Rus medyasında yer alan haberlere göre, Rusya'nın çeşitli bölgelerindeki İçişleri Bakanlığı departmanlarının çalışmaları, birçok bilgisayara bulaşan ve tüm verileri yok etme tehdidinde bulunan bir fidye yazılımı nedeniyle kesintiye uğradı. Ayrıca iletişim operatörü Megafon da saldırıya uğradı.

WCry fidye yazılımı Truva atından (WannaCry veya WannaCryptor) bahsediyoruz. Bilgisayardaki bilgileri şifreliyor ve şifrenin çözülmesi için Bitcoin olarak 300 $ veya 600 $ fidye talep ediyor.

@[e-posta korumalı], şifrelenmiş dosyalar, WNCRY uzantısı. Bir yardımcı program ve şifre çözme talimatları gereklidir.

WannaCry, dosya adının sonuna .WCRY ekleyerek aşağıdaki uzantılara sahip dosya ve belgeleri şifreler:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Dünya çapında WannaCry saldırısı

Saldırılar 100'den fazla ülkede kaydedildi. En büyük sorunları Rusya, Ukrayna ve Hindistan yaşıyor. İngiltere, ABD, Çin, İspanya ve İtalya'dan virüs enfeksiyonu raporları geliyor. Hacker saldırısının dünya çapındaki hastaneleri ve telekomünikasyon şirketlerini etkilediği kaydedildi. WannaCrypt tehdidinin yayılmasını gösteren etkileşimli bir harita internette mevcuttur.

Enfeksiyon nasıl oluşur?

Kullanıcıların söylediği gibi virüs, herhangi bir işlem yapmadan bilgisayarlarına giriyor ve ağlar arasında kontrolsüz bir şekilde yayılıyor. Kaspersky Lab forumunda etkinleştirilmiş bir antivirüsün bile güvenliği garanti etmediği belirtiliyor.

WannaCry fidye yazılımı saldırısının (Wana Decryptor) Microsoft Güvenlik Bülteni MS17-010 güvenlik açığı üzerinden gerçekleştiği bildiriliyor. Daha sonra virüslü sisteme, saldırganların bir şifreleme programı başlattığı bir rootkit kuruldu. Tüm Kaspersky Lab çözümleri bu rootkit'i MEM:Trojan.Win64.EquationDrug.gen olarak algılar.

Enfeksiyonun birkaç gün önce meydana geldiği iddia edildi, ancak virüs ancak bilgisayardaki tüm dosyaları şifreledikten sonra kendini gösterdi.

WanaDecryptor nasıl kaldırılır

Bir antivirüs kullanarak tehdidi kaldırabileceksiniz; çoğu antivirüs programı zaten tehdidi algılayacaktır. Ortak tanımlar:

dur Win32:WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Fidye.WanaCrypt0r, Microsoft Fidye:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Tehdidi bilgisayarınızda zaten başlattıysanız ve dosyalarınız şifrelenmişse, bu güvenlik açığından yararlanılması bir ağ şifreleyicisini çalıştıracağından dosyaların şifresini çözmek neredeyse imkansızdır. Ancak şifre çözme araçları için çeşitli seçenekler zaten mevcuttur:

Not: Dosyalarınız şifrelenmişse ve yedek kopya yoksa ve mevcut şifre çözme araçları yardımcı olmadıysa, tehdidi bilgisayarınızdan temizlemeden önce şifrelenmiş dosyaları kaydetmeniz önerilir. Gelecekte işinize yarayacak bir şifre çözme aracı oluşturulursa faydalı olacaktır.

Microsoft: Windows güncellemelerini yükleyin

Microsoft, şirketin ücretsiz antivirüs yazılımı ve Windows Sistem Güncellemesi etkinleştirilmiş olan kullanıcıların WannaCryptor saldırılarına karşı korunacağını söyledi.

14 Mart tarihli güncellemeler, fidye yazılımı Truva Atı'nın dağıtıldığı sistem güvenlik açığını gideriyor. Bugün, Ransom:Win32.WannaCrypt olarak bilinen yeni bir kötü amaçlı yazılıma karşı koruma sağlamak için Microsoft Security Essentials/Windows Defender antivirüs veritabanlarına algılama eklendi.

• Antivirüsünüzün açık olduğundan ve en son güncellemelerin kurulu olduğundan emin olun.
• Bilgisayarınızda herhangi bir koruma yoksa ücretsiz bir antivirüs yükleyin.
• Windows Update'i kullanarak en son sistem güncellemelerini yükleyin:
  • İçin Windows 7, 8.1 Başlat menüsünden Denetim Masası > Windows Update'i açın ve Güncellemeleri Ara'yı tıklayın.
  • İçin Windows 10 Ayarlar > Güncelleme ve Güvenlik'e gidin ve "Güncellemeleri kontrol et"i tıklayın.
• Güncellemeleri manuel olarak yüklerseniz, WanaDecryptor fidye yazılımı saldırısında kullanılan SMB sunucusu güvenlik açığını gideren resmi Microsoft yaması MS17-010'u yükleyin.
• Antivirüsünüzün fidye yazılımı koruması varsa onu açın. Ayrıca web sitemizde, ücretsiz araçları indirebileceğiniz Fidye Yazılımı Koruması adında ayrı bir bölümümüz bulunmaktadır.
• Sisteminizde anti-virüs taraması yapın.

Uzmanlar, kendinizi bir saldırıdan korumanın en kolay yolunun 445 numaralı bağlantı noktasını kapatmak olduğunu belirtiyor.

• sc stop lanmanserver yazın ve Enter'a basın
• Windows 10 için Enter'a basın: sc config lanmanserver start=disabled, diğer Windows sürümleri için: sc config lanmanserver start=disabled ve Enter'a basın
• Bilgisayarı yeniden başlatın
• Komut istemine netstat -n -a | findstr "DİNLİYOR" | Bağlantı noktasının devre dışı bırakıldığından emin olmak için findstr ":445". Boş hatlar varsa port dinlemiyor demektir.

Gerekirse bağlantı noktasını tekrar açın:

• Komut İstemi'ni (cmd.exe) yönetici olarak çalıştırın
• Windows 10 için Enter'a basın: sc config lanmanserver start=auto , diğer Windows sürümleri için: sc config lanmanserver start= auto ve Enter'a basın
• Bilgisayarı yeniden başlatın

Not: Bağlantı noktası 445, Windows tarafından dosya paylaşımı için kullanılır. Bu portun kapatılması PC'nin diğer uzak kaynaklara bağlanmasını engellemez ancak diğer PC'ler sisteme bağlanamayacaktır.