WannaCrypt virüsünü kontrol edelim

Dünya çapında birçok kuruluşu etkileyen büyük çapta bir fidye yazılımı (WannaCrypt) saldırısı gerçekleştirilmiştir. Bu konudaki çeşitli istatistik sonuçlarına göre en çok Rusya’da olmak üzere 74 ülkede en az 45.000 fidye yazılımı bulaştırma teşebbüsü saptanmıştır.

Bu fidye virüsü, EternalBlue, EternalSynergy ve EternalRomance adında leak edilen NSA exploitlerini kullanarak yayılmakta ve her geçen gün bulaştığı sistem sayısı da artmaktadır.

Windows SMB üzerinden hedef sistemlere bulaşan bu virüsten korunmak için, bazı windows güncellemelerinin kurulu olması gerekmektedir.

Blog sitemizde fidye yazılmı ile alakalı yazılar yazmıştım. Çok gerideki yazılara bakarsanız görebilirsiniz.

Sistemleriniz üzerinde (XP-7,8,8.1-2K8,2K8R2, 2012, 2012R2, 10) gerekli güncellemelerin kurulu olup olmadığını test etmek amacıyla aşağıdaki vbscript kodunu kullanabilirsiniz.

WannaCrypt virusu

Dim KBList
Set KBList = CreateObject(“System.Collections.ArrayList”)
KBList.Add “4012212”
KBList.Add “4012213”
KBList.Add “4012214”
KBList.Add “4012215”
KBList.Add “4012216”
KBList.Add “4012217”
KBList.Add “4012598”
KBList.Add “4012606”
KBList.Add “4013198”
KBList.Add “4013429”
KBList.Add “4019474”
KBList.Add “4015221”
KBList.Add “4016637”
KBList.Add “4015219”
KBList.Add “4016636”
KBList.Add “4019473”
KBList.Add “4019472”
KBList.Add “4015217”
KBList.Add “4015438”
KBList.Add “4016635”
KBList.Add “4015549”
KBList.Add “4015550”
KBList.Add “4015551”
KBList.Add “4019215”
KBList.Add “4019216”
KBList.Add “4019264”

Set WshShell = CreateObject(“WScript.Shell”)

WshShell.Run “cmd /c wmic qfe list | clip”, 0, True

For Each kb In KBList
If InStr(CreateObject(“htmlfile”).ParentWindow.ClipboardData.GetData(“text”), “KB” + kb) > 0 Then
MsgBox(“Sisteminiz gerekli güncellemeleri almış ve güvenli! (KB” + kb + “)”)
WScript.Quit
End If
Next

MsgBox(“Sisteminize gerekli güncellemeler yüklenmemiştir! Lütfen Windows Update Çalıştırınız!”)

WannaCrypt kontrol

Yeni bir x.vbs dosyası oluşturunuz, ardından yukarıdaki kodu yazarak kaydediniz.
Kaydedilen script’i çalıştırdığınız da arka planda gerekli güncellemelerin kurulu olup olmadığı kontrol edilecek ve size bildirilecektir.

Ben script yapmakla uğraşmam diyorsanız aşağıdak linkten hazır vbs scripti indirebilirsiniz.

https://drive.google.com/file/d/0B4O615pMqW-kLXFONHlvUHJka3c/view?usp=sharing 

Ayrıca bu vbs’nin daha geniş bir kaynağına aşağıdaki linkten ulaşabilirsiniz.

https://github.com/eset-la/Check-EternalBlue/blob/master/VerifyEternalBlue.vbs

Ancak leak edilen daha birçok exploit’in belirli aralıklarla paylaşılacağı bilgisine karşın, sistem üzerinde 445 ve 139 portlarının kapatılması adına, aşağıdaki kodu cmd üzerinden çalıştırmanız önerilmektedir.

C:\Users\Tolga> netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name=”Block_TCP-139″

C:\Users\Tolga> netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″

Ayrıca RDP Kullanımının kapatılması veya portunun değiştirilmesi, güvenliği bir nebze olsun arttıracaktır.

Kaynak:  http://www.tolgasezer.com.tr

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir