WannaCry Nedir? WannaCry Virüsü Nasıl Temizlenir?

WannaCry, tarihteki en zararlı kötü amaçlı yazılım saldırılarından biriydi. 12 Mayıs 2017 Cuma günü, WannaCry fidye yazılımı tüm dünyadaki bilgisayarlara bulaştı ve hedeflenen kişilerden verilerini geri almak için fidye ödemelerini talep etti.

WannaCrypt, WanaCrypt0r, WCrypt ve WCRY olarak da bilinen WannaCry virüsü, Microsoft'un "EternalBlue" kod adlı Server Message Block (SMB) protokolündeki belirli bir açıktan yararlanır ve daha eski, yama uygulanmamış Microsoft Windows sistemlerine bulaşmak için kimlik avı e-posta dolandırıcılığı taktiklerini kullanır.

WannaCry Nedir?

WannaCry, siber suçlular tarafından en değerli verilerinizi rehin almak için kullanılan bir tür kötü amaçlı yazılım olan kripto fidye yazılımına bir örnektir. Fidye yazılımı sisteminize bulaştığında, bilgisayar korsanları verilerinize erişmenize izin vermeden önce bir Bitcoin fidyesi ödemenizi talep eder. 

WannaCry fidye yazılımı, en son güncellemeyle yama yapılmamış Microsoft Windows sistemlerindeki güvenlik açıklarından yararlanmak için tasarlanmıştır. Yamalar, mevcut bir yazılım programının koduna eklenen (veya yamalanan) bir kod türüdür ve yamanın yüklendiğinden emin olmak kullanıcıya kalmıştır.

Microsoft, birkaç haftada bir, arızalı kod parçalarını düzeltmek, özellikler eklemek veya bilgisayarları WannaCry gibi fidye yazılımları tarafından kullanılan güvenlik açıklarına karşı korumak için güncellemeler yayınlar.

WannaCry Nasıl Çalışır?

WannaCry'nin bulaştığı sistemler, yerel ağdaki ve internetteki diğer yama uygulanmamış Windows sistemlerine bulaşmaya çalışmak için kullanılır.

WannaCry, virüslü makinelerde bulduğu tüm dosyaları şifreler ve bunları bir .WNCRY dosya adı uzantısıyla yeniden adlandırır. WannaCry daha sonra her dizinde bir fidye mesajı oluşturur, arka plan duvar kağıdı resmini bir fidye mesajıyla değiştirir ve kullanıcıların tüm dosyalarının şifresinin çözülmesi ve normale döndürülmesi için Bitcoin para biriminde 300 dolar ödemesini talep eder.

Özetle, WannaCry, kullanıcıların verilere erişim olanağını kapatarak bilgisayarlara bulaşır ve ardından serbest bırakılması için bir fidye ödenene kadar verileri rehin tutar. Fidye yazılımı, virüs bulaşmış bir bilgisayardaki dosyaları kilitler, şifreler ve ardından kendi kopyaları aracılığıyla yükü aynı ağdaki diğer bilgisayarlara yayar. Bu kopyalar, bir ağdaki mevcut herhangi bir birime kaydedilir veya bağlantıyla birlikte spam e-posta yoluyla gönderilir.

Wannacry Nasıl Bulaşır?

WannaCry, değerli dosyaları okuyamamanız için şifreleyerek veya sizi bilgisayarınızdan tamamen kilitleyerek sisteminize bulaşır.

WannaCry erişimi çoğunlukla, indirmeniz istenen bir eki olan bir kimlik avı e-postası aracılığıyla gerçekleşir. Bazen kimlik avı e-postası sizden bir bağlantıya tıklamanızı ister. Eki indirdikten veya bağlantıya tıkladıktan sonra WannaCry (veya başka herhangi bir fidye yazılımı) bilgisayarınıza bulaşır ve onu bozar.

WannaCry, bir kullanıcı bilmeden kötü amaçlı yazılımın kullanıcının bilgisi dışında indirilip yüklendiği virüslü bir web sitesini ziyaret ettiğinde de sızabilir. 

Wannacry Nasıl Yayılır?

WannaCry, bilgisayarınızın sistemine yayılır, dosyalarınızı şifreler ve adlarını karıştırır. WannaCry solucanı, cihazların paylaşılan bir ağda iletişim kurmak için kullandığı Windows Server Message Block (SMB) protokolündeki belirli bir güvenlik açığının peşine düşer. Erişilebilir Samba TCP bağlantı noktası 445 olan herhangi bir PC'yi arar.

Paylaşılan bir ağda değilseniz, WannaCry kişisel dosyalarınızı şifrelemekle ve size bir fidye notu göndermekle yetinir.

Wannacry Ne Kadar Yayıldı?

WannaCry, keşfinden sonraki birkaç gün içinde dünya çapında 150 ülkeye yayıldı. Nissan ve Honda gibi büyük şirketlerin yanı sıra İngiltere'deki birçok hastaneyi etkiledi.

Başlatıldıktan üç gün sonra, 15 Mayıs 2017 Pazartesi günü, bilgisayar korsanları, Bitcoin cüzdanlarının yetkililer tarafından kesilmesinin ardından kötü amaçlı yazılımı yaymayı bıraktı. Kısa bir süre sonra Microsoft, saldırılara karşı hala savunmasız olan Windows XP ve Windows 8 bilgisayarları için bir yama yayınladı.

Ertesi gün, 16 Mayıs Salı günü, Europol'ün Avrupa Siber Suç Merkezi (EC3), "Lazarus Grubu ile olası bir bağlantı" belirlediklerini bildirdi (Europol'ün bir parçası olan EC3, Lahey'de bulunan Avrupa Birliği'nin bir ajansıdır).

Lazarus Group ise, sırasıyla 2014 ve 2015 yıllarında Sony Pictures Entertainment ve Target mağazalarına yönelik diğer yüksek profilli saldırılarla bağlantılı olan uluslararası bir siber suç çetesidir.

Wannacry Nasıl Durduruldu?

Microsoft, 14 Mart'ta yayınlanan bir güncelleme danışma belgesinde (MS17-010) "EternalBlue" SMB güvenlik kusurunu düzeltti. Bununla birlikte, yama o sırada sadece Windows 10 için geçerliyken, WannaCry yama uygulanmamış Windows 7, Windows Server 2008 ve önceki işletim sistemlerini hedefliyordu.

Mayıs 2017'de WannaCry'nin keşfedilmesinin ardından Microsoft, yeni SMB yamasını Windows XP, Windows 7, Windows 8 ve Windows Server 2003 işletim sistemlerini ek olarak kapsayacak şekilde genişletti.

Bu güvenlik yamaları, WannaCry'ın olası yayılmasını azaltmaya yardımcı olurken, birçok Windows sistemi güncelliğini yitirdi ve sonuç olarak, WannaCry gibi fidye yazılımlarına karşı savunmasız olmaya devam etti.

WannaCry'ın potansiyel hasarı, WannaCry kodunda bulunan bir öldürme anahtarının tetiklenmesiyle de hafifletildi. WannaCry kodu, belirli bir alan adına bağlanma girişiminde bulunmak üzere tasarlanmıştır ve yalnızca alan adına bağlanmanın başarısız olması durumunda sistemleri etkiledi ve daha fazla yayıldı. Ortaya çıkışından bu yana, WannaCry'daki alan adı tescil edildi. Bu da ilk türün yayılmasının ve neden olduğu hasarın hafifletilmesiyle sonuçlandı.

WannaCry'a Karşı Nasıl Korunursunuz?

Birkaç önemli adımla verilerinizi WannaCry'a karşı koruyabilirsiniz. Bunlar aşağıdaki şekildedir:

• İlk olarak, güvenlik güncelleştirmelerini (yamaları) Microsoft Windows'a gelir gelmez yüklediğinizden emin olun. Windows'un eski sürümlerini çalıştırıyorsanız, gözden kaçırmış olabileceğiniz geçmiş güncellemeleri kontrol edin ve bunları hemen kurun. Yamalar, Windows XP ve Vista için kullanılabilir durumda kalır.
• Sophos Home Premium gibi güncel bir antivirüs koruması kurun. İyi bir virüsten koruma programı, ev bilgisayar sistemlerinizin hızla gelişen fidye yazılımı tehditlerine karşı güvenli olmasını sağlamanın anahtarıdır.
• Dosyalarınızı her zaman yedekleyin ve bunu haftada bir veya masaüstünüzde çok sayıda yeni günlük işiniz varsa daha sık yapın. Harici bir sürücüye veya bulut depolamaya kolayca erişilebilir ve bunlar oldukça uygun maliyetlidir. 

WannaCry Nasıl Kaldırılır?

Aşağıdaki adımları kullanarak WannaCry'ı virüs bulaşmış bir bilgisayardan kaldırabilirsiniz:

1. Ağınızdaki tüm cihazların bağlantısını kesin (Wifi, akıllı telefon, tablet ve diğer tüm ev bilgisayarları). Wifi yönlendiricinizin fişini ve ethernet kablolarını bilgisayarınızdan çekin. Mümkün olan en kısa sürede web'den izole edin.

2. Ayrıca harici sürücülerin, bulut depolamanın, flash sürücülerin ve ağ sürücülerinin bağlantısını kesin. WannaCry'ı izole edin ve yayılmasını durdurun.

3. Kaldırdığınız fidye yazılımının aslında WannaCry olduğundan emin olun. Fidye yazılımını belirlemek, ne tür bir fidye yazılımına sahip olduğunuzu, nasıl yayıldığını, ne tür dosyaları şifrelediğini anlamanıza ve kaldırma ve temizleme için seçeneklerinizin neler olduğunu anlamanıza yardımcı olur. En yaygın göstergelerden bazıları şunlardır:

• Fidye yazılımı notu
• Şifrelenmiş dosyalar
• Yeniden adlandırılmış dosyalar
• Kilitli tarayıcı
• Kilitli ekran

4. Sophos Virus Removal Tool ücretsiz olarak indirilebilir ve tek bir Windows uç nokta bilgisayarındaki kötü amaçlı yazılımları belirleyip kaldırır. Araç, dahil edilen en son kimliklerle birlikte gelir. En son tespitlerle güncel kalmak için yeni bir tarama gerektiğinde araç yeniden indirilmelidir.

5. Sistem ve dosyalarınızın tam bir yedeğine sahipseniz, bilgisayarınızın sabit diskini tamamen silin ve ardından son kaydedilen, temiz, (virüs öncesi) yedeğinizden geri yükleyin.

WannaCry Virüsünün Mac Eşdeğeri Var Mı?

WannaCry, Windows'taki bir güvenlik açığından yararlandığından beri doğrudan bir eşdeğeri yoktur. Ancak, Mac'leri etkileyen fidye yazılımı saldırıları da oldu ve olacak. Örneğin, 2016'da, Adobe Premiere CC ve Microsoft Office 2016'da kimlik doğrulamayı kırmak için bir araç kılığında, Patcher olarak bilinen bir fidye yazılımı saldırısı, BitTorrent aracılığıyla dağıtıldı. Ayrıca 2016'da KeRanger fidye yazılımı, BitTorrent indirmelerinde saklanarak Mac'leri hedef aldı. O zamandan beri, Mac'ler kötü amaçlı yazılım geliştiricileri için daha da çekici bir hedef haline geldi.