Soft2Secure

WannaCry/Wanacryptor virüsü nedir: .wncry dosya ransomware nasıl bulaşır

WannaCry/Wanacryptor virüsü nedir: .wncry dosya ransomware nasıl bulaşır

WannaCry adındaki fidye yazılımı, dünyanın önde gelen güvenlik kaynaklarının gündemini meşgul etmektedir. Bunun tabii ki geçerli bir sebebi bulunmaktadır. Geçtiğimiz birkaç gün içerisinde söz konusu fidye yazılımı Avrupa’da birçok büyük şirkete saldırıda bulundu ve artan bir şekilde saldırılarına devam etmektedir. Fidye Trojan virüsü hedeflerinin veri kayıtlarını şifrelemekte ve dosyalara .WNCRY uzantısını eklemektedir.

WannaCry fidye yazılımı nedir?

Kendini Wana Decrypt0r 2.0 olarak tanıtan .WNCRY dosya virüsü, şifreleme tehditlerinin yeni bir uzantısı olarak gösterilmektedir. Dışarıdan, daha önceki versiyonları olan WCRY veya Wanna Decryptor 1.0 gibi görünmektedir. Saldırı kampanyasının mimarları için bu salgının güncellenmiş versiyonunu hazırlamak bir aydan biraz uzun zaman almıştır. Son versiyonun yayılma, şifreleme mekanizması ve şantaj tekniklerinde daha güçlü ve kompleks olduğu ispatlanmıştır. Kendi sirkülasyonunun hızı eşsizdir – 12 Mayıs 2017 tarihinde sadece birkaç saat içerisinde 57,000 bilgisayara bulaşmıştır. Bu hızdaki tekrarlanma sayısı, siber suçluların bu ay hackerlar tarafından açığa çıkarılan NSA bilgilerinden faydalandıklarını göstermektedir. Böylece, dolandırıcılar çalışma istasyonlarına uzaktan RDP (Uzak Masaüstü Bağlantısı) ile erişme imkanı yakalamakta ve mağdurların cihazlarına fidye yazılımını yerleştirebilmektedirler.

Wana Decrypt0r 2.0

Saldırı türünü tanımlamak oldukça basittir. Bulaşma zinciri tamamlandıktan sonra, hedef alınan cihazın masaüstü arka planında uyarı mesajı yayınlanmaktadır. Daha da fazlası, Wana Decrypt0r 2.0 adında bir ekran açılmakta, cihaza neler olduğunu belirtmekte ve belirli bir zaman dilimi içerisinde ödenmesi gereken fidye gösterilmektedir. Bu penceredeki bilgilendirmede 300 $’a karşılık gelen Bitcoin miktarı ve dijital ödemenin gönderilmesi gereken Bitcoin adresi yer almaktadır. Saldırının dikkat çeken bir diğer önemli noktası da, şifrelenmiş verilere eklenen dosya uzantısıdır. Bu uzantılar, .WNCRY, .WCRY, .WNRY, ve .WNCRYPT şeklinde listelenmektedir. Birinci uzantı tipi .WNCRY, söz konusu fidye yazılımı saldırı dalgasında en çok karşılaşılan uzantıdır. Dosyaların orijinal isimleri değiştirilmemiştir, bu sebeple mağdurların dosyalarının adları şu örnekteki şekilde değiştirilmiştir: Chart.xlsx – Chart.xlsx.WNCRY.

@Please_Read_Me@.txt

Wanna Cry fidye yazılımı, mağdurun saldırganlar tarafından hazırlanan şifre çözme işlemlerini bulması için basit bir metin dosyası sunmaktadır. Metin dosyasının @Please_Read_Me@.txt şeklinde adlandırılmıştır. Bu dosyadaki yazılar, yukarıda bahsedilen uyarı penceresinde yer alan yazılardan biraz daha farklıdır. Bu metinde, “Dosyalarıma ne oldu? Oooops, önemli dosyalarınız şifrelenmiştir…” Uzun lafın kısası, dolandırıcılar tarafından önerilen çözüm metodu için 300 $ talep edilmekte ve saldırı sırasında cihaza yüklenen @wanadecryptor@.exe adındaki yazılımın kullanılması istenmektedir.

WannaCry masaüstü duvar kağıdı

WannaCry virüsü kendini yok edilmekten korumak için masaüstünde birkaç öneri sunmaktadır. Mağdurun antivirüs yazılımının Wana Decrypt0r aracını silmesi halinde, uygulanması gereken adımları anlatmaktadır. Masaüstü mesajında, ödeme sonrası şifre çözme işleminin yazılım tekrar çalıştırılarak yapılması gerektiğine dair talimatlar yer almaktadır. Kısacası, yapılan saldırının önceden iyi düşünüldüğü ve şantaj konusunda uzmanlık geçmişine sahip olan kişiler tarafından yürütüldüğü açıktır. RDP aracılığıyla kompleks bir şekilde yazılımın dağıtılması, suçluların yaptıkları işte ne kadar iyi olduğunu göstermektedir. Güvenlik endüstrisi yine yetenekli suçlulara karşıdır ve umuyoruz ki yetkili kişiler kısa zamanda karşı saldırı metodu geliştirebilirler.

Bu arada, Wanna Cry şirketlere ve son kullanıcılara büyük ölçüde zarar vermeye devam etmektedir. Bildirilen mağdurlar arasında İspanyol bir telekomünikasyon şirketi ve Birleşik Krallık sağlık enstitüleri yer almaktadır. Tabii ki, en iyi savunma daha en baştan bu saldırıdan korunmaktır. Fakat bir bulaşma gerçekleştiyse, sorunu çözme yolunda ilk olarak aşağıdaki adımlar izlenmelidir.

WannaCry virüsü için otomatik silme

Bu fidye yazılımının yok edilmesi güvenilir bir yazılımla gerçekleştirilebilmektedir. Otomatik temizleme tekniğine bağlı kalmak, zararlı bileşenlerin sisteminizden tamamen atıldığından emin olmanızı sağlar.

1. Tavsiye edilen güvenlik aracını indirin ve Start Computer Scan seçeneğini seçerek bilgisayarınızı zararlı yazılımlar için kontrol edin.

.WNCRY dosya virüsü temizleyiciyi indir

2. Tarama birkaç maddenin olduğu bir liste çıkaracaktır. Virüsü ve ilgili bulaşıcıları sisteminizden silmek için Fix Threats seçeneğine tıklayın. Temizleme prosesinin bu bölümünü tamamlamak zararlı bulaşıcıları tamamen temizleyecektir. Şimdi daha büyük bir zorluk var karşınızda – verilerinizi geri almak.

.WNCRY dosya fidye yazılımı tarafından şifrelenen dosyaları kurtarma metotları

Geçici Çözüm 1: Dosya kurtarma yazılımı kullanın

Locky virüsünün dosyalarınızı kopyalayıp şifrelediğini bilmek oldukça önemlidir. Bu arada orijinal dosyalar silinmektedir. Bu uygulamalar silinen verileri kurtarmaya yaramaktadır. Bu işlem için Data Recovery Pro gibi araçları kullanabilirsiniz. Fidye yazılımının son versiyonu farklı komutlarla kesin silme işlemi yapma eğilimindedir, fakat yine de bu metot denemeye değerdir.

ParetoLogic Data Recovery’i İndir

Data Recovery Pro

Geçici Çözüm 2: Yedeklemeden faydalanın

İlk ve en önemli şey olarak, bu yöntem silinen dosyaları kurtarmak için en iyi yoldur. Fakat sadece makinenizdeki bilgileri yedeklemişseniz işe yaramaktadır. Eğer öyleyse, bu sağduyulu davranışınızın faydalarını görebilirsiniz.

Geçici Çözüm 3: Gölge Hacim Kopyalarını Kullanın

Belki daha önce hiç duymamış olabilirsiniz, işletim sisteminiz Sistem Geri Yükleme bilgisayarınızda aktif olduğu sürece her dosyanın Gölge Hacim Kopyasını oluşturmaktadır. Geri yükleme noktaları farklı zamanlarda ve hatta bir dosya oluşturulduğu anda yaratılmaktadır. Bu yöntemin dosyalarınızın son halini kurtarma garantisi vermediğini dikkate alın. Yine de denemeye değer bir yöntemdir. Bu iş akışı iki şekilde gerçekleştirilebilir: manuel olarak veya otomatik çözüm ile. Öncelikle manuel sürece bir göz atalım.

  • Önceki Sürümleri Kullan özelliği

    Windows İşletim Sistemi dosyaların bir önceki sürümüne alınması için yerleşik bir seçenek sunar. Bir dosya veya klasöre sağ tuşla tıklayın ve Özellikler’i seçerek Önceki Sürümler sekmesine tıklayın. Sürüm alanında dosyanın/klasörün ilgili zaman ve tarih göstergelerine göre yedeklenmiş kopyalarının bir listesini bulacaksınız. En son girdiyi seçin ve eğer objeyi geri yükleyebileceğiniz konumu seçmek istiyorsanız Kopyala butonuna tıklayın. Eğer Geri Yükle butonuna tıklarsanız obje orijinal konumuna geri yüklenecektir.
    Önceki Sürümler

  • ShadowExplorer aracını kullanın

    Bu iş akışı, dosya ve klasörlerin önceki sürümlerini elle geri getirmek yerine otomatik bir yöntemle geri getirmeye imkan tanır. Bunu yapmak için, ShadowExplorer uygulamasını indirin ve kurun. Çalıştırdıktan sonra sürücü adını ve dosya versiyonlarının oluşturulma tarihlerini seçin. İlgilendiğiniz dosya veya klasöre sağ tuşla tıklayın ve Dışa Aktar seçeneğini seçin. Artından tek yapmanız gereken verinin nereye geri alınacağını seçmek.
    ShadowExplorer

WannaCry virüsünün tamamen silindiğini onaylayın

Tekrar belirtmek gerekirse, WannaCry fidye yazılımı silme işlemi tek başına kişisel dosyalarınızın şifrelerini çözmek için yeterli değildir. Yukarıda belirtilen veri kurtarma metotları işe yarayabilir veya yaramayabilir, fakat fidye yazılımı bilgisayarınızda bulunmamalıdır. Genel olarak, bu virüs diğer zararlı yazılımlarla beraber geldiği için Windows Kayıt Defteri ve diğer konumlarda virüsün ve ilgili tehditlerin zararlı kalıntılarından tamamen kurtulduğunuzdan emin olmak adına sisteminizi otomatik güvenlik sistemi ile sık sık taratmak akıllıca bir davranış olacaktır.

WannaCry Tarayıcısı ve Temizleyicisini İndir