WanaCrypt0r fidye virüsü nedir, WNCRY uzantılı şifreli dosyaların şifresini çözmek mümkün mü?

Bir kaç gündür dünya üzerinde pek çok bilgisayar yeni bir fidye virüsünün saldırısına uğradı. Bu saldırı o kadar yoğun oldu ki pek çok devlet kurumu da bu tür saldırılardan etkilendi.

WanaCrypt0r adı  verilen bu fidye virüsünün diğer fidye virüslerinden daha etkili olmasındaki temel sebep yayılma şekli. Daha önceki fidye virüsleri genel olarak mail üzerinden dağıtılırken WanaCrypt0r Windows üzerindeki bir güvenlik açığını kullanarak dağıtılıyor.

Fidye virüsü, fidye yazılımı nedir daha fazla bilgi almak isterseniz Fidye virüsü nedir? linkinden bilgi alabilirsiniz.

Virüs WCry, WannaCry, WannaCrypt veya WanaCrypt0r adı ile anılıyor.

Eğer Windows işletim sistemi kullanıyor ve SMBv1 protokolündeki güvenlik açığını kapatmamış durumdaysanız biran önce bilgisayarınıza bu yamayı yüklemeniz gerekiyor.

Bu güvenlik açığı mart ayında Micrsoft'un yayınladığı yama ile kapatılmıştı:  MS17-010

Eğer Windows güncelleştirme yapmıyorsanız, virüsten korunmak için acil bir şekilde denetim Masasından Windows Update'i çalıştırın ve eksik olan tüm güncellemeleri yükleyin. Bu güvenlik yapamasını yüklemezseniz, hiç bir şey yapmasanız dahi, internette gezinirken  WanaCrypt0r fidye virüsü bilgisayarınıza bulaşabilir.

 WanaCrypt0r nasıl bilgisayardaki dosyaları şifreliyor?

 WanaCrypt0r bilgisayarınıza bulaştığında parola korumalı bir zip dosyasını bilgisayarınıza indiriyor ve açıyor. wcyp.zip adındki bu dosya içinde taskdl.exe, taskse.exe, b.wnry,c.wnry gini dosyalar mevcut.

Bilgisayaraya bulaşan  WanaCrypt0r virüsü pek çok dilde lokalize olmuş bir mesaj ekrana getiriyor. 

Aynı zamanda Tor istemcisini de indirip bilgisayara kuruyor. İndirdiği dosyaları TaskData adlı bir klasöre açıyor. Tor istemcisi  WanaCrypt0r virüsünün komuta merkezi ile iletişiminde kullanılıyor.

 WanaCrypt0r fidye virüsü öncelikle bilgisayarda SQL ve Exchange varsa buna dair hizmetleri durduruyor. Bu işlemi yapmasındaki sebep, bilgisayarda bulunan veritabanı dosyalarını şifreleyebilmek için öncelikle dosyaların kullanımlarını durdurmak.

 WanaCrypt0r şu uzantıya sahip tüm dosyaları şifreliyor:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, 

Bu dosyaların uzantısı .WNCRY olarak değiştiriliyor. Eğer bilgisayarınızdaki veri dosyalarının uzantısı .WNCRY olduysa siz de WanaCrypt0r fidye virüsünün saldırısına maruz kaldınız demektir.

Örneğin belge.doc adında bir dosyanız varsa bu dosyanın uzantısı belge.doc.WNCRY şeklinde değişiyor.

Daha sonra bilgisayarınızda @Please_Read_Me@.txt adında bir fidye notu bırakılıyor. Bu dosya şifrelenen her klasöre kopyalanıyor.

En sonunda WanaCrypt0r bilgisayrdaki tüm gölge kopyaları siliyor, böylece sistem geri yükleme ile dosyaları geri almak mümkün olmuyor.

Tüm bu işlemlerden sonra ekrana Wana Crypt0r 2.0 başlıklı dosyalarınızın şifrelendiğine dair mesaj geliyor.

Maalesef WanaCrypt0r  fidye virüsü şuan için ücretsiz bir şekilde çözülemiyor.

Varsa yedeklerinizden geri yüklemek ve son şansı olarak da ShadowExplorer ile sisteminizde tarama yapmanız da fayda var: ShadowExplorer nedir, nasıl kullanılır?

WanaCrypt0r  fidye virüsünden nasıl korunurum?

Öncelikle tüm Windows güncelleştirmelerini yüklemeniz gerekiyor.

Windows 7, Windows 10 kullanıcıları Windows Update üzerinden güncelleme yaparak çözüm sağlayabilirler.

Windows XP, Windows 8 ve Windows 2003 kullananlar: Windows XP, Windows 8, Windows 2003 WanaCrypt0r fidye virüsünden korunmak için gerekli güvenlik güncelleştirmesi nereden indirilir? linkinden indirme yapabilir.

Windows güncelleştirmelerini yüklemek mümkün değilse  SMBv1 hizmetini kapatmanız gerekiyor.

 SMBv1  nasıl kapatılır?

1. Denetim Masasında gidin.
2. Programlar ve Özellikleri bulun (Program / Ekle kaldır).
3. Windows Özelliklerini Aç kapat seçeneğini tıklayın.
4. SMB 1.0 /CIFS dosya paylaşımı desteği seçeneğinin işaretini kaldırın.
5. Uygula ve Tamam'ı tıklayın.
6. Bilgisayarı yeniden başlatın.

Şuan piyasadaki pek çok antiviüs bu virüsü yakalayamıyor. Yaptığımız testlerde Emsisoft anti-malware WanaCrypt0r şifrelame uygulaması çalıştığımda, wcry.exe, şüpheli davranış olarak görüyor ve bu işlemi engelliyor.
Eğer antivirüs sahibi değilseniz buradan indirip yükleyebilirsiniz: 
Emsisoft Anti-Malware nedir, nasıl kullanılır?

Bu çözüm paylaşıldığında WCry, WannaCry, WannaCrypt veya WanaCrypt0r adı verilen virüsü sadece şu antivirüs / anti-malware programları tespit edebiliyordu:

Antivirüs / Virüs adı

• Emsisoft Gen:Variant.Graftor
• DrWeb BACKDOOR.Trojan
• F-Secure Gen:Variant.Graftor
• Ad-Aware Gen:Variant.Graftor
• ALYac Gen:Variant.Graftor 
• Arcabit Trojan.Graftor
• Baidu Win32.Trojan.WisdomEyes
• BitDefender Gen:Variant.Graftor
• Kaspersky UDS:DangerousObject.Multi.Generic
• eScan Gen:Variant.Graftor
• Qihoo-360 HEUR/QVM41.1.1667.Malware.Gen

Ek bilgiler:

• Fidye virüsü nedir?
• Fidye virüslerinden nasıl korunurum?