WannaCry virüsü, Microsoft Windows işletim sistemini çalıştıran bilgisayarlara bulaşmak için EternalBlue açığını kullanan bir fidye yazılımı programıdır. Fidye yazılımı aynı zamanda WannaCrypt0r, WannaCryptor, WCry ve Wana Decrypt0r olarak da biliniyor. Hedef bilgisayara ulaştığında, tüm dosyaları hızlı bir şekilde şifreler ve bunları aşağıdaki uzantılardan biriyle etiketler: .wcry, .wncryt Ve .wncry.

Virüs, güçlü şifreleme kullanarak verileri kullanılamaz hale getiriyor, masaüstü duvar kağıdını değiştiriyor, “Lütfen Beni Oku!.txt” şeklinde bir fidye notu oluşturuyor ve ardından bilgisayardaki dosyaların şifrelendiğini bildiren “WannaDecrypt0r” adlı bir program penceresini açıyor. Kötü amaçlı yazılım, kurbanı Bitcoin olarak 300 ile 600 dolar arasında bir fidye ödemeye çağırıyor ve kurbanın parayı 7 gün içinde ödememesi halinde tüm dosyaları sileceğine söz veriyor.

Kötü amaçlı yazılım, şifrelenmiş verilerin kurtarılmasını önlemek için gölge kopyaları siler. Ayrıca fidye yazılımı bir solucan gibi davranır çünkü hedef bilgisayara ulaştığında, bulaşacak diğer bilgisayarları aramaya başlar.

Virüs, ödeme yapıldıktan sonra dosyalarınızı geri yüklemeyi vaat etse de suçlulara güvenmeniz için hiçbir neden yok. Site ekibi, ağ sürücülerini kullanarak ve .

Siber suçlular, bu fidye yazılımını 12 Mayıs 2017 Cuma günü başlatılan büyük bir siber saldırıda kullandı. Son raporlara göre kötü niyetli saldırı, 150'den fazla ülkede 230.000'den fazla bilgisayarı başarıyla etkiledi.

Virüs farklı sektörlerdeki kuruluşları hedef aldığından siber saldırının etkisi çok ciddi; en kötü darbeyi ise sağlık hizmetleri alıyor gibi görünüyor. Saldırı nedeniyle çeşitli hastane hizmetleri durduruldu, yüzlerce ameliyat iptal edildi. Raporlara göre satın alma işleminden etkilenen ilk büyük şirketler Telefonica, Gas Natural ve Iberdrola oldu.

Etkilenen şirketlerin bazılarının verileri yedeklenirken, diğerleri trajik sonuçlarla karşı karşıya kaldı. İstisnasız tüm kurbanlara WannaCry'ı mümkün olan en kısa sürede kaldırmaları tavsiye ediliyor. Bu, fidye yazılımının daha fazla yayılmasını önlemeye yardımcı olabilir.

WannaCry, EternalBlue açığını kullanarak yayılıyor

WannaCry fidye yazılımının ana enfeksiyon vektörü, ABD Ulusal Güvenlik Ajansı'ndan (NSA) çalınan ve Shadow Brokers olarak bilinen bir grup bilgisayar korsanı tarafından çevrimiçi olarak yayınlanan siber casus yazılım olan EternalBlue istismarıdır.

EternalBlue saldırısı, Microsoft SMB (Sunucu İleti Bloğu) protokolündeki Windows CVE-2017-0145 güvenlik açığını hedefler. Microsoft güvenlik bülteni MS17-010'a (14 Mayıs 2017'de yayımlandı) göre güvenlik açığı artık düzeltildi. Uygulayıcılar tarafından kullanılan yararlanma kodunun eski Windows 7 ve Windows Server 2008 sistemlerini etkilemesi amaçlanmıştı, ancak Windows 10 kullanıcılarının virüsten etkilenmeyebileceği bildiriliyor.

Kötü amaçlı yazılım genellikle bir dizi açıktan yararlanma olanağını ve fidye yazılımının kendisini içeren bir Truva atı damlalığı biçiminde gelir. Damlalık daha sonra fidye yazılımını bilgisayara indirmek için uzak sunuculardan birine bağlanmaya çalışır. WannaCry'ın en son sürümleri APAC bölgesinde Girlfriendbeautiful[.]ga/hotgirljapan.jpg?i =1 aracılığıyla dağıtılmaktadır. Fidye yazılımları, fidye yazılımı dağıtımı hakkında bilgisi olmayan herkesi etkileyebilir, bu nedenle WannaCry fidye yazılımını önlemek için uzmanlarımız tarafından hazırlanan bu kılavuzu okumanızı öneririz:

1. Microsoft tarafından yakın zamanda yayımlanan ve fidye yazılımının kullandığı güvenlik açığını giderecek sistem güvenlik güncelleştirmesi MS17-010'u yükleyin. Güncelleştirmeler yalnızca Windows XP veya Windows 2003 gibi eski işletim sistemleri için yayımlandı.
2. Diğer bilgisayar programlarına yönelik güncellemeler için bizi izlemeye devam edin.
3. Bilgisayarınızı, sisteminize kötü amaçlı yazılım bulaştırmaya yönelik yasa dışı girişimlerden korumak için güvenilir bir virüsten koruma aracı yükleyin.
4. Yabancılardan veya iş yapmadığınız şirketlerden gelen e-postaları asla açmayın.
5. Microsoft tarafından sağlanan talimatları kullanarak SMBv1'i devre dışı bırakın.

Araştırmacı WannaCry saldırısı sırasında alınan ekran görüntülerini gösteriyor. Sisteme bulaşıp üzerindeki tüm dosyaları şifreledikten sonra Wanna Decrypt0r penceresini ve WannaCry tarafından belirlenen görüntüyü masaüstü arka planınız olarak görebilirsiniz.
Yöntem 1. (Güvenli Mod)
"Ağ ile Güvenli Mod"u seçin Yöntem 1. (Güvenli Mod)
"Ağ İletişimi ile Güvenli Modu Etkinleştir" seçeneğini seçin

"Komut İstemi ile Güvenli Mod"u seçin Yöntem 2. (Sistem Geri Yükleme)
"Komut İstemi ile Güvenli Modu Etkinleştir" seçeneğini seçin
Yöntem 2. (Sistem Geri Yükleme)
Tırnak işaretleri olmadan "cd restore" yazın ve "Enter" tuşuna basın
Yöntem 2. (Sistem Geri Yükleme)
Tırnak işaretleri olmadan "rstrui.exe" yazın ve "Enter" tuşuna basın
Yöntem 2. (Sistem Geri Yükleme)
Açılan "Sistem Geri Yükleme" penceresinde "İleri"yi seçin
Yöntem 2. (Sistem Geri Yükleme)
Geri yükleme noktanızı seçin ve "İleri"ye tıklayın
Yöntem 2. (Sistem Geri Yükleme)
"Evet"e tıklayın ve sistem kurtarmaya başlayın ⇦ ⇨

Slayt 1 itibaren 10

WannaCry versiyonları

Virüs, dosyaları güvenli bir şekilde kilitlemek için AES-128 şifreleme şifresini kullanıyor, adlarına .wcry dosya uzantısını ekliyor ve sağlanan sanal cüzdana 0,1 Bitcoin aktarılmasını istiyor. Kötü amaçlı yazılım başlangıçta spam e-postalar aracılığıyla dağıtıldı; Ancak bu virüs, geliştiricilerine fazla bir gelir sağlamadı. Bu fidye yazılımı tarafından şifrelenen dosyaların şifre çözme anahtarı olmadan kurtarılamayacağı ortaya çıkmasına rağmen, geliştiriciler kötü amaçlı programı güncellemeye karar verdi.

WannaCrypt0r fidye yazılımı virüsü. Bu, fidye yazılımının güncellenmiş sürümünün başka bir adıdır. Yeni sürüm, ana saldırı vektörü olarak Windows'taki açıkları hedef alıyor ve sistemde depolanan tüm dosyaları saniyeler içinde şifreliyor. Etkilenen dosyalar, orijinal dosya adından hemen sonra dosya adına eklenen uzantılar (.wncry, wncryt veya .wcry) aracılığıyla tanınabilir.

Hasar görmüş verileri yedeklemeden veya veri şifreleme işlemi sırasında oluşturulan özel anahtar olmadan kurtarmanın bir yolu yoktur. Virüs genellikle 300 dolar talep ediyor, ancak kurbanın parayı üç gün içinde ödememesi durumunda fidye fiyatını 600 dolara çıkarıyor.

Fidye yazılımı virüsü WannaDecrypt0r. WannaDecrypt0r, virüsün hedef sisteme başarıyla sızdıktan sonra çalıştırdığı bir programdır. Araştırmacılar, Wanna Decryptor 1.0 ve Wanna Decryptor 2.0 versiyonlarının kurbanlara yaklaştığını zaten fark ettiler.

Kötü amaçlı yazılım, fiyatı maksimuma ulaşmadan önce fidyeyi ödemek için ne kadar zaman kaldığını gösteren bir geri sayım saatinin yanı sıra, virüsün bilgisayardaki tüm verileri silmesine ne kadar zaman kaldığını gösteren aynı geri sayım saatini görüntüler. Bu sürüm, 12 Mayıs 2017'de sanal topluluğu şok etti, ancak birkaç gün sonra MalwareTech adını taşıyan bir güvenlik araştırmacısı tarafından durduruldu.