Bulaştığı sistemlerde dosyaları bilinmeyen bir şifrelemeyle kilitleyip erişimi engelleyerek kullanıcılardan fidye talep eden ransomware adlı zararlı yazılımların son dönemde yol açtığı sıkıntı epey büyük. Ransomware’lerin genelde “custom” veya bilinen bir türün varyantı olmasının antivirüs/antimalware yazılımları tarafından yakalanmasını güçleştirir. Fakat fidye virüslerinin Windows yerel grup ilkeleri ile engellenebilmesi mümkün.
Windows Group Policy (grup ilkesi) içinde manuel yazılım kısıtlama ilkelerini oluşturarak, fidye yazılımlarını Windows Group Policy ile engelleyebilirsiniz. Bu engelleme işleminin gerçekleştirilebilmesi için ilgili makinenin Windows Pro ya da Windows Server işletim sistemi ailesinden olması gerekiyor. Belirli bir bilgisayar için kısıtlama yapılmasını istiyorsanız Yerel Güvenlik İlke Düzenleyici kullanabilirsiniz. Eğer tüm etki alanında (Windows domain) bulunan bilgisayarlarda kullanmak isterseniz, bunu Group Policy kullanılarak yapabilirsiniz. Windows ev kullanıcıları için yerel ilke denetleyici bulunmadığından Cryptowall kullanılmamaktadır. Yerel Güvenlik İlkesi düzenleyicisini açmak için Başlat düğmesini tıklayın ve/veya Yerel Güvenlik İlkesi’ni yazıp görünen arama sonucunu seçin. Bunun yerine Grup İlkesi (Group Policy) yazarak Grup İlkesi Düzenleyicisi‘ni açabilirsiniz.
Resim-1
“Local Security Policy” ekranını açtığınızda karşınıza gelen ekranda “Software Restriction Policies” tıkladığınızda Resim-1 de görüldüğü gibi “Software Restriction Policies” seçeneği sağ tıklandığında “New Software Restriction Policies” seçerek yeni tanım yapılacak altyapıyı hazırlamış oluruz. Ardından artık kuralları yazacağımız ekran hazır duruma gelmiş olur:
Resim-2
Fidye Yazılımları Engelleme Kuralı Oluşturma
Ek kurallar kategorisine (Additional Rules) sağ tıklayın ve ardından yeni yol kuralı’nı (New Yol Rule) seçin. Daha sonra istediğiniz engellem işlemi için aşağıda listelenen öğelerin her biri için bir yol kuralı eklemek gerekir. Yapılacak olan bu işlemler esnasında legal olan olan uygulamaların çalışmasında problem yaşanabilir. Bu durumda bu durumda belirli kuralların etkinleştirilmesi gerekir. Bu yöntem aşağıda verilen zararlıların engelleme ya da e-mail eklentisi için gelen zararlıların çalıştırılmaması için kullanılmalıdır.
Resim-3
CryptoWall %AppData% içinde bulunan yürütülebilir uygulamaları engeller:
Yol: %AppData%\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %AppData% altında çalışabilir uygulamaların çalışmasına izin vermez.
CryptoWall %LocalAppData% içinde bulunan yürütülebilir uygulamaları engeller:
Windows XP için yol : %UserProfile%\Local Settings\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %LocalAppData% altında çalışabilir uygulamaların çalışmasına izin vermez.
Zbot %AppData% içinde bulunan yürütülebilir uygulamaları engeller:
Yol: %AppData%\*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %AppData% altında ve alt klasörlerde bulunan, çalışabilir uygulamaların çalışmasına izin vermez.
Zbot %LocalAppData% içinde bulunan yürütülebilir uygulamaları engeller:
Windows XP için yol: %UserProfile%\Local Settings\*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %AppData% altında ve alt klasörlerde bulunan, çalışabilir uygulamaların çalışmasına izin vermez.
WinRAR içinde bulunan yürütülebilen uygulamaları engeller:
Windows XP için yol: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\Rar*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: WinRAR içinde bulunan yürütülebilen uygulamaların çalıştırılmasını engeller.
7zip içinde bulunan yürütülebilen uygulamaları engeller:
Windows XP için yol: %UserProfile%\Local Settings\Temp\7z*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\7z*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: 7zip içinde bulunan yürütülebilen uygulamaların çalıştırılmasını engeller.
Winzip içinde bulunan yürütülebilen uygulamaları engeller:
Windows XP için yol: %UserProfile%\Local Settings\Temp\wz*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\wz*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: Winzip içinde bulunan yürütülebilen uygulamaların çalıştırılmasını engeller.
Windows işletim sistemlerinin desteklediği zip uygulamalarının içeriğini engeller:
Windows XP için yol: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\*.zip\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: Windows işletim sistemlerinin desteklediği zip uygulamalarının içeriğini engeller.
Sisteme Düşen Engelleme Log’u
Altta görüldüğü gibi %AppData% altında buluna bir uygulama çalıştırıldığında, oluşturduğumuz policy sayesinde bloklanmaktadır. Sonuç olarak şekillerde de gösterildiği gibi grup ilkesi ayarlarını doğru bir şekilde yaparsak birçok zararlının çalışmasının önüne geçmiş oluruz.
Resim-4
Görüldüğü üzere son zamanlarda birçok kişinin başını yakan ransomware adlı fidye yazılımlarını Windows Group Policy ile aslında kolayca ve ücretsiz olarak büyük oranda engelleyebiliyorsunuz.
hocam erp programımız appdata içerisinden çalışıyor. bu yüzden policy içerinden block layamıyoruz ne önerirsin?
Onun için beyaz liste (whitelisting) yöntemini kullanmanız gerekir. Detayları burada bulabilirsiniz: https://www.bleepingcomputer.com/tutorials/create-an-application-whitelist-policy-in-windows/