Fidye Yazılımlarını Windows Group Policy ile Engelleyin

Bulaştığı sistemlerde dosyaları bilinmeyen bir şifrelemeyle kilitleyip erişimi engelleyerek kullanıcılardan fidye talep eden ransomware adlı zararlı yazılımların son dönemde yol açtığı sıkıntı epey büyük. Ransomware’lerin genelde “custom” veya bilinen bir türün varyantı olmasının antivirüs/antimalware yazılımları tarafından yakalanmasını güçleştirir. Fakat fidye virüslerinin Windows yerel grup ilkeleri ile engellenebilmesi mümkün.

 

Windows Group Policy (grup ilkesi) içinde manuel yazılım kısıtlama ilkelerini oluşturarak, fidye yazılımlarını Windows Group Policy ile engelleyebilirsiniz. Bu engelleme işleminin gerçekleştirilebilmesi için ilgili makinenin Windows Pro ya da Windows Server işletim sistemi ailesinden olması gerekiyor. Belirli bir bilgisayar için kısıtlama yapılmasını istiyorsanız Yerel Güvenlik İlke Düzenleyici kullanabilirsiniz. Eğer tüm etki alanında (Windows domain) bulunan bilgisayarlarda kullanmak isterseniz, bunu Group Policy kullanılarak yapabilirsiniz. Windows ev kullanıcıları için yerel ilke denetleyici bulunmadığından Cryptowall kullanılmamaktadır. Yerel Güvenlik İlkesi düzenleyicisini açmak için Başlat düğmesini tıklayın ve/veya Yerel Güvenlik İlkesi’ni yazıp görünen arama sonucunu seçin. Bunun yerine Grup İlkesi (Group Policy) yazarak Grup İlkesi Düzenleyicisi‘ni açabilirsiniz.

local-security-policy-software-restrictionResim-1

“Local Security Policy” ekranını açtığınızda karşınıza gelen ekranda “Software Restriction Policies” tıkladığınızda Resim-1 de görüldüğü gibi “Software Restriction Policies” seçeneği sağ tıklandığında “New Software Restriction Policies” seçerek yeni tanım yapılacak altyapıyı hazırlamış oluruz. Ardından artık kuralları yazacağımız ekran hazır duruma gelmiş olur:

local-security-policy-software-restriction-object-policiesResim-2

 

Fidye Yazılımları Engelleme Kuralı Oluşturma

Ek kurallar kategorisine (Additional Rules) sağ tıklayın ve ardından yeni yol kuralı’nı (New Yol Rule) seçin. Daha sonra istediğiniz engellem işlemi için aşağıda listelenen öğelerin her biri için bir yol kuralı eklemek gerekir. Yapılacak olan bu işlemler esnasında legal olan olan uygulamaların çalışmasında problem yaşanabilir. Bu durumda bu durumda belirli kuralların etkinleştirilmesi gerekir. Bu yöntem aşağıda verilen zararlıların engelleme ya da e-mail eklentisi için gelen zararlıların çalıştırılmaması için kullanılmalıdır.

local-security-policy-software-restriction-additional-rulesResim-3

CryptoWall %AppData% içinde bulunan yürütülebilir uygulamaları engeller:

Yol: %AppData%\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama:  %AppData% altında çalışabilir uygulamaların çalışmasına izin vermez.

CryptoWall %LocalAppData% içinde bulunan yürütülebilir uygulamaları engeller:

Windows XP için yol : %UserProfile%\Local Settings\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %LocalAppData% altında çalışabilir uygulamaların çalışmasına izin vermez.

Zbot %AppData% içinde bulunan yürütülebilir uygulamaları engeller:

Yol: %AppData%\*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %AppData% altında ve alt klasörlerde bulunan, çalışabilir uygulamaların çalışmasına izin vermez.

Zbot %LocalAppData% içinde bulunan yürütülebilir uygulamaları engeller:

Windows XP için yol: %UserProfile%\Local Settings\*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %AppData% altında ve alt klasörlerde bulunan, çalışabilir uygulamaların çalışmasına izin vermez.

WinRAR içinde bulunan yürütülebilen uygulamaları engeller:

Windows XP için yol: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\Rar*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: WinRAR içinde bulunan yürütülebilen uygulamaların çalıştırılmasını engeller.

7zip içinde bulunan yürütülebilen uygulamaları engeller:

Windows XP için yol: %UserProfile%\Local Settings\Temp\7z*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\7z*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: 7zip içinde bulunan yürütülebilen uygulamaların çalıştırılmasını engeller.

Winzip içinde bulunan yürütülebilen uygulamaları engeller:

Windows XP için yol: %UserProfile%\Local Settings\Temp\wz*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\wz*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: Winzip içinde bulunan yürütülebilen uygulamaların çalıştırılmasını engeller.

Windows işletim sistemlerinin desteklediği zip uygulamalarının içeriğini engeller:

Windows XP için yol: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\*.zip\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: Windows işletim sistemlerinin desteklediği zip uygulamalarının içeriğini engeller.

 

Sisteme Düşen Engelleme Log’u

Altta görüldüğü gibi %AppData% altında buluna bir uygulama çalıştırıldığında, oluşturduğumuz policy sayesinde bloklanmaktadır. Sonuç olarak şekillerde de gösterildiği gibi grup ilkesi ayarlarını doğru bir şekilde yaparsak birçok zararlının çalışmasının önüne geçmiş oluruz.

ransomware-block-eventResim-4

Görüldüğü üzere son zamanlarda birçok kişinin başını yakan ransomware adlı fidye yazılımlarını Windows Group Policy ile aslında kolayca ve ücretsiz olarak büyük oranda engelleyebiliyorsunuz.

İNAN İŞÇİ

YAZAR:

17 yıldır IT sektöründe çeşitli şirketler ve alanlarda çalışan İnan İşçi, Bilgi Güvenliği Mühendisliği yüksek lisansını bulundurmakta, zararlı yazılım analizi ile güvenlikte big data analizi üzerine uzmanlaşmakta ve hali hazırda bir bankada Bilgi Güvenliği Yöneticisi olarak görev yapmaktadır.


    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.