WannaCry Fidye Virüsü bilgisayarlara ne yapıyor? Zararı nedir?

Son güncelleme : Şubat 14, 2019



Ağlamak istiyorum! / WannaCry / WannaCrypt / Fidye Virüsü nedir?
aklimagelmisken.xyz/aglamak-istiyorum-wannacry-wannacrypt-fidye-virusu-nedir/
Ağlamak istiyorum WannaCry WannaCrypt Fidye Virüsü nedir


WannaCry bilgisayarlara ne yapıyor? Zararı nedir? Nereye – Nasıl Bulaşıyor?
WannaCry fidye virüsünün yaptığı iş şu;
Bilgisayarlara eriştikten sonra hard diskleri şifrelemekte ve sonra SMB protokolü güvenlik açığını kullanarak, internette rastgele bilgisayarlara ve aynı LAN üzerindeki diğer bilgisayarlara yayılmaya çalışmaktadır.
Önce bulaştığı bilgisayardaki dosyaları şifreliyor. Hiçbir şekilde dosyalarınıza ulaşamıyorsunuz.
* Bir bilgisayara Wana Decrypt0r bulaştığında, yükleyici virüs programı, parola korumalı bir zip dosyasını açarak, bulunduğu klasöre .zip içindeki çeşitli kaynak dosyalarını çıkartır.
WanaCrypt0r parola korumalı örnek zip dosyası:
WanaCrypt0r parola korumalı örnek zip dosyası
Bu dosyalar da, her Windows başlatıldığında devreye giren görevleri icra eder.
* WanaCrypt0r daha sonra https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip dosyasından bir TOR istemcisi indirip, TaskData klasörüne çıkaracaktır. Bu TOR istemcisi, gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion ve cwwnhwhlz52maqm7.onion adresindeki fidye yazılım C2 sunucuları ile iletişim kurmak için kullanılır.
* Virüs olabildiğince çok dosyayı şifrelemek amacıyla, bilgisayarı hazırlamak için,  icacls . /grant Everyone:F /T /C /Q komutunu çalıştırır. Böylece fidye yazılımının bulunduğu klasör ve alt klasörlerdeki dosyalara, tam denetim izni verilmesini sağlar. Daha sonra veritabanı sunucuları ve posta sunucuları ile ilişkili çalışan işlemleri durdurur, böylece veritabanlarını ve posta depolarını da şifreleyebilir.
* Veritabanını sonlandırmak ve sunucu işlemlerini değiştirmek için yürütülen komutlar şunlardır:

taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange*
taskkill.exe /f /im Microsoft.Exchange.*


Şimdi, Wana Decrypt0r bilgisayardaki dosyaları şifrelemeye hazırdır. Dosyaları şifrelemek için şu uzantıları tarar:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Tabii bu da, Windows yüklü bir bilgisayarda hiçbir dosyanın sağlam kalmayacağı anlamına gelir.  🙁
* Şifrelenmiş bir dosyanın başına WANACRY dizgesi veya dosya işaretleyicisi eklenir :
Şifrelenmiş dosyanın başına eklenen WANACRY dizgesi dosya işaretleyicisi
Daha sonra .WNCRY yada .WCRY uzantısını, dosyanın şifrelendiğini belirtmek için şifrelenmiş dosyaya ekler. Örneğin, test.jpg adlı bir dosya şifrelenir ve yeni bir test.jpg.WNCRY ismine sahip olur.
WNCRY uzantısı eklenmiş şifrelenmiş dosyalar
Dosyaları şifrelerken aynı zamanda, dosyaların şifrelendiği her klasöre, bir @[email protected] fidye notu ve bir @[email protected] şifre çözücüsünün kopyasını da depolar.
Son olarak, WanaCrypt0r şu işlemleri yapmak için bazı komutları çalıştırır;

  • Shadow Volume Copies / Gölge Birim Kopyalarını temizler
  • Windows başlangıç kurtarma özelliğini devre dışı bırakır
  • Windows Server Yedekleme geçmişini siler

Verilen komutlar şunlardır:

Bu komutlar (Kullanıcı Hesabı Denetimine göre değişen) yönetici ayrıcalıklarına ihtiyaç duydukları için, kurbanlar aşağıdaki komuta benzer bir UAC istemi göreceklerdir:
Kullanıcı Hesabı Denetimi Yönetici Ayrıcalıkları Uyarısı


Not:
Bir kullanıcı bir bulut depolama / yedekleme hizmeti kullanıyorsa ve verilerini düzenli olarak bulut ile senkronize ediyorsa, yedek dosyaların da şifrelenmiş sürümlerinin üzerine yazılacağını dikkate almalıdır. Bu yüzden böyle bir durumda ilk iş olarak ya internet bağlantısını kapatmalı yada senkronizasyonu durdurmalıdır!


* Fidye açıklama ekranının, yerelleştirilmiş sürümünü “msg” klasörüne çıkartır. Şu anda desteklenen diller şunlardır:

Bulgarca, Çince (basitleştirilmiş), Çince (geleneksel), Hırvatça, Çekçe, Danimarkaca, Hollandaca, İngilizce, Filipince, Fince, Fransızca, Almanca, Yunanca, Endonezyaca, İtalyanca, Japonca, Korece, Letonca, Norveççe, Lehçe, Portekizce, Romence, Rusça, Slovakça, İspanyolca, İsveççe, Türkçe, Vietnamca

Son olarak, yükleyici, @[email protected] programını çalıştırır ve böylece Wana Decryptor 2.0 kilit ekranı görüntülenir. Bu ekran “Fidye nasıl ödenebilir?” konusunda daha fazla bilgi içerir ve yukarıda listelenen dillerden birini seçmenize izin verir. Bu ekranı gördüğünüzde ve virüs bulaştığını fark ettiğinizde, Wana Decrypt0r yeni dosyaları şifrelemeye devam edeceğinden, tüm kötü amaçlı yazılım işlemlerini hemen sonlandırmanız çok önemlidir.
Wanna Decrypt0r Ekran Görüntüsü:
Wana Decrypt0r Ekran Görüntüsü
Ekranın solunda, geriye sayım yapan 2 saat kutusunda “…şu zamana kadar ödeme yapmanız gerekli yoksa tüm dosyalarınız silinecektir” benzeri bir uyarı çıkıyor.
Ekranın sağında da, “Bilgisayarıma ne oldu?”, “Dosyalarını nasıl kurtaracağım?”, “Nasıl ödeme yapacağım?” gibi bilgilendirici (!) açıklamalar yer alıyor.
Ekranın sağ altında ise 300 $’lık Bitcoin yatırılması gereken hesap numarası verilmiş.


Not: Tabii Bitcoin’le yapılan ödemelerde, parayı alan kişinin takibi çok zorlaşıyor. Bitcoin’i alan hacker bu işten yakalanmadan sıyrılmış oluyor.
WannaCry Fidye Virüsü bilgisayarlara ne yapıyor Zararı nedir


Bitcoin fidyesi ödendikten sonra, “Check Payment” butonuna basarak ödeme kontrolü yapılıyor. Ödeme Yap düğmesini tıkladığınızda, fidye yazılımı bir ödeme yapıp yapmadığını görmek için TOR C2 sunucularına geri bağlanır. Ödeme yapıldıysa fidye yazılımları dosyalarınızın şifresini otomatik olarak çözer. Ödeme yapılmadıysa, aşağıdaki gibi bir yanıt göreceksiniz.
Wannacry ödeme yapılmadıysa mesaj
“Decrypt” butonuyla da şifrelenmiş dosyalarınız çözülüyor ve dosyalar kurtarılmış oluyor.
Wana Decryptor 2.0 ekranında ayrıca, fidye virüsü geliştiricisine soru sorup, mesaj atabileceğiniz bir “Bize Ulaşın” formu da mevcut. (Müşteri hizmetlerine önem veriyorlar)  😛
Wana Decryptor 2.0 fidye virüsü geliştiricisine soru mesaj Bize Ulaşın formu
Wcry programı ayrıca, size ayvayı yediğinizi tekrar hatırlatmak amacıyla, masaüstü duvar kağıdınızı da aşağıda görüldüğü gibi, başka bir fidye notu ile değiştirecektir:
Wannacry masaüstü duvar kağıdı fidye notu
Son olarak, sık sorulan soruların yanıtlarını  ve daha fazla bilgiyi içeren bir fidye notu masaüstünde kalacaktır. Adamlarda hizmette sınır yok, yeter ki fidyeyi ödeyin!
wannacry sık sorulan soruların yanıtları fidye notu masaüstünde
En iyi şansınız, herhangi bir yedeklemeniz varsa onun sayesinde dosyaları kurtarmaktır. Eğer yedek yoksa, fidye yazılımının “Shadow Volume Copies” dosyalarını tamamen silmemiş olabileceği umuduyla, Shadow Explorer programını deneyin.
Eğer kullanıcı UAC isteminde “Evet” seçeneğini tıklamadıysa, dosyaları kurtarmak için hala bir ihtimal var demektir.


WannaCry Fidye Virüsünü Durduran Genç Marcus Hutchins :
aklimagelmisken.xyz/wannacry-fidye-virusunu-durduran-genc-marcus-hutchins/
WannaCry ilk durduran yavaşlatan Marcuh Hutchins


Fidye, WannaCry, WNCry, WanaCrypt0r SMB Virüsü-Kökten Çözüm!
aklimagelmisken.xyz/fidye-wannacry-wncry-wanacrypt0r-smb-virusu-kokten-cozum/
Wana Decrypt0r Ekran Görüntüsü


Wana Decrypt0r / WanaCrypt0r ile ilişkilendirilmiş dosyaların listesi:


Wana Decrypt0r / WanaCrypt0r ile ilişkili kayıt defteri girdileri:


Wana Decrypt0r / WanaCrypt0r’den Ağ İletişimi:


Wannacry program akışı:
Wannacry program Akışı


Wana Decrypt0r / WanaCrypt0r Kilit Ekran Metin:

Bilgisayarıma ne oldu?

Önemli dosyalarınız şifrelendi.

Belgelerinizin, fotoğraflarınızın, videolarınızın, veritabanlarının ve diğer dosyalarınızın birçoğu şifrelendiğinden artık erişilemezler. Belki dosyalarınızı kurtarmanın bir yolunu bulmakla meşgulsünüz, ancak zamanınızı boşa harcamayın. Şifreleme servisimiz olmadan dosyalarınızı kimse kurtaramaz.Dosyalarımı Kurtarabilir miyim?

Kesinlikle.Tüm dosyalarınızı güvenli ve kolay bir şekilde kurtarabileceğinizi garanti ederiz. Ama yeterince zamanınız yok.

Dosyalarınızın bir kısmını ücretsiz olarak çözebilirsiniz. Tıklayarak şimdi deneyin.

Ancak tüm dosyalarınızın şifresini çözmek isterseniz, ödemeniz gerekecek.

Ödemeyi göndermek için yalnızca 3 gününüz var. Bundan sonra fiyat iki katına çıkacak.

Ayrıca, 7 gün içinde ödeme yapmazsanız, dosyalarınızı sonsuza dek kurtaramazsınız.

6 ay içinde ödeme yapamayacak kadar zayıf olan kullanıcılar için ücretsiz etkinlikler düzenleyeceğiz.

Nasıl ödeme yaparım?
Ödeme yalnızca Bitcoin’de kabul edilmektedir. Daha fazla bilgi için tıklayın.
Lütfen Bitcoin’in şu anki fiyatını kontrol edin ve biraz para çekici satın alın. Daha fazla bilgi için tıklatın.
Ve doğru miktarı bu pencerede belirtilen adrese gönderin.
Ödemenizin ardından tıklayın. En iyi kontrol zamanı: Pazartesiden cumaya 09: 00-11: 00 arası (GMT).
Ödeme yapıldıktan sonra derhal dosyalarınızın şifresini çözmeye başlayabilirsiniz.

İletişim
Yardımımıza ihtiyacınız varsa, öğesini tıklayarak bir mesaj gönderin.

Siz, ödeme yapana ve ödemeyi işleme koyana kadar, bu yazılımı kaldırmamaya ve anti-virüsünüzü bir süre devre dışı bırakmanızı önemle tavsiye ederiz. Virüsten koruma yazılımınız güncellenir ve bu yazılımı otomatik olarak kaldırırsa, ödeme yapsanız bile dosyalarınızı kurtaramazsınız!


Wana Decrypt0r / WanaCrypt0r Fidye Not Metni:

S: Dosyalarımın neyi varmış?

C: Önemli dosyalar şifrelendi. Onların şifresiz çözülene kadar artık erişemeyeceğiniz anlamına gelir.
Talimatlarımıza uyarsanız tüm dosyalarınızı hızlı ve güvenli bir şekilde çözebileceğinizi garanti ederiz! Şifresini çözmeye başlayalım!

S: Ben ne yapacağım?

Y: İlk olarak, şifre çözme işlemi için servis ücretleri ödemelisiniz.
Lütfen, bu adrese 300 $ değerinde bitcoin gönderin: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

Sonra, “@[email protected]” adlı bir uygulama dosyası bulun. Bu şifre çözme yazılımıdır.
Çalıştırın ve talimatları uygulayın! (Bir süre antivirüsünüzü devre dışı bırakmanız gerekebilir.)

S: Nasıl güvenebilirim?

C: Şifre çözme konusunda endişelenmeyin.
Dosyalarınızı kesinlikle çözeceğiz, çünkü kullanıcıları kandırırsak, kimse bize güvenemez.

* Yardımımıza ihtiyacınız varsa, şifre çözücü penceresine tıklayarak bir mesaj gönderin.


Kaynak: bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-technical-nose-dive/

 



Bir cevap yazın