WanaCrypt0r 2.0 Fidye Virüsü Dünyayı Sardı

An itibariyle 99 farklı ülkeden 75 bini aşkın bilgisayarı tehdit eden WanaCrypt0r 2.0 fidye yazılımı, önümüzdeki süreçte daha da büyük bir kitleyi kapsayacak gibi görünüyor. Peki ama WanaCrypt0r 2.0 virüsü nedir ve nasıl temizlenir?

Dün sabah 09:00 saatlerinden itibaren aralarında Türkiye’nin de bulunduğu 74 ülkeye siber saldırı düzenlenmeye başlandı. Özellikle İngiltere ve İspanya’yı olumsuz yönde etkileyen bu saldırılar, kapsam alanını genişletmeye devam ediyor.

WanaCrypt0r 2.0 Fidye virüsü nedir?

WanaCrypt0r adı verilen bu fidye virüsünün diğer fidye virüslerinden daha etkili olmasındaki temel sebep yayılma şekli. Daha önceki fidye virüsleri genel olarak mail üzerinden dağıtılırken WanaCrypt0r Windows üzerindeki bir güvenlik açığını kullanarak dağıtılıyor.

Eğer Windows işletim sistemi kullanıyor ve SMBv1 protokolündeki güvenlik açığını kapatmamış durumdaysanız biran önce bilgisayarınıza bu yamayı yüklemeniz gerekiyor.

Bu güvenlik açığı mart ayında Micrsoft’un yayınladığı yama ile kapatılmıştı:  MS17-010

Bu güvenlik yamasını yüklemezseniz, hiç bir şey yapmasanız dahi, internette gezinirken WanaCrypt0r fidye virüsü bilgisayarınıza bulaşabilir.

WanaCrypt0r nasıl bilgisayardaki dosyaları şifreliyor?

WanaCrypt0r bilgisayarınıza bulaştığında parola korumalı bir zip dosyasını bilgisayarınıza indiriyor ve açıyor. wcyp.zip adındki bu dosya içinde taskdl.exe, taskse.exe, b.wnry,c.wnry gini dosyalar mevcut.

Bilgisayaraya bulaşan  WanaCrypt0r virüsü pek çok dilde lokalize olmuş bir mesaj ekrana getiriyor.

Aynı zamanda Tor istemcisini de indirip bilgisayara kuruyor. İndirdiği dosyaları TaskData adlı bir klasöre açıyor. Tor istemcisi  WanaCrypt0r virüsünün komuta merkezi ile iletişiminde kullanılıyor.

WanaCrypt0r fidye virüsü öncelikle bilgisayarda SQL ve Exchange varsa buna dair hizmetleri durduruyor. Bu işlemi yapmasındaki sebep, bilgisayarda bulunan veritabanı dosyalarını şifreleyebilmek için öncelikle dosyaların kullanımlarını durdurmak.

WanaCrypt0r şu uzantıya sahip tüm dosyaları şifreliyor:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc,

Bu dosyaların uzantısı .WNCRY olarak değiştiriliyor. Eğer bilgisayarınızdaki veri dosyalarının uzantısı .WNCRY olduysa siz de WanaCrypt0r fidye virüsünün saldırısına maruz kaldınız demektir.

Örneğin belge.doc adında bir dosyanız varsa bu dosyanın uzantısı belge.doc.WNCRY şeklinde değişiyor.

Daha sonra bilgisayarınızda @Please_Read_Me@.txt adında bir fidye notu bırakılıyor. Bu dosya şifrelenen her klasöre kopyalanıyor.

WanaCrypt0r 2.0 virüsü nedir nasıl kurtulurum nasıl korunurum nasıl temizlenir (1)

En sonunda WanaCrypt0r bilgisayrdaki tüm gölge kopyaları siliyor, böylece sistem geri yükleme ile dosyaları geri almak mümkün olmuyor.

Tüm bu işlemlerden sonra ekrana Wana Crypt0r 2.0 başlıklı dosyalarınızın şifrelendiğine dair mesaj geliyor.

WanaCrypt0r 2.0 virüsü nedir nasıl kurtulurum nasıl korunurum nasıl temizlenir (2)

WanaCrypt0r fidye virüsünden nasıl korunurum?

Öncelikle tüm Windows güncelleştirmelerini yüklemeniz gerekiyor.

Windows 7, Windows 10 kullanıcıları Windows Update üzerinden güncelleme yaparak çözüm sağlayabilirler.

WanaCryptor 2.0 virüsü nasıl temizlenir?

Bu fidye yazılımından kurtulmak için kullanıcıların önünde birkaç seçenek var. Öncelikle hedef olmamak adına en güncel Windows 10 işletim sistemini kullanmak şart. Zira Windows’un önceki versiyonlarını kullananlar güvenlik tarafında zayıf ve saldırıya tamamen açık durumda. Daha sonrasında sistemde kurulu olan antivirüs uygulamasıyla tarama yapıp WanaCryptor 2.0 ve benzeri siber tehditleri bulup etkisiz hale getirmek hayli önemli.