WannaCry Çalışma Mantığı

Arkadaşlar, bildiğiniz gibi şuan birçok şirket ve ülkenin uğraştığı bu virüs ilk olarak nasıl etki gösteriyor bulaştıktan sonra nereye yayılıyor. Nereden bilgisayarı veya sunucuyu nereden etkilemeye başlıyor? Ben bu konu hakkında pek bir şey görmedim. Sadece nasıl korunurum önlerim gibi sorular bir çok yerde ise format attıktan sonrada HDD kullanılamaz hale getirdiği yazıyor. Peki bunu nasıl yapıyor bunu ? Sorum bu. Bilgisi olan arkadaşlar bilgilendirirse sevinirim. Birde, antivirüs yazması öyle 2 kodu bir araya getirip yazılacak bir şey degil. Ring0 , ring3 ssdt hook gibi bi dünya şey var. Bu antivirüslerin illa virüsün ismini tanımasına gerek yok. Sezgisel çalışma sistemleri de var ama gel gelelim bir tane virüs çıkıyor windows 10 harici tüm sistemlere bulaşma yetkisi oluyor. Windows 10'a teşvik gibi geldi bu kadar sağlam bir virüs yazabilecek köklü kim var piyasada? Dünya kadar antivirüs firmasi varken işin içinde bir şeyler dönüyor gibi sizce nedir durum ?

Arkasında Kuzey Kore olduğu söyleniyor.
Bunun ilk koşulu bilinçli kullanıcı olmak. Panik yapmaya gerek yok. Orijinal, güncel bir antivirüs kullanın ve ayarlarını doğru bir şekilde yapılandırın. Çoğu antivirüs çoğu varyantını veritabanlarına eklemiş durumda. Verilerinizi yedekleyin. Bilmediğiniz USB bellekleri falan takmayın. Bilgisayarı bilinçli kullanın. Bilmediğiniz siteleri, e-postaları, dosyaları falan kurcalamayın.
Windows 10'a geçin. Geçecek durumunuz yoksa Windows güncellemelerini yükleyin.
Bazı ek önlemler daha var galiba. Onları da forumdan araştırın.

Aslında ransomware türleri yıllardır olan bir zararlı türü. Sadece WannaCry ile bilinirliği arttı. Hatta büyük güvenlik firmaları hips, firewall gibi ransomware korumasını da yazılımlarına eklediler. HDD'den silinmiyor diye bir şey yok, formatla tertemiz olur sistem. Bu ransomware türlerinden korunma yolları;

1- Bilinçli bir kullanıcı
2- Güncel bir Windows
3- Kaliteli güvenlik yazılımı. Ücretli Kaspersky, ücretsiz Comodo (varsayılan ayarlarda kötü bir yazılımdır iyi yapılandırma gerektirir)

Önceki açılan konuları iyice takip edin hepsinin cevabı bulunuyor.

Ben nasıl sisteme girdiği konusunu anlamadım hala baktım konulara ama. SMB1 üzerinden nasıl hiç bir dosyayı açmadan gelebiliyor, ağdaki diğer bilgisayarlardan mı geliyor, bunu açıklayabilir misiniz?

SMB1 sadece yayılmasını kolaylaştırıyor. Ransomwarelerin temel bulaşma şeklini yazmıştım ama yine görememişsiniz. Bulaşma biçimleri mail üzerinden veya bilinmedik dökümanlardandır. Yayılması ise paylaşıma açık disk ve server üzerinde etkin dosya paylaşımları'dan kaynaklanır. Sadece diskleri değil geri dönüş kayıtlarını yedek dosyalarını, server üzerindeki diskleri(yazma izinleri açıksa) bulaşır.
Tabi bu dediklerim güvenliğe önem vermeyen önlemini almayan AV'nin faydalarını bilmeyen, server güvenliğini bilmeyen ama server açan kişilerde daha çok rastlanıyor.

Yani kendi ağımda tek başıma isem bu virüsün bulaşması için mailden veya başka bir yerden zararlıyı indirip açmam lazım.
Öyle lanse edildi ki internette gezinirken kendi kendine girebiliyor şeklinde algıladım.

Bal Porsuğu dedi:

Yani kendi ağımda tek başıma isem bu virüsün bulaşması için mailden veya başka bir yerden zararlıyı indirip açmam lazım.

Genişletmek için tıkla...

Aynen öyle.

Bal Porsuğu dedi:

Öyle lanse edildi ki internette gezinirken kendi kendine girebiliyor şeklinde algıladım.

Genişletmek için tıkla...

Yok, öyle birşey şuan mümkün değil. O şekilde olması için Google'u ele geçirmesi lazım ki bu çok zor.