Bildiğiniz gibi son iki gündür aniden ortaya çıkan WanaCrypt0r 2.0 isimli bir fidye virüsü tüm dünyayı sararak 70'in üzerinde ülkede binlerce kullanıcının bilgisayarına girdi ve bazı büyük şirketlerin işlerinin duraklamasına neden oldu. Peki basit virüs temizleme yöntemleriyle önüne geçilemeyen, bulaştığı bilgisayarın sahibinden Bitcoin isteyen WanaCrypt0r 2.0 virüsü tam olarak nedir? Bu virüsten nasıl korunuruz?
WanaCryptor 2.0 Nedir?
WanaCrypt0r 2.0 virüsü, Windows işletim sistemindeki açıklardan yararlanarak bilgisayarınızı kontrolü altına alıyor ve bilgisayarı kullanılamaz hale getirerek kullanıcılardan internetin para birimi Bitcoin ile ödeme yani bir anlamda fidye istiyor. Eğer kullanıcılar bu fidyeyi ödemezde virüs, kullanıcıları bir daha bilgisayarını kullanamamakla tehdit ediyor.
Genellikle hangi kullanıcılara bulaşıyor?
WanaCrypt0r 2.0 virüsü Windows XP ve Windows 8.1 dahil olmak üzere doğru düzgün virüs koruması olmayan tüm Windows 10 öncesi işletim sistemlerini kapsıyor. Bu virüsten güncel bir virüs koruması kullanan kullanıcılar yırtarken Windows 10'un güvenlik güncellemeleri bu virüse engel olmayı başarıyor ancak yeterli virüs koruması olmayan kullanıcılar apaçık tehdit altında. Windows 10 kullananlar ise şu an için güvende.
70'i aşkın ülkede binlerce bilgisayarı esir almış durumda, Türkiye'yi fazla etkilemedi
Özellikle Rusya ve Çin başta olmak üzere 70'in üstünde ülkede gözlenen virüs büyük şirketlerden günlük ev kullanıcılarına kadar binlerce kişinin bilgisayarına sızmış durumda. Türkiye'de ilk bilgilere göre 100'ün altında kullanıcının bilgisayarına girerken Türkiye, bu virüsün en az rastlandığı ülke olarak dikkat çekiyor. Ayrıca konuyla ilgili açıklama yapan BTK Başkanı Dr. Ömer Fatih Sayan, Türkiye'deki kullanıcılarının içinin rahat olması gerektiğini ve Türkiye'nin siber ordusu USOM'un bu virüs için de savunmada olduğunu söyledi.
WanaCryptor 2.0'dan korunmak için ne yapmalı?
Bu virüsün size bulaşmasını engellemeniz için uzmanlar her şeyden önce korsan içeriklerden kesinlikle uzak durmanız gerektiğini, lisanslı Windows sürümü ve tüm programları lisanslı kullanmanız gerektiğini söylüyor. Ayrıca antivirüs programının bu virüse karşı etkili olduğu ve hem aktif hem de güncel bir antivirüs programı kullanılması gerektiğini belirtiyorlar. Öyle ki birçok antivirüs programının yetkilileri bu virüsle karşılaşmamak kullanıcılarına antivirüs programlarını sürekli güncellemeleri gerektiğini de söylüyor.
Gelelim Detaylı Bir Korunma Yollarına ve Vüris İncelemesine;
Şifreleme ve çözme tekniği
Bilgisayara bulaştıgı andan itibaren dosyanın bulundugu dizine zip halinde şifrelenmiş dosya bırakacaktır.
Daha sonra zip dosyasının içeriğini aynı klasör içinde başlangıc görevlerini gerçekleştiriyor.ilk önce fidye notlarının yerelleştirilmiş sürümünü msg klasörünü ayıklayır desteklenen diller listesi
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese,
WanaCrypt0r daha sonra
https://dist.torproject.org/torbrowser/6...2.9.10.zip dosyasından bir TOR istemcisi indirip TaskData klasörüne ayıklayacaktır.Bu TOR istemcisi,gx7ekbenv2riucmf.onion,57g7spgrzlojinas.onion,xxlvbrloxvriy2c5.onion,76jdd2ir2embyv47.onion ve cwwnhwhlz52maqm7.onion adresindeki fidye yazılım C2 sunucuları ile iletişim kurmak için kullanılır.
Bilgisayarı olabildiğince çok dosyayı şifrelemek üzere hazırlamak için, WanaCrypt0r şimdi icacls komutunu yürütür. / Grant Everyone: F / T / C / Q, değiştirmek için fidye yazılımının bulunduğu klasör ve alt klasörlerdeki dosyalara herkesin tam izin vermesini sağlar. Daha sonra veritabanı sunucuları ve posta sunucuları ile ilişkili süreçleri sona erer, böylece veritabanlarını ve posta mağazalarını da şifreleyebilir.
Veritabanı işlemlerini sona erdirmek için yürütülen komutlar şunlardır:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange*
taskkill.exe /f /im Microsoft.Exchange.*
Şimdi, Wana Decrypt0r bilgisayardaki dosyaları şifrelemeye hazırdır. Dosyaları şifreleyken, WanaDecrypt0r yalnızca aşağıdaki uzantılardan birine sahip olan dosyaları şifreler:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc,
Bir dosya şifrelendiğinde, dosyanın şifrelendiğini belirtmek için şifreli dosyaya .WNCRY uzantısını ekleyecektir. Örneğin, test.jpg adlı bir dosya şifrelenir ve yeni bir test.jpg.WNCRY ismine sahip olur.
Dosyaları şifreleyince, bir @ Please_Read_Me @ .txt fidye notunu ve bir dosyanın şifrelendiği her klasörde @ WanaDecryptor @ .exe şifre çözücüsünün bir kopyasını da depolar. Bu dosyalara sonradan bakacağız.
Son olarak, WanaCrypt0r Gölge Birim Kopyalarını temizleyen, Windows başlangıç kurtarma özelliğini devre dışı bırakan, Windows Server Yedekleme geçmişini temizleyen bazı komutlar yayınlayacak. Verilen komutlar şunlardır:
C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
Bu komutlar İdari ayrıcalıklara ihtiyaç duydukları için kurbanlar aşağıdaki komuta benzer bir UAC istemi göreceklerdir.
Sonunda, Wana Decryptor 2.0 kilit ekranı görüntülenecektir. Bu ekranda fidye nasıl ödenebilir konusunda daha fazla bilgi içerir ve yukarıda listelenen dillerden birini seçmenize izin verir.
Ödeme Yap düğmesini tıklattığınızda, fidye yazılımı bir ödeme yapıp yapmadığını görmek için TOR C2 sunucularına geri bağlanır. Hatta biri yapılsaydı, fidye yazılımları dosyalarınızın şifresini otomatik olarak çözer. Ödeme yapılmadıysa, aşağıdaki gibi bir yanıt göreceksiniz.
WanaCrypt0r ransomware'inde üç adet sabit kodlanmış bit adresi var. Bu bit veri iletme adresleri 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw ve 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn'dir.
Wana Decryptor 2.0 ekranında ayrıca, fidanbabası geliştiricisine başvurabileceğiniz bir formu açan bir Bize Ulaşın etiketi bulunur.
Fidye ayrıca, Masaüstü duvar kağıdınızı aşağıda gösterildiği gibi başka bir fidye notu görüntülemek üzere yapılandıracaktır.
Son olarak, en az değil, sık sorulan soruların yanıtlarını içeren ve daha fazla bilgi içeren bir fidye notu masaüstünde kalacaktır.
@[email protected] Ransom Note
Önlem olarak korunmak için harici hdd lerinizi ihtiyacınız olmadıkca takılı tutmayın ve firewall acık olsun bilmediginiz baglantılara izin vermeyin güncellemeler otomatik degil manul olarak ayarlayınız
Emsisoft Anti-Malware'in Davranış Engelleyicisi etkinleştirilmiş olarak Wana Decrypt0r yükleyicisini çalıştırmayı denediğimde yakalıyor.
IOCs
Hashes:
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
Wana Decrypt0r / WanaCrypt0r ile ilişkilendirilmiş dosyaları:
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@[email protected]
[Installed_Folder]\@[email protected]
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe
Wana Decrypt0r / WanaCrypt0r ile ilişkili kayıt defteri girdileri:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper "[Installed_Folder]\Desktop\@[email protected]"
Wana Decrypt0r / WanaCrypt0r'den Kayıt Ağ İletişimi: Wana Decrypt0r / WanaCrypt0r ile ilişkili:
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
https://dist.torproject.org/torbrowser/6...2.9.10.zip
Wana Decrypt0r / WanaCrypt0r Kilit Ekran Metin:
Bilgisayarıma ne oldu?
Önemli dosyalarınız şifrelidir.
Belgelerinizin, fotoğraflarınızın, videolarınızın, veritabanlarının ve diğer dosyalarınızın birçoğu şifrelendiğinden artık erişilebilir değillerdir. Belki dosyalarınızı kurtarmanın bir yolunu bulmakla meşgulsünüz, ancak zamanınızı boşa harcamayın. Şifreleme servisimiz olmadan dosyalarınızı kimse kurtaramaz.
Dosyalarımı Kurtarabilir miyim?
Emin. Tüm dosyalarınızı güvenli ve kolay bir şekilde kurtarabileceğinizi garanti ederiz. Ama yeterince zamanınız yok.
Dosyalarınızın bir kısmını ücretsiz olarak çözebilirsiniz. Tıklayarak şimdi deneyin.
Ancak tüm dosyalarınızın şifresini çözmek isterseniz, ödemeniz gerekecek.
Ödemeyi göndermek için yalnızca 3 gününüz var. Bundan sonra fiyat iki katına çıkacak.
Ayrıca, 7 gün içinde ödeme yapmazsanız, dosyalarınızı sonsuza dek kurtaramazsınız.
6 ay içinde ödeme yapamayacak kadar zayıf olan kullanıcılar için ücretsiz etkinlikler düzenleyeceğiz.
Nasıl ödeme yaparım?
Ödeme yalnızca Bitcoin'de kabul edilmektedir. Daha fazla bilgi için tıklatın.
Lütfen Bitcoin'in şu anki fiyatını kontrol edin ve biraz para çekici satın alın. Daha fazla bilgi için tıklatın.
Ve doğru miktarı bu pencerede belirtilen adrese gönderin.
Ödemenizin ardından tıklayın. En iyi kontrol zamanı: Pazartesiden cumaya 09: 00-11: 00 arası (GMT).
Ödeme yapıldıktan sonra derhal dosyalarınızın şifresini çözmeye başlayabilirsiniz.
Temas
Yardımımıza ihtiyacınız varsa, öğesini tıklayarak bir mesaj gönderin.
Siz, ödeme yapana ve ödeme işleme koyulana kadar, bu yazılımı kaldırmamaya ve anti-virüsünüzü bir süre devre dışı bırakmamenizi önemle tavsiye ederiz. Virüsten koruma yazılımınız güncellenir ve bu yazılımı otomatik olarak kaldırırsa, ödeme yapsanız bile dosyalarınızı kurtaramazsınız!
Wana Decrypt0r / WanaCrypt0r Fidye Not Metni:
Q: D osyalarımın neyi varmış?
C:Asıl önemli dosyalar şifrelendi. Onların şifresiz çözülene kadar artık erişemeyeceğiniz anlamına gelir.
Talimatlarımıza uyarsanız, tüm dosyalarınızı hızlı ve güvenli şekilde çözebileceğinizi garanti ederiz!
Şifresini çözmeye başlayalım!
S:Ben ne yapacağım?
Y:İlk olarak, şifre çözme işlemi için servis ücretleri ödemelisiniz.
Lütfen, bu bit arkadaşınızın adresine 300 TL değerinde bir bit eşyası gönderin: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Sonra, "@ WanaDecryptor @ .exe" adlı bir uygulama dosyası bulun. Bu şifre çözme yazılımıdır.
Çalıştırın ve talimatları uygulayın! (Bir süre antivirüsünüzü devre dışı bırakmanız gerekebilir.)
S:Nasıl güvenebilirim?
C:Şifre çözme konusunda endişelenmeyin.
Dosyalarınızı kesinlikle çözeceğiz, çünkü kullanıcılar hile yaparsak kimse bize güvenemez.
Yardımımıza ihtiyacınız varsa, şifre çözücü penceresine tıklayarak bir mesaj gönderin.
Şifreli Dosya Uzantıları:
.WCRY
.WNCRY
Ödemeyi yapsanız bile ödemedi olarak gösteriyor yani büyük bir vurgun.
Alıntı içerikler içermektedir webtekno'dan.
WanaCryptor 2.0 Nedir?
WanaCrypt0r 2.0 virüsü, Windows işletim sistemindeki açıklardan yararlanarak bilgisayarınızı kontrolü altına alıyor ve bilgisayarı kullanılamaz hale getirerek kullanıcılardan internetin para birimi Bitcoin ile ödeme yani bir anlamda fidye istiyor. Eğer kullanıcılar bu fidyeyi ödemezde virüs, kullanıcıları bir daha bilgisayarını kullanamamakla tehdit ediyor.
Genellikle hangi kullanıcılara bulaşıyor?
WanaCrypt0r 2.0 virüsü Windows XP ve Windows 8.1 dahil olmak üzere doğru düzgün virüs koruması olmayan tüm Windows 10 öncesi işletim sistemlerini kapsıyor. Bu virüsten güncel bir virüs koruması kullanan kullanıcılar yırtarken Windows 10'un güvenlik güncellemeleri bu virüse engel olmayı başarıyor ancak yeterli virüs koruması olmayan kullanıcılar apaçık tehdit altında. Windows 10 kullananlar ise şu an için güvende.
70'i aşkın ülkede binlerce bilgisayarı esir almış durumda, Türkiye'yi fazla etkilemedi
Özellikle Rusya ve Çin başta olmak üzere 70'in üstünde ülkede gözlenen virüs büyük şirketlerden günlük ev kullanıcılarına kadar binlerce kişinin bilgisayarına sızmış durumda. Türkiye'de ilk bilgilere göre 100'ün altında kullanıcının bilgisayarına girerken Türkiye, bu virüsün en az rastlandığı ülke olarak dikkat çekiyor. Ayrıca konuyla ilgili açıklama yapan BTK Başkanı Dr. Ömer Fatih Sayan, Türkiye'deki kullanıcılarının içinin rahat olması gerektiğini ve Türkiye'nin siber ordusu USOM'un bu virüs için de savunmada olduğunu söyledi.
WanaCryptor 2.0'dan korunmak için ne yapmalı?
Bu virüsün size bulaşmasını engellemeniz için uzmanlar her şeyden önce korsan içeriklerden kesinlikle uzak durmanız gerektiğini, lisanslı Windows sürümü ve tüm programları lisanslı kullanmanız gerektiğini söylüyor. Ayrıca antivirüs programının bu virüse karşı etkili olduğu ve hem aktif hem de güncel bir antivirüs programı kullanılması gerektiğini belirtiyorlar. Öyle ki birçok antivirüs programının yetkilileri bu virüsle karşılaşmamak kullanıcılarına antivirüs programlarını sürekli güncellemeleri gerektiğini de söylüyor.
Gelelim Detaylı Bir Korunma Yollarına ve Vüris İncelemesine;
Şifreleme ve çözme tekniği
Bilgisayara bulaştıgı andan itibaren dosyanın bulundugu dizine zip halinde şifrelenmiş dosya bırakacaktır.
Daha sonra zip dosyasının içeriğini aynı klasör içinde başlangıc görevlerini gerçekleştiriyor.ilk önce fidye notlarının yerelleştirilmiş sürümünü msg klasörünü ayıklayır desteklenen diller listesi
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese,
WanaCrypt0r daha sonra
https://dist.torproject.org/torbrowser/6...2.9.10.zip dosyasından bir TOR istemcisi indirip TaskData klasörüne ayıklayacaktır.Bu TOR istemcisi,gx7ekbenv2riucmf.onion,57g7spgrzlojinas.onion,xxlvbrloxvriy2c5.onion,76jdd2ir2embyv47.onion ve cwwnhwhlz52maqm7.onion adresindeki fidye yazılım C2 sunucuları ile iletişim kurmak için kullanılır.
Bilgisayarı olabildiğince çok dosyayı şifrelemek üzere hazırlamak için, WanaCrypt0r şimdi icacls komutunu yürütür. / Grant Everyone: F / T / C / Q, değiştirmek için fidye yazılımının bulunduğu klasör ve alt klasörlerdeki dosyalara herkesin tam izin vermesini sağlar. Daha sonra veritabanı sunucuları ve posta sunucuları ile ilişkili süreçleri sona erer, böylece veritabanlarını ve posta mağazalarını da şifreleyebilir.
Veritabanı işlemlerini sona erdirmek için yürütülen komutlar şunlardır:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange*
taskkill.exe /f /im Microsoft.Exchange.*
Şimdi, Wana Decrypt0r bilgisayardaki dosyaları şifrelemeye hazırdır. Dosyaları şifreleyken, WanaDecrypt0r yalnızca aşağıdaki uzantılardan birine sahip olan dosyaları şifreler:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc,
Bir dosya şifrelendiğinde, dosyanın şifrelendiğini belirtmek için şifreli dosyaya .WNCRY uzantısını ekleyecektir. Örneğin, test.jpg adlı bir dosya şifrelenir ve yeni bir test.jpg.WNCRY ismine sahip olur.
Dosyaları şifreleyince, bir @ Please_Read_Me @ .txt fidye notunu ve bir dosyanın şifrelendiği her klasörde @ WanaDecryptor @ .exe şifre çözücüsünün bir kopyasını da depolar. Bu dosyalara sonradan bakacağız.
Son olarak, WanaCrypt0r Gölge Birim Kopyalarını temizleyen, Windows başlangıç kurtarma özelliğini devre dışı bırakan, Windows Server Yedekleme geçmişini temizleyen bazı komutlar yayınlayacak. Verilen komutlar şunlardır:
C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
Bu komutlar İdari ayrıcalıklara ihtiyaç duydukları için kurbanlar aşağıdaki komuta benzer bir UAC istemi göreceklerdir.
Sonunda, Wana Decryptor 2.0 kilit ekranı görüntülenecektir. Bu ekranda fidye nasıl ödenebilir konusunda daha fazla bilgi içerir ve yukarıda listelenen dillerden birini seçmenize izin verir.
Ödeme Yap düğmesini tıklattığınızda, fidye yazılımı bir ödeme yapıp yapmadığını görmek için TOR C2 sunucularına geri bağlanır. Hatta biri yapılsaydı, fidye yazılımları dosyalarınızın şifresini otomatik olarak çözer. Ödeme yapılmadıysa, aşağıdaki gibi bir yanıt göreceksiniz.
WanaCrypt0r ransomware'inde üç adet sabit kodlanmış bit adresi var. Bu bit veri iletme adresleri 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw ve 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn'dir.
Wana Decryptor 2.0 ekranında ayrıca, fidanbabası geliştiricisine başvurabileceğiniz bir formu açan bir Bize Ulaşın etiketi bulunur.
Fidye ayrıca, Masaüstü duvar kağıdınızı aşağıda gösterildiği gibi başka bir fidye notu görüntülemek üzere yapılandıracaktır.
Son olarak, en az değil, sık sorulan soruların yanıtlarını içeren ve daha fazla bilgi içeren bir fidye notu masaüstünde kalacaktır.
@[email protected] Ransom Note
Önlem olarak korunmak için harici hdd lerinizi ihtiyacınız olmadıkca takılı tutmayın ve firewall acık olsun bilmediginiz baglantılara izin vermeyin güncellemeler otomatik degil manul olarak ayarlayınız
Emsisoft Anti-Malware'in Davranış Engelleyicisi etkinleştirilmiş olarak Wana Decrypt0r yükleyicisini çalıştırmayı denediğimde yakalıyor.
IOCs
Hashes:
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
Wana Decrypt0r / WanaCrypt0r ile ilişkilendirilmiş dosyaları:
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@[email protected]
[Installed_Folder]\@[email protected]
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe
Wana Decrypt0r / WanaCrypt0r ile ilişkili kayıt defteri girdileri:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper "[Installed_Folder]\Desktop\@[email protected]"
Wana Decrypt0r / WanaCrypt0r'den Kayıt Ağ İletişimi: Wana Decrypt0r / WanaCrypt0r ile ilişkili:
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
https://dist.torproject.org/torbrowser/6...2.9.10.zip
Wana Decrypt0r / WanaCrypt0r Kilit Ekran Metin:
Bilgisayarıma ne oldu?
Önemli dosyalarınız şifrelidir.
Belgelerinizin, fotoğraflarınızın, videolarınızın, veritabanlarının ve diğer dosyalarınızın birçoğu şifrelendiğinden artık erişilebilir değillerdir. Belki dosyalarınızı kurtarmanın bir yolunu bulmakla meşgulsünüz, ancak zamanınızı boşa harcamayın. Şifreleme servisimiz olmadan dosyalarınızı kimse kurtaramaz.
Dosyalarımı Kurtarabilir miyim?
Emin. Tüm dosyalarınızı güvenli ve kolay bir şekilde kurtarabileceğinizi garanti ederiz. Ama yeterince zamanınız yok.
Dosyalarınızın bir kısmını ücretsiz olarak çözebilirsiniz. Tıklayarak şimdi deneyin.
Ancak tüm dosyalarınızın şifresini çözmek isterseniz, ödemeniz gerekecek.
Ödemeyi göndermek için yalnızca 3 gününüz var. Bundan sonra fiyat iki katına çıkacak.
Ayrıca, 7 gün içinde ödeme yapmazsanız, dosyalarınızı sonsuza dek kurtaramazsınız.
6 ay içinde ödeme yapamayacak kadar zayıf olan kullanıcılar için ücretsiz etkinlikler düzenleyeceğiz.
Nasıl ödeme yaparım?
Ödeme yalnızca Bitcoin'de kabul edilmektedir. Daha fazla bilgi için tıklatın.
Lütfen Bitcoin'in şu anki fiyatını kontrol edin ve biraz para çekici satın alın. Daha fazla bilgi için tıklatın.
Ve doğru miktarı bu pencerede belirtilen adrese gönderin.
Ödemenizin ardından tıklayın. En iyi kontrol zamanı: Pazartesiden cumaya 09: 00-11: 00 arası (GMT).
Ödeme yapıldıktan sonra derhal dosyalarınızın şifresini çözmeye başlayabilirsiniz.
Temas
Yardımımıza ihtiyacınız varsa, öğesini tıklayarak bir mesaj gönderin.
Siz, ödeme yapana ve ödeme işleme koyulana kadar, bu yazılımı kaldırmamaya ve anti-virüsünüzü bir süre devre dışı bırakmamenizi önemle tavsiye ederiz. Virüsten koruma yazılımınız güncellenir ve bu yazılımı otomatik olarak kaldırırsa, ödeme yapsanız bile dosyalarınızı kurtaramazsınız!
Wana Decrypt0r / WanaCrypt0r Fidye Not Metni:
Q: D osyalarımın neyi varmış?
C:Asıl önemli dosyalar şifrelendi. Onların şifresiz çözülene kadar artık erişemeyeceğiniz anlamına gelir.
Talimatlarımıza uyarsanız, tüm dosyalarınızı hızlı ve güvenli şekilde çözebileceğinizi garanti ederiz!
Şifresini çözmeye başlayalım!
S:Ben ne yapacağım?
Y:İlk olarak, şifre çözme işlemi için servis ücretleri ödemelisiniz.
Lütfen, bu bit arkadaşınızın adresine 300 TL değerinde bir bit eşyası gönderin: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Sonra, "@ WanaDecryptor @ .exe" adlı bir uygulama dosyası bulun. Bu şifre çözme yazılımıdır.
Çalıştırın ve talimatları uygulayın! (Bir süre antivirüsünüzü devre dışı bırakmanız gerekebilir.)
S:Nasıl güvenebilirim?
C:Şifre çözme konusunda endişelenmeyin.
Dosyalarınızı kesinlikle çözeceğiz, çünkü kullanıcılar hile yaparsak kimse bize güvenemez.
Yardımımıza ihtiyacınız varsa, şifre çözücü penceresine tıklayarak bir mesaj gönderin.
Şifreli Dosya Uzantıları:
.WCRY
.WNCRY
Ödemeyi yapsanız bile ödemedi olarak gösteriyor yani büyük bir vurgun.
Alıntı içerikler içermektedir webtekno'dan.
Son düzenleme:
