WanaCrypt0r fidye virüsü nedir, WNCRY uzantılı şifreli dosyaların şifresini çözmek mümkün mü?

alattin (17125) 7 yıl önce sordu

WanaCrypt0r fidye virüsü nedir?

WanaCrypt0r virüsünün şifrelediği dosyaların şifresi nasıl çözülür?

Toplam 2 cevap


alattin (17125) 7 yıl önce cevapladı

Bir kaç gündür dünya üzerinde pek çok bilgisayar yeni bir fidye virüsünün saldırısına uğradı. Bu saldırı o kadar yoğun oldu ki pek çok devlet kurumu da bu tür saldırılardan etkilendi.

WanaCrypt0r adı  verilen bu fidye virüsünün diğer fidye virüslerinden daha etkili olmasındaki temel sebep yayılma şekli. Daha önceki fidye virüsleri genel olarak mail üzerinden dağıtılırken WanaCrypt0r Windows üzerindeki bir güvenlik açığını kullanarak dağıtılıyor.

Fidye virüsü, fidye yazılımı nedir daha fazla bilgi almak isterseniz Fidye virüsü nedir? linkinden bilgi alabilirsiniz.

Virüs WCry, WannaCry, WannaCrypt veya WanaCrypt0r adı ile anılıyor.

 

Eğer Windows işletim sistemi kullanıyor ve SMBv1 protokolündeki güvenlik açığını kapatmamış durumdaysanız biran önce bilgisayarınıza bu yamayı yüklemeniz gerekiyor.

Bu güvenlik açığı mart ayında Micrsoft'un yayınladığı yama ile kapatılmıştı:  MS17-010

Eğer Windows güncelleştirme yapmıyorsanız, virüsten korunmak için acil bir şekilde denetim Masasından Windows Update'i çalıştırın ve eksik olan tüm güncellemeleri yükleyin. Bu güvenlik yapamasını yüklemezseniz, hiç bir şey yapmasanız dahi, internette gezinirken  WanaCrypt0r fidye virüsü bilgisayarınıza bulaşabilir.

 WanaCrypt0r nasıl bilgisayardaki dosyaları şifreliyor?

 WanaCrypt0r bilgisayarınıza bulaştığında parola korumalı bir zip dosyasını bilgisayarınıza indiriyor ve açıyor. wcyp.zip adındki bu dosya içinde taskdl.exe, taskse.exe, b.wnry,c.wnry gini dosyalar mevcut.

Bilgisayaraya bulaşan  WanaCrypt0r virüsü pek çok dilde lokalize olmuş bir mesaj ekrana getiriyor. 

Aynı zamanda Tor istemcisini de indirip bilgisayara kuruyor. İndirdiği dosyaları TaskData adlı bir klasöre açıyor. Tor istemcisi  WanaCrypt0r virüsünün komuta merkezi ile iletişiminde kullanılıyor.

 WanaCrypt0r fidye virüsü öncelikle bilgisayarda SQL ve Exchange varsa buna dair hizmetleri durduruyor. Bu işlemi yapmasındaki sebep, bilgisayarda bulunan veritabanı dosyalarını şifreleyebilmek için öncelikle dosyaların kullanımlarını durdurmak.

 WanaCrypt0r şu uzantıya sahip tüm dosyaları şifreliyor:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, 

Bu dosyaların uzantısı .WNCRY olarak değiştiriliyor. Eğer bilgisayarınızdaki veri dosyalarının uzantısı .WNCRY olduysa siz de WanaCrypt0r fidye virüsünün saldırısına maruz kaldınız demektir.

Örneğin belge.doc adında bir dosyanız varsa bu dosyanın uzantısı belge.doc.WNCRY şeklinde değişiyor.

Daha sonra bilgisayarınızda @Please_Read_Me@.txt adında bir fidye notu bırakılıyor. Bu dosya şifrelenen her klasöre kopyalanıyor.

En sonunda WanaCrypt0r bilgisayrdaki tüm gölge kopyaları siliyor, böylece sistem geri yükleme ile dosyaları geri almak mümkün olmuyor.

Tüm bu işlemlerden sonra ekrana Wana Crypt0r 2.0 başlıklı dosyalarınızın şifrelendiğine dair mesaj geliyor.

Maalesef WanaCrypt0r  fidye virüsü şuan için ücretsiz bir şekilde çözülemiyor.

Varsa yedeklerinizden geri yüklemek ve son şansı olarak da ShadowExplorer ile sisteminizde tarama yapmanız da fayda var: ShadowExplorer nedir, nasıl kullanılır?

WanaCrypt0r  fidye virüsünden nasıl korunurum?

Öncelikle tüm Windows güncelleştirmelerini yüklemeniz gerekiyor.

Windows 7, Windows 10 kullanıcıları Windows Update üzerinden güncelleme yaparak çözüm sağlayabilirler.

 

Windows XP, Windows 8 ve Windows 2003 kullananlar: Windows XP, Windows 8, Windows 2003 WanaCrypt0r fidye virüsünden korunmak için gerekli güvenlik güncelleştirmesi nereden indirilir? linkinden indirme yapabilir.

Windows güncelleştirmelerini yüklemek mümkün değilse  SMBv1 hizmetini kapatmanız gerekiyor.

 SMBv1  nasıl kapatılır?

  1. Denetim Masasında gidin.
  2. Programlar ve Özellikleri bulun (Program / Ekle kaldır).
  3. Windows Özelliklerini Aç kapat seçeneğini tıklayın.
  4. SMB 1.0 /CIFS dosya paylaşımı desteği seçeneğinin işaretini kaldırın.
  5. Uygula ve Tamam'ı tıklayın.
  6. Bilgisayarı yeniden başlatın.

Şuan piyasadaki pek çok antiviüs bu virüsü yakalayamıyor. Yaptığımız testlerde Emsisoft anti-malware WanaCrypt0r şifrelame uygulaması çalıştığımda, wcry.exe, şüpheli davranış olarak görüyor ve bu işlemi engelliyor.
Eğer antivirüs sahibi değilseniz buradan indirip yükleyebilirsiniz: 
Emsisoft Anti-Malware nedir, nasıl kullanılır?

Bu çözüm paylaşıldığında WCry, WannaCry, WannaCrypt veya WanaCrypt0r adı verilen virüsü sadece şu antivirüs / anti-malware programları tespit edebiliyordu:

Antivirüs / Virüs adı

  • Emsisoft Gen:Variant.Graftor
  • DrWeb BACKDOOR.Trojan
  • F-Secure Gen:Variant.Graftor
  • Ad-Aware Gen:Variant.Graftor
  • ALYac Gen:Variant.Graftor 
  • Arcabit Trojan.Graftor
  • Baidu Win32.Trojan.WisdomEyes
  • BitDefender Gen:Variant.Graftor
  • Kaspersky UDS:DangerousObject.Multi.Generic
  • eScan Gen:Variant.Graftor
  • Qihoo-360 HEUR/QVM41.1.1667.Malware.Gen

Ek bilgiler:

researcher09 7 yıl önce

daha once bu fıdye vırusunden muzdarıp olduğum ıcın hemen bilgi sahıbı olmak ıstedım teşekkür ederım ıyıkı bu sıteyı ve szı bulmusum

alattin 7 yıl önce

@researcher09 elimizden geldiği kadar bu tür güvenlik konularında çözüm üretmeye ve yardımcı olmaya çalışıyoruz, aramıza hoş geldin

researcher09 7 yıl önce

bulduk alattin ustam...dedıgınız gıbı SMBv1 özellıgını kapadım...şimdi ise Windows bu sürümüne özellik ekleyemezsınız diyor...eski halıne getirmem için sistem geri yuklememı yapmam gerekiyor b.sayarda bu özellik olmasada olurmu...

toprak34 7 yıl önce

@alattin

alattin 7 yıl önce

@researcher09 olmasa da olur. Herhangi bir sorun yaşamazsın.

researcher09 7 yıl önce

saolun ıyıkı varsınız

adils 4 yıl önce

Ben bundan bir şey anladım o da tüm fotoğrafların hepsini zipe sıkıştırıp uzantısını öylesine harfler koymak.İşe yararmı bilmiyorum ama denemekde fayda var.

brsozl (1961) 7 yıl önce cevapladı

Dostlar gerçekten çok önemli bir konu bu diğer fidye virüsleri gibi biraz dikkat ile kaçınılabilecek bir türev değil. Alatttin bey tebrikler, elinize sağlık her şey çok açık ve bilgilendirici. Elimizden geldiğince paylaşalım konuyu.