WannaCry, Petya ransomware viruslarından mühafizə üsulları

Xatırladaq ki, 2017-ci ilin may ayında geniş yayılmış və SMB protokolunda aşkarlanmış boşluqdan istifadə edən WannaCry ransomware virusunun qarşısını "MalwareTech" nikli bir İT ekspertin zərərvericidə "kill-switch" aşkarlaması ilə almaq mümkün olmuşdu. Belə ki, icra zamanı zərərverici əvvəlcə iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domeninə müraciət edərək onun qeydiyyata alınmış olduğunu yoxlayırdı, əgər domen qeydiyyatdan keçməyibsə, virus faylları şifrələməyə başlayırdı, əks halda fəaliyyətini dayandırırdı. Tədqiqatçı həmin domeni qeydiyyata almaqla virusun fəaliyyətini dayandırmağa nail olmuşdur.

Təəssüf ki, oxşar hal Petya virusunda aşkarlanmamışdır. Lakin Cybereason şirkətinin tədqiqatçısı Amit Serper bu virusa qarşı bir növ vaksin hazırlamağa nail olub. O, aşkarlamışdır ki, sərt diskdə müəyyən adda bir fayl yaratmaqla öz məlumatlarını qorumaq mümkündür.

Məsələ burasındadır ki, zərərverici prosesin icraya başlama zamanı C:Windows ünvanında perfc adlı faylın mövcudluğunu yoxlayır. Əgər fayl artıq mövcuddursa, virus sistemin artıq yoluxduğu qənaətinə gəlib təkrar əməliyyat aparmamaq üçün fəaliyyətini dayandırır. Sözügedən nəticəni PT Security, TrustedSec, Emsisoft və başqa böyük şirkətlər təsdiqləmişdir.

Bu üsulla virusun cari versiyasından qorunmaq üçün təkcə Microsoftun MS17-010 saylı kritik yenilənməsini yükləmək kifayət deyil, eyni zamanda C:Windows qovluğunda perfc adlı (genişlənməsiz) fayl yaratmaq və yalnız oxunma rejimində (read-only) təyin etmək lazımdır.

Kompüter sistemlərinizi WannaCry, Petya kimi ransomware viruslarından qorumağınız üçün Kompüter İnsidentlərinə Qarşı Mühafizə Mərkəzi aşağıdakıları tövsiyə edir:​

• İstifadə etdiyiniz kompüter və ya informasiya sistemlərinizdəki Windows əməliyyat sistemlərində mövcud olan boşluqların aradan qaldırılması üçün dərhal son yenilənmələri aparmaq;
• Bütün müvafiq sistemlərdə SMB trafiki bloklaşdırmaq (Firewall portları: 445/139 & 3389);
• Bütün sistemlərdə SMBv1-i deaktiv etmək və müvafiq testlərdən sonra SMBv2 və ya SMBv3 istifadə etmək;
  • Müştəri (client) əməliyyat sistemləri üçün:
    1. İdarəetmə Panelinə (Control Panel) daxil olub, "Programs and Features" menyusundan "Turn Windows features on or off" klikləmək lazımdır;
    2. Windows xüsusiyyətləri pəncərəsində "0/CIFS File Sharing Support" seçənəcəyini ləğv etmək lazımdır;
    3. Sistemi yenidən yükləmək lazımdır.
  • Server əməliyyat sistemləri üçün:
    1. Server Meneceri-nə (Server Manager) daxil olub, "Manage" menyusundan "Remove Roles and Features." klikləmək lazımdır;
    2. Xüsusiyyətlər pəncərəsində "0/CIFS File Sharing Support" seçənəcəyini ləğv etmək lazımdır;
    3. Sistemi yenidən yükləmək lazımdır.

• E-poçt vasitəsi ilə göndərilən naməlum faylları, tanış olmayan hər hansı digər mənbəyə keçidləri klikləməmək və ya ehtiyyatlı davranmaq;
• Vacib sənədlərin ehtiyat nüsxəsini (backup) yaratmaq;
• Aktiv və virus imza bazası aktual olan antivirusdan istifadə etdiyinizdən əmin olmaq və kompüterinizdə mövcud ola biləcək yoluxmaları yoxlamaq;
• İnternetdən istifadə zamanı təhlükəsizlik qaydalarına riayət etmək;
• Baş vermiş yoluxmalar barədə və ya yardıma ehtiyac olduqda Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzinə müraciət etmək.