WannaCrypt0r Fidye Virüsü DİKKAT

Bir kaç gündür dünya üzerinde pek çok bilgisayar yeni bir fidye virüsünün saldırısına uğradı. Bu saldırı o kadar yoğun oldu ki pek çok devlet kurumu da bu tür saldırılardan etkilendi.
WanaCrypt0r adı verilen bu fidye virüsünün diğer fidye virüslerinden daha etkili olmasındaki temel sebep yayılma şekli. Daha önceki fidye virüsleri genel olarak mail üzerinden dağıtılırken WanaCrypt0r Windows üzerindeki bir güvenlik açığını kullanarak dağıtılıyor.

Eğer Windows işletim sistemi kullanıyor ve SMBv1 protokolündeki güvenlik açığını kapatmamış durumdaysanız biran önce bilgisayarınıza bu yamayı yüklemeniz gerekiyor.

Bu güvenlik açığı mart ayında Micrsoft'un yayınladığı yama ile kapatılmıştı: MS17-010​

Hemen denetim Masasından Windows Update'i çalıştırın ve eksik olan tüm güncellemeleri yükleyin. Bu güvenlik yamasını yüklemezseniz, hiçbir şey yapmasanız dahi, internette gezinirken WanaCrypt0r fidye virüsü bilgisayarınıza bulaşabilir.
WanaCrypt0r nasıl bilgisayarda ki dosyaları Şifreliyor
WanaCrypt0r bilgisayarınıza bulaştığında parola korumalı bir zip dosyasını bilgisayarınıza indiriyor ve açıyor. wctp.zip adında ki bu dosya içinde taskdll.exe, taskse.exe, b.wnry.c.wnry gibi dosyalar mevcut.
Bilgisayara bulaşan WanaCrypt0r virüsü pek çok dilde lokalize olmuş bir mesaj ekrana getiriyor.

Aynı zamanda Tor istemcisini de indirip bilgisayara kuruyor. İndirdiği dosyaları TaskData adlı bir klasöre atıyor. Tor istemcisi WanaCrypt0r virüsünün komuta merkezi ile iletişiminde kullanılıyor.

WanaCrypt0r fidye virüsü öncelikle bilgisayarda SQL ve Exchange varsa buna dair hizmetleri durduruyor. Bu işlemi yapmasındaki sebep, bilgisayarda bulunan veritabanı dosyalarını şifreleyebilmek için öncelikle dosyaların kullanımlarını durdurmak.

WanaCrypt0r şu uzantıya sahip tüm dosyaları şifreliyor:

Kod:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc,

Bu dosyaların uzantısı .WNCRY olarak değiştiriliyor. Eğer bilgisayarınızdaki veri dosyalarının uzantısı .WNCRY olduysa siz de WanaCrypt0r fidye virüsünün saldırısına maruz kaldınız demektir.

Örneğin belge.doc adında bir dosyanız varsa bu dosyanın uzantısı belge.doc.WNCRY şeklinde değişiyor.
Daha sonra bilgisayarınızda @Please_Read_Me@.txt adında bir fidye notu bırakılıyor. Bu dosya şifrelenen her klasöre kopyalanıyor.

En sonunda WanaCrypt0r bilgisayrdaki tüm gölge kopyaları siliyor, böylece sistem geri yükleme ile dosyaları geri almak mümkün olmuyor.

Tüm bu işlemlerden sonra ekrana Wana Crypt0r 2.0 başlıklı dosyalarınızın şifrelendiğine dair mesaj geliyor.
Maalesef WanaCrypt0r fidye virüsü şuan için ücretsiz bir şekilde çözülemiyor.

Varsa yedeklerinizden geri yüklemek ve son şansı olarak da ShadowExplorer ile sisteminizde tarama yapmanız da fayda var: ShadowExplorer nedir, nasıl kullanılır?
WanaCrypt0r fidye virüsünden nasıl korunurum?

Öncelikle tüm Windows güncelleştirmelerini yüklemeniz gerekiyor. Windows güncelleştirmrlerini yüklemek mümkün değilse SMBv1 hizmetini kapatmanız gerekiyor.

SMBv1 nasıl kapatılır?

1. Denetim Masasında gidin.
2. Programlar ve Özellikleri bulun (Program / Ekle kaldır).
3. Windows Özelliklerini Aç kapat seçeneğini tıklayın.
4. SMB 1.0 /CIFS dosya paylaşımı desteği seçeneğinin işaretini kaldırın.
5. Uygula ve Tamam'ı tıklayın.
6. Bilgisayarı yeniden başlatın.

Emsisoft anti-malware WanaCrypt0r şifrelme uygulaması çalıştığımda, wcry.exe, şüpheli davranış olarak görüyor ve bu işlemi engelliyor.
Eğer antivirüs sahibi değilseniz buradan indirip yükleyebilirsiniz: Emisoft Anti-Malware nedir, nasıl kullanılır?

NOT: Bu Yazı Hızlı Bir Şekilde Ulaşmanız İçin Farklı Kaynaktan Kopyalanmıştır.
KAYNAK: https://uzmanim.net/soru/wanacrypt0...i-dosyalarin-sifresini-cozmek-mumkun-mu/78229

- - -