[CA7389] Fidye Yazılımı Koruma Kalkanı Atlatma Düzenlemeleri

ESET Müşteri Danışma 2020-0002
21 Ocak 2020
Seviye: Orta

Özet

ESET, Fidye Yazılımı Kalkanı özelliğinin Windows'un tüketici, iş ve sunucu ürünlerinde olası atlatılmasına dair haberdar edildi. ESET, bu saldırıyı yönetmek için kullanılan temel yöntemi belirledi ve etkilenen ürünlerin otomatik olarak indirdiği güncellemeleri hazırladı.

Detaylar ve Çözüm

ESET, etkilenen ESET ürününün yüklü olduğu ve Fidye Yazılımı Kalkanı özelliğinin açık olduğu bir makinede, saldırganın standart Windows API EncryptFile işlevini kullanıcı dosyalarını kötü amaçlı olarak şifrelemeyerek kötüye kullanmasının mümkün olduğunu belirten PoC kodu eklenmiş bir rapor aldı.

ESET, bu saldırıyı yönetmek için ESET bireysel ürünlerinin 13. sürümü için Fidye Yazılımı Kalkanı özelliğini içeren HIPS modülünün (1380.2 ve üstü) güncellenmiş bir sürümünü ve kullanılan kötü amaçlı dosyaları engelleyen tüm etkilenmiş ürünler için bir algılama motoru güncellemesini hazırlayarak düzeltti. Tüm ürün serisindeki değişiklikleri ele alabilmek için iş, sunucu ve bireysel ürünlerin önceki sürümleri için HIPS modülünün ayrı bir güncellemesi yayınlanacaktır.

Güncelleme yayınlandıktan sonra, ilgili modüller otomatik olarak güncellenir ve kullanıcı müdahalesi gerekmez. Bu arada, kullanıcılar sistemlerini bu atlatmadan korumak için aşağıdaki iki işlemden birini yapabilirler:

  1. Bir işlem %PROGRAMDATA%\Microsoft\Crypto\RSA\MachineKeys*de her değişiklik yapmak istediğinde izin istemek için bir HIPS kuralı oluşturun
    .
  2. Windows'ta Dosya Şifreleme Sistemi özelliğini devre dışı bırakarak (özelliği aktif olarak kullanmıyorsanız önerilir) atlatma işlevini etkisiz hale getirin. Bu işlevi kapatmak için, yönetici haklarıyla komut isteminde fsutil behavior set disableencryption 1 kodunu çalıştırın, ya da Registry Editör içerisinde HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem anahtarının NtfsDisableEncryption değerini 1 ile değiştirin.

Etkilenen program ve sürümler

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security ve ESET Smart Security Premium 10 ve sonrası
  • ESET Endpoint Antivirus ve ESET Endpoint Security 7 ve sonrası
  • ESET Server Security ürünleri 7 ve sonrası

Geri Bildirim & Destek

Eğer konuyla ilgili bir geri bildiriminiz ya da sorunuz varsa ESET Security Forum'u kullanarak, ya da yerel ESET Teknik Destek ağımız aracılığıyla bizimle irtibata geçebilirsiniz.

Bildirim

ESET, güvenlik endüstrisinde sorumlu açıklama ilkelerine değer verir ve bu sorunu bildiren SafeBreach'a teşekkür ederiz.

Versiyon logu

Versiyon 1.0 (21 Ocak 2020): Bu belgenin ilk sürümü

Ek Yardım

Daha Fazla Bilgi