magnify
Home Güvenlik Petya Ransomware Hakkında Bilgilendirme
formats

Petya Ransomware Hakkında Bilgilendirme

Tarih 28 Haziran 2017 yazar içinde Güvenlik

Herkese merhaba,

Umarım güzel bir bayram tatili geçirmişsinizdir, çünkü yine bir tatil gününde hareketli saatler yaşıyoruz. Her ne kadar wannacry dan dolayı istemci veya sunucularımızı güncellemiş olsakta yeni çıkan bu türev için mevcut anti virüs tarafında mutlaka db güncelleme gerekmektedir.

SMB tarafındaki zafiyet temelli ilerleyen bu zararlı şu anda pek çok AV tarafından tespit edildi ancak en önemli nokta güncellemeleri çekmeniz ve dağıtmanız gerekli.

 

Özetle;

Öncelikle eğer hala yüklemediyseniz mutlaka aşağıdaki SMB zafiyet yamalarını yükleyin

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

İstemciler ve sunucular için kullandığınız anti virüs yazılımı için güncellemeler dağıtın.

Eğer kapatma imkanınız var ise SMB v1 i aşağıdaki komut yardımı ile kapatın ( Not: SMB kullanan pek çok sisteminiz olabilir, bu nedenle istemci ve sunucularda SMB v1′ i kapatmak bazı uygulamalarınızın çalışmamasına neden olabilir, bu nedenle kritik sistemler için test etmeden lütfen bu değişikliği yapmayın)

SMB için mevcut durumu aşağıdaki komut ile görebiliriz;

SMB Server için;

Windows 8 ve 2012 sonrası için

 

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

SMBv1 i kapatmak için

Set-SmbServerConfiguration -EnableSMB1Protocol $false

SMBv2 kapatmak için

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Windows 7 ve 2008 sistemler için

SMBv1 kapatmak

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

SMBv2 kapatmak için

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force

SMBv1 açmak için

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 1 -Force

SMBv2 yi açmak için

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 1 -Force

Kayıt defteri ile yapmak için

To enable or disable SMBv1 on the SMB server, configure the following registry key:

Registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB1

REG_DWORD: 0 = Disabled

REG_DWORD: 1 = Enabled

Default: 1 = Enabled

To enable or disable SMBv2 on the SMB server, configure the following registry key:

Registry subkey:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB2

REG_DWORD: 0 = Disabled

REG_DWORD: 1 = Enabled

Default: 1 = Enabled

 

Ek olarak yayılmak için psexec ve wmi kullanılmaktadır. Bunun için GPO veya AV tarafında bir application control var ise bu dosyaya erişimi yasaklayabilirsiniz

C:\Windows\perfc.da

Ek olarak yayılmasını engellemek için ortak şifre kullanımı var ise hızlıca yetkili şifreleri değiştirin.

Umarım sorunsuz bir hafta geçirirsiniz.

 
Etiketler:
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
Petya Ransomware Hakkında Bilgilendirme için yorumlar kapalı  comments 
© Hakan Uzuner
credit