WannaCrypt virüsü nedir, nasıl bulaşır, nasıl temizlenir?

WannaCrypt nedir

WannaCrypt nedir?

WannaCrypt’a aslında çokta yabancı değiliz. WannaCrypt literatürde “Ransomware” olarak adlandırılan bir çeşit zararlı yazılımdır. (Ayrıca WannaCry, WanaCrypt0r, WCrypt veya WCRY olarak da bilinir). Ransomware kelime anlamı “Fidye” dir. Türkçe’de “Fidye Virüsü” olarak adlandırılmaktadır. Bu zararlının bu kadar isim yapmasında ki  en önemli sebeplerden biri ise bulaştığı sistemden kolay kolay temizlenememesidir.

Bu zararlının hedefinde Windows işletim sistemleri bulunuyor. WannaCrypt’a yabancı olmamamızın nedeni ise yine yüzlerce kişiyi mağdur eden ve halk arasında “FBI Virüsü” olarak adlandırılan zararlıyla benzerlik taşımasıdır.

WannaCrypt zararlısı ana ekranı

WannaCrypt zararlısının bulaştığı sistemde yukarıdaki gibi bir uyarıyla karşılaşıyorsunuz bu uyarı metni 30’a yakın farklı dilde hazırlanmış bulaştığı sistemin diline bağlı olarak görüntüleniyor.

WannaCrypt arka plan resmini değiştiriyor

Bulaştığı sistemin arkaplan resmini ise yukarıdaki gibi bir uyarı metniyle değiştiriyor.

WannaCrypt şifreli dosyalar için ödeme istiyor

WannaCrypt zararlısı o kadar zekice hazırlanmış ki zararlı rastgele birkaç dosyanızı kurtarmanız için şifre bile sunuyor. Aslında bu da gösteriyor ki yazılım aynı zaman da şifre çözmeyede yarıyor. Yukarıdaki resimdede görebileceğiniz gibi diğer dosyaların şifresi için ödeme yapmanız gerektiği uyarısını veriyor.

WannaCrypt ne yapar, amacı nedir?

Bu tür fidye yazılımlarının amacı bilgisayarınızdaki dosyaları AES-256 veya RSA şifre algoritması kullanarak şifreler daha sonra sizden şifreyi çözmek için gerekli anahtar karşılığında bitcoin olarak fidye ister. Fidye yazılımları ilk versiyonlarında daha düşük şifreleme algoritmaları kullanırken gitgide daha zor algoritmalar kullanmaktadırlar.

WannaCrypt Virüsünün verdiği zarar

Yukarıdaki istatistiklerdende görebileceğiniz gibi WannaCrypt zararlısı Dünya çapında 211 bine yakın bilgisayara bulaşmış durumda bu rakam her günde giderek artıyor. Bu zararlının bugüne kadar 200 bin dolara yakın fidye topladığı düşünülüyor.

WannaCrypt bulaştığı sistemde hangi dosyaları şifreler?

Bulaştığı sistemde aşağıdaki dosya uzantılarını arayarak şifreler:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

WannaCrypt nasıl bulaşır ve nasıl yayılır ?

WannaCrypt zararlısı sosyal mühendislik yöntemleriyle,e-posta ekleriyle veya e-posta içerisinde gelen linkler ile yada illegal yazılımlar ile bulaşırlar.

Server Message Block yani Sunucu İleti Bloğu: Sunucu ve istemci arasındaki iletişimi sağlayan bir network protokolüdür. OSI modelinin Uygulama katmanında çalışan SMB, dosya paylaşımlarına erişmede, ağ, yazıcı ve çeşitli bağlantılarda kullanılır.

SMB protokolünün 5 versiyonu bulunmaktadır. Bunlar şunlardır:

SMB 1.0  : Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2

SMB 2.0  : Windows Vista

SMB 2.1  : Windows 7, Windows Server 2008 R2

SMB 3.0  : Windows 8, Windows Server 2012

SMB 3.02: Windows 8.1, Windows Server 2012 R2

SMB protokolünde bir açık sebebiyle hedeflenen bir SMBv1 sunucusuna özel hazırlanmış bir paket göndererek tetiklenebilir. Bu açığı kullanan WannaCrypt zararlısı ağdaki  Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2 işletim sistemi kullanan bilgisayarlara bulaşabilmiştir.

WannaCrypt tarafından kullanılan exploit kodu, yalnızca Windows 7 ve Windows Server 2008 (veya önceki OS) sistemlerine karşı çalışacak şekilde tasarlandığından, Windows 10 bilgisayarları bu saldırıdan fazla etkilenmesede içerisinde bulunan SMB 1.0 desteğinin kaldırılması gerekiyor.

SMB 1.0‘daki bu güvenlik açığı, 14 Mart 2017’de Microsoft tarafından yayımlanmış olan MS17-010 güvenlik güncellemesiyle giderilmiştir.

Ancak zararlının yayılmasıyla ilgili olarak iki ihtimal üzerinde duruluyor:

1. Kullanıcıları, kötücül yazılımı çalıştırmak için kandırmak ve solucan yayma işlevselliğini SMB açığından yararlanarak etkinleştirmek üzere tasarlanan sosyal mühendislik e-postaları yoluyla,

2. Bir yama uygulanmamış bilgisayar diğer kötü yazılım bulaşmış makinelerden adreslenebilir olduğunda SMB aracılığıyla istismara uğruyor olabilir.

WannaCrypt zararlısı bileşenleri

1.  Başka bilgisayarlarda SMB  güvenlik açığından yararlanmaya çalışan bir bileşen

2. WannaCrypt olarak bilinen fidye yazılımı

WannaCrypt zararlısı sistemde hangi değişikliklere sebep olur?

WannaCrypt zararlısı API InternetOpenUrlA(): fonksiyonunu kullanarak;

  • www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com alan adlarına bağlanmaya çalışır.

Bu zararlı alan adlarına bağlanmayı başarırsa bulaştığı makinede yürütmeyi durdurarak diğer sistemlere zararlıyı yaymak için kullanmaya çalışmaz. Fakat alan adlarına ulaşamazsa sistemde bir hizmet oluşturarak fidye yazılımını bulaştırmaya devam eder.

Bu zararlı aşağıdaki registry değerlerini değiştirir;

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<random string> = “<malware working directory>\tasksche.exe”
  • HKLM\SOFTWARE\WanaCrypt0r\\wd = “<malware working directory>”
  • HKCU\Control Panel\Desktop\Wallpaper: “<malware working directory>\@WanaDecryptor@.bmp” (Bu registry değeri ile arka lanı değiştirir)

Ayrıca bu kötü amaçlı yazılımın çalışma dizininde aşağıdaki dosyaları oluşturur:

  • 00000000.eky
  • 00000000.pky
  • 00000000.res
  • 274901494632976.bat
  • @Please_Read_Me@.txt
  • @WanaDecryptor@.bmp
  • @WanaDecryptor@.exe
  • b.wnry
  • c.wnry
  • f.wnry
  • m.vbs
  • msg\m_bulgarian.wnry
  • msg\m_chinese (simplified).wnry
  • msg\m_chinese (traditional).wnry
  • msg\m_croatian.wnry
  • msg\m_czech.wnry
  • msg\m_danish.wnry
  • msg\m_dutch.wnry
  • msg\m_english.wnry
  • msg\m_filipino.wnry
  • msg\m_finnish.wnry
  • msg\m_french.wnry
  • msg\m_german.wnry
  • msg\m_greek.wnry
  • msg\m_indonesian.wnry
  • msg\m_italian.wnry
  • msg\m_japanese.wnry
  • msg\m_korean.wnry
  • msg\m_latvian.wnry
  • msg\m_norwegian.wnry
  • msg\m_polish.wnry
  • msg\m_portuguese.wnry
  • msg\m_romanian.wnry
  • msg\m_russian.wnry
  • msg\m_slovak.wnry
  • msg\m_spanish.wnry
  • msg\m_swedish.wnry
  • msg\m_turkish.wnry
  • msg\m_vietnamese.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • TaskData\Tor\libeay32.dll
  • TaskData\Tor\libevent-2-0-5.dll
  • TaskData\Tor\libevent_core-2-0-5.dll
  • TaskData\Tor\libevent_extra-2-0-5.dll
  • TaskData\Tor\libgcc_s_sjlj-1.dll
  • TaskData\Tor\libssp-0.dll
  • TaskData\Tor\ssleay32.dll
  • TaskData\Tor\taskhsvc.exe
  • TaskData\Tor\tor.exe
  • TaskData\Tor\zlib1.dll
  • taskdl.exe
  • taskse.exe
  • u.wnry

WannaCrypt ayrıca aşağıdaki dosyalarıda oluşturabilir:

  • %SystemRoot%\tasksche.exe
  • %SystemDrive%\intel\<random directory name>\tasksche.exe
  • %ProgramData%\<random directory name>\tasksche.exe

Malware çalışma dizininde “tasksche.exe” adında bir hizmet oluşturabilir. WannaCrypt bulduğu tüm dosyaları şifreler ve bunları dosya adına .WNCRY ekleyerek yeniden adlandırır. Bu fidye yazılımı ayrıca dosyaların şifrelendiği her klasörde “@ Please_Read_Me @ .txt”  adında bir açıklama dosyası oluşturur. Dosya değiştirilen duvar kağıdı resminde gösterilen fidye mesajını içerir. (WannaCrypt nedir? konusu altında gördüğünüz mesajı).

Kötü amaçlı yazılım, şifreleme işlemini tamamladıktan sonra aşağıdaki komutu çalıştırarak birim gölge kopyalarını siler:

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

WannaCrypt bulaşması nasıl önlenir?

Herşeyden önce mutlak olarak yedeklemeye önem vermelisiniz. Özellikle büyük firmalar felaket kurtarma senaryoları hazırlamalı ve yedekleme sistemlerini gözden geçirmeliler.

Hem bireysel kullanıcılar hemde kurumsal firmalar antivirüs kullanmalılar ve güncellemelerine dikkat etmeliler. Bireysel kullanıcılar Microsoft’un ücretsiz antivirüsünü kullanabilirler, kurumsal firmalar ise enterprise sürümleri kullanmalılar.

Şirket içi kullanıcılar e-postalar konusunda dikkatli olmaları konusunda bilgilendirilmeli. E-posta sunucuları için güvenlik ürünleri kullanılmalı ve e-postalar taranmalı ve filtrelenmelidir.

Gerek sunucu ve gerekse client işletim sistemlerinin güncellemelerine dikkat edilmeli. Gerekli görüldüğü takdirde işletim sistemlerinde yükseltmeye gidilebilir.

Microsoft’un yayımlamış olduğu MS17-010 kodlu güncelleme yüklenmelidir.

Bu güncellemeyi uygulayana kadar aşağıdaki tedbileri alabilirsiniz:

  1. Microsoft tarafından önerildiği şekli ile SMBv1’i devre dışı bırakabilirsiniz.
  2. 445 nolu porta gelen SMB trafiğini engellemek için güvenlik duvarınızda bir kural oluşturabilirsiniz.

Windows Defender kullananlar 1.243.297.0 güncellemesiyle birlikte bu tehdit yakalanmaktadır. Hiç antivirüs kullanmamaktansa Windows Defender’ı kullanmanızı öneririm. Windows Defender bulut tabanlı koruma kullanır ve sizi en yeni tehditlere karşı korur.

Aygıt koruması kullanarak dışarıdan sisteme harici aygıtların bağlanmasını engelleyin. Yalnızca güvendiğiniz yazılımların çalışmasına izin verin.

Halen eski işletim sistemi kullananlar yazılım kısıtlama ilkelerini uygulayan 3. parti yazılımlardan faydalanabilirler. Örneğin: CryptoPrevent

Microsoft‘un yayımlamış olduğu kritik güvenlik güncellemesine MS17-010 ulaşabilirsiniz.

Yerelleştirilmiş dil ile güvelik güncellemelerini aşağıdan indirebilirsiniz:

1. Windows Server 2003 SP2 x64
2. Windows Server 2003 SP2 x86
3. Windows XP SP2 x64
4. Windows XP SP3 x86
5. Windows XP Embedded SP3 x86
6. Windows 8 x86
7. Windows 8 x64

Windows 10 yüklü bilgisayarlarda ise SMBV1 desteğini devre dışı bırakmanız gerekiyor.

Bunun içinse sırasıyla Denetim Masası > Programlar > Programlar ve Özellikleri > Windows Özelliklerini Aç ve Kapat bölümüne girin, SMB 1.0/CIFS Dosya Paylaşı Desteğini bulup sol tarafındaki işareti kaldırın daha sonra ise Tamam diyerek değişikliklerin uygulanmasını bekleyin, bilgisayarınızı yeniden başlatmanız gerekecek.

Windows 10 SMB Desteğini kaldırma

Bununla uğraşamam diyorsanız Powershell‘i Yönetici haklarıyla başlattıktan sonra “Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force” komutunu kullanarak SMB 1.0 Desteğini devre dışı bırakabilirsiniz.

Sizde Üyelerimiz Arasında Yer Alın !

Yeni konu ve içerikleri yakından takip edin....

Üye olursanız sık sık bildirimler alacaksınız. Üye olmadan önce bu tür durumlardan rahatsız olup olmayacağınızı gözden geçirin.

Yazar Hakkında Bilgi

Uzun yıllardır IT sektöründe bulunmaktayım. Bu blog teknolojik konularda kullanıcıları bilgilendirme, yardımcı olabilme amacı taşır. Fikir ve önerileriz konusunda bizlere iletişim bölümümüz üzerinden ulaşabilirsiniz.

Bir Yorum Yaz