Bulaştığı sistemlerde dosyaları bilinmeyen bir şifrelemeyle erişimi engelleyerek kullanıcılardan fidye talep eden ransomware adlı zararlı yazılımların son zamanlarda yol açtığı sıkıntı baya büyük. Ransomwarelerin genelde custom veya bilinen bir türün varyantı olmasının antivirüs/antimalware yazılımları tarafından yakalanmasını zorlaştırır. Fakat fidye virüslerinin Windows yerel grup ilkeleri ile engellenebilmesi mümkün.
Windows Group Policy içinde manuel yazılım kısıtlama ilkelerini yapılandırarak, fidye yazılımlarını Windows Group Policy ile engelleyebiliriz. Bu engelleme işleminin gerçekleştirilebilmesi için ilgili makinenin Windows Pro ya da Windows Server işletim sistemi ailesinden olması gerekiyor. Belirli bir bilgisayar için kısıtlama yapılmasını istiyorsanız Yerel Güvenlik İlke Düzenleyici kullanabilirsiniz. Eğer tüm etki alanında bulunan bilgisayarlarda kullanmak isterseniz, bunu Group Policy kullanılarak yapabilirsiniz. Windows ev kullanıcıları için yerel ilke denetleyici bulunmadığından Cryptowall kullanılmamaktadır. Yerel Güvenlik İlkesi düzenleyicisini açmak için başlat düğmesini tıklayın ve Yerel Güvenlik İlkesini yazıp görünen arama sonucunu seçin. Bunun yerine Grup İlkesi yazarak Group Policy Düzenleyicisini açabilirsiniz.
"Local Security Policy"ekranını açtığınızda karşınıza gelen ekranda Software Restriction Policies tıkladığınızda Software Restriction Policies seçeneği sağ tıklayın New Software Restriction Policies seçerek yeni tanım yapılacak altyapıyı hazırlamış bulunuyoruz. Ardından artık kuralları yazacağımız ekran hazır duruma gelmiş bulunmakta.
Fidye Yazılımları Engellemek için Kural Oluşturma
Additional Rules kategorisine (ek kurallar) sağ tıklayın ve ardından yeni yol kuralını seçin. Daha sonra istediğiniz engelleme işlemi için aşağıda listelenen öğelerin her biri için bir yol kuralı eklemek gerekir. Yapılacak olan bu işlemler esnasında legal olan olan uygulamaların çalışmasında problem olabilir. Bu durumda belirli kuralların etkinleştirilmesi gerekmektedir. Bu yöntem aşağıda verilen zararlıların engelleme ya da e-mail eklentisi için gelen zararlıların çalıştırılmaması için kullanılmaktadır.
CryptoWall %AppData% içinde bulunan kullanılabilir uygulamaları bloke eder:
Ulaşım: %AppData%\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %AppData% altında çalışan uygulamaların kullanıma izin vermez.
Zbot %AppData% içinde bulunan kullanılabilir uygulamaları engeller:
Ulaşım: %AppData%\*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: %AppData% altında bulunan, çalışabilir uygulamaların kullanıma izin vermez.
WinRAR içinde bulunan kullanılabilir uygulamaları engeller:
Windows XP için yol: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\Rar*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: WinRAR içinde bulunan yürütülebilen uygulamaların kullanılmasını engeller.
Winzip içinde bulunan yürütülebilen kullanımını engeller:
Windows XP için ulaşım yolul: %UserProfile%\Local Settings\Temp\wz*\*.exe
Windows Vista/7/8 için yol: %LocalAppData%\Temp\wz*\*.exe
Güvenlik Seviyesi: Disallowed
Açıklama: Winzip içinde bulunan yürütülebilen uygulamaların kullanımını engeller.
Sisteme Düşen Engelleme Logu
Altta görüldüğü gibi %AppData% altında buluna bir uygulama çalıştırıldığında, oluşturduğumuz policy sayesinde engellenmektedir. Sonuç olarak şekillerde de gösterildiği gibi Group Policy ayarlarını doğru bir şekilde yaparsak birçok zararlının çalışmasının önüne geçmiş oluruz.