünü korumak için düzenli olarak data önemine göre periyotlarının belirlenerek 3rd party yedekleme yazılımları kullanılarak farklı bir sunucu hatta mümkünse farklı bir lokasyon üzerinde yedeklenmesi doğru olacaktır.
Sunucunuz yedeklenmiyor ise belki de ilk başta yapmanız gereken sunucunuzun yedeklenmesi için gerekli alt yapı hizmetini sağlamak ve bunlar için gerekli prosedürlerin oluşturulmasıdır.
Crypto virüslerinden korunmak ve saldırıları engellemek için
bu adımları uygulamanız sizi ciddi zarar görmenizden ve veri kaybetmekten büyük
oranda koruyacaktır.