12 Mayıs’ta FortiGuard Labs, gün içerisinde hızla yayılan yeni bir fidye yazılımından takibe aldı. Kendi kendini kopyalayarak çok büyük zararlar veren bu yazılım, Rusya İçişleri Bakanlığı, Çin’deki üniversiteleri, Macaristan ve İspanya’daki telekom şirketlerini ve İngiliz Ulusal Sağlık Hizmetleri bünyesindeki hastaneleri ve klinikleri etkiledi. Yazılımın ayrıca iki düzineden fazla dil desteğine sahip olması da dikkat çekiciydi.
Bu fidye yazılımına WCry, WannaCry, WanaCrypt0r, WannaCrypt ve Wana Decrypt0r gibi isimler verildi. Fidye yazılım, iddiaya göre NSA’in (ABD Ulusal Güvenlik Ajansı) kullandığı ETERNALBLUE açığı vasıtasıyla yayılıyor. Microsoft Server Message Block 1.0 (SMBv1) protokolü içerisindeki bir açığı kullanan ETERNALBLUE, The Shadow Brokers isimli hacker grubu tarafından geçen ay online olarak sızdırılmıştı.
Saldırıdan etkilenen Microsoft ürünleri:
Microsoft, Mart ayında yayınladığı güvenlik bülteni MS17-010 ile bu açığı kapatan bir yama yayınlamıştı. Aynı ay Fortinet de bu açığı tespit edip engelleyen bir IPS imzasını yayınladı. Ayrıca bugün de bu saldırıyı tespit edip engelleyen yeni AV imzalarını yayınladık. Yapılan üçüncü taraf testleri, Fortinet Anti-Virus ve FortiSandbox’ın bu zararlı yazılımı etkili bir şekilde engellediğini kanıtlıyor. IPS ve AV imzalarıyla ilgili detaylı bilgileri bu makalenin sonunda bulabilirsiniz.
Tüm müşterilerimize aşağıdaki adımları uygulamalarını şiddetle tavsiye ediyoruz:
Ayrıca kullanıcılara ve şirketlere aşağıdaki önlemleri almalarını tavsiye ediyoruz:
Eğer şirketiniz fidye yazılım saldırısına maruz kaldıysa yapmanız gerekenler:
Herhangi bir fidye yazılım saldırısı ile karşılaştığında bunu hemen yasal mercilere bildiriniz ve yardım talep ediniz.