{"id":3181,"date":"2017-05-14T06:21:19","date_gmt":"2017-05-14T10:21:19","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=3181"},"modified":"2019-11-15T14:51:05","modified_gmt":"2019-11-15T11:51:05","slug":"wannacry-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/wannacry-ransomware\/3181\/","title":{"rendered":"WannaCry: G\u00fcvende misiniz?"},"content":{"rendered":"

[Son g\u00fcncelleme tarihi 16 May\u0131s Sal\u0131]<\/em><\/p>\n

Birka\u00e7 g\u00fcn \u00f6nce WannaCry \u015fifreleyici Trojan\u0131 salg\u0131n gibi yay\u0131lmaya ba\u015flad\u0131. Bu salg\u0131n global \u00f6l\u00e7ekte tehdit olu\u015fturuyor. Sadece bir g\u00fcnde 45.000\u2019den fazla fidye yaz\u0131l\u0131m\u0131 sald\u0131r\u0131s\u0131 ile kar\u015f\u0131la\u015ft\u0131k, bu ger\u00e7ekten \u00e7ok y\u00fcksek bir say\u0131.<\/p>\n

Ne oldu?<\/h2>\n

Bir\u00e7ok b\u00fcy\u00fck \u015firket e\u015f zamanl\u0131 olarak bula\u015fan zararl\u0131 yaz\u0131l\u0131m\u0131 rapor ettiler. Bu b\u00fcy\u00fck \u015firketlerden biri olan \u0130ngiliz Hastaneleri \u00e7al\u0131\u015fmalar\u0131n\u0131 durdurmak zorunda kald\u0131. D\u0131\u015far\u0131dan al\u0131nan haberlere g\u00f6re WannaCry 100.000\u2019den fazla bilgisayara bula\u015ft\u0131. Bu kadar ilgi \u00e7ekmesinin sebebi de bu zaten.<\/p>\n

Sald\u0131r\u0131lar\u0131n y\u00fczde olarak b\u00fcy\u00fck k\u0131sm\u0131 Rusya\u2019ya yap\u0131ld\u0131. Ancak Ukrayna, Hindistan ve Tayvan da a\u011f\u0131r \u015fekilde etkilendi. WannaCry\u2019\u0131 sadece ilk g\u00fcn\u00fcnde 74 \u00fclkede tespit ettik.<\/p>\n

\"\"<\/p>\n

WannaCry nedir?<\/h2>\n

Genel olarak WannaCry iki b\u00f6l\u00fcm olarak geliyor. \u0130lk b\u00f6l\u00fcm bula\u015ft\u0131rma<\/a> ve yay\u0131lmay\u0131 sa\u011fl\u0131yor. \u0130kinci b\u00f6l\u00fcm ise bilgisayara bula\u015ft\u0131ktan sonra \u015fifreleyiciyi<\/a> indiriyor.<\/p>\n

Bu, WannaCry ile hemen hemen b\u00fct\u00fcn di\u011fer \u015fifreleyicilerin temel fark\u0131 \u015fudur; s\u0131radan bir fidye yaz\u0131l\u0131m\u0131 bilgisayara bula\u015fmas\u0131 i\u00e7in kullan\u0131c\u0131n\u0131n bir hata yapmas\u0131 gerekir. Mesela \u015f\u00fcpheli bir linke t\u0131klamak, Word dosyas\u0131n\u0131n zararl\u0131 macro \u00e7al\u0131\u015ft\u0131rmas\u0131na izin vermek veya \u015f\u00fcpheli bir dosya indirmek gibi. WannaCry ise sisteme hi\u00e7bir \u015fey yap\u0131lmadan bula\u015fabiliyor.<\/p>\n

WannaCry: S\u00f6m\u00fcr\u00fc ve Yay\u0131lma<\/h2>\n

WannaCry\u2019\u0131n yarat\u0131c\u0131lar\u0131, Windows\u2019un \u201cEternalBlue\u201d isimli a\u00e7\u0131\u011f\u0131ndan yararland\u0131lar ki Windows bu a\u00e7\u0131\u011f\u0131 14 Mart\u2019ta yay\u0131nlad\u0131\u011f\u0131 MS17-010 g\u00fcncellemesi<\/a> ile kapatt\u0131. Bu a\u00e7\u0131\u011f\u0131 kullanarak, su\u00e7lular bilgisayarlara uzaktan eri\u015fim sa\u011fl\u0131yor ve \u015fifreleyiciyi y\u00fckl\u00fcyorlar.<\/p>\n

E\u011fer g\u00fcncellemeyi y\u00fcklediyseniz, bu a\u00e7\u0131k cihaz\u0131n\u0131zda bulunmuyordur, bu da su\u00e7lular\u0131n bilgisayar\u0131n\u0131z\u0131 uzaktan kontrol etmesini olanaks\u0131z k\u0131l\u0131yor. Ancak Kaspersky Lab\u2019\u0131n GReAT ekibi (Global Research and Analysis Team) bir noktay\u0131 kesin olarak a\u00e7\u0131klamak<\/a> istiyor. E\u011fer bir \u015fekilde bu \u015fifreleyici\u00e7al\u0131\u015fmaya ba\u015flad\u0131ysa, a\u00e7\u0131\u011f\u0131 kapatman\u0131z bir i\u015fe yaramayacakt\u0131r.<\/p>\n

Bir bilgisayar\u0131 ba\u015far\u0131yla hackledikten sonra, WannaCry bir bilgisayar vir\u00fcs\u00fc gibi kendini yerel a\u011f \u00fczerindeki di\u011fer bilgisayarlara da\u011f\u0131tmaya \u00e7al\u0131\u015f\u0131yor. \u00d6nce a\u011fdaki di\u011fer bilgisayarlar\u0131 tarayarak EternalBlue a\u00e7\u0131\u011f\u0131 ar\u0131yor, e\u011fer bulursa cihazlara bula\u015f\u0131yor ve dosyalar\u0131 \u015fifreliyor.<\/p>\n

WannaCry bula\u015fm\u0131\u015f bir bilgisayar\u0131n bulundu\u011fu yerel a\u011fdaki t\u00fcm bilgisayarlara bula\u015fma ihtimali vard\u0131r. Bu y\u00fczden bir \u015firket ne kadar b\u00fcy\u00fckse WannaCry\u2019dan o kadar etkileniyor \u2013 a\u011fda ne kadar \u00e7ok bilgisayar varsa, o kadar \u00e7ok hasar veriliyor.<\/p>\n

WannaCry: \u015fifreleyici<\/h2>\n

\u015fifreleyici olan WannaCry (bazen WCryptor veya WannaCry Decryptor<\/a> \u2013 ki bu bir \u015fifreleyici, \u015fifre \u00e7\u00f6z\u00fcc\u00fc de\u011fil) di\u011fer \u015fifreleyicilerin yapt\u0131\u011f\u0131n\u0131 yap\u0131yor: bilgisayardaki dosyalar\u0131 \u015fifreliyor ve \u015fifreleri \u00e7\u00f6zmek i\u00e7in para talep ediyor. Buna en benzeyen fidye yaz\u0131l\u0131m\u0131 CryptXXX<\/a> Trojan\u0131yd\u0131.<\/p>\n

WannaCry farkl\u0131 bir\u00e7ok dosya uzant\u0131s\u0131n\u0131 \u015fifreliyor (tam liste i\u00e7in t\u0131klay\u0131n<\/a>). Bunlar\u0131n i\u00e7erisinde Office dosyalar\u0131, foto\u011fraflar, videolar, ar\u015fivler ve di\u011fer \u00f6nemli kullan\u0131c\u0131 verileri i\u00e7erebilecek dosyalar. \u015eifrelenen dosyalar\u0131n uzant\u0131s\u0131 .WCRY oluyor ve dosyalar tamamen eri\u015filemez oluyor.<\/p>\n

Daha sonra Trojan masa\u00fcst\u00fc duvar ka\u011f\u0131d\u0131n\u0131, kullan\u0131c\u0131lar\u0131n dosyalar\u0131n\u0131 geri almak i\u00e7in yapmas\u0131 gerekenleri belirten bir bilgilendirme yaz\u0131s\u0131 ile de\u011fi\u015ftiriyor. WannaCry bu bildirim yaz\u0131s\u0131n\u0131 metin halinde de dosyalara yerle\u015ftirerek kullan\u0131c\u0131n\u0131n mesaj\u0131 g\u00f6rd\u00fc\u011f\u00fcnden emin oluyorlar.<\/p>\n

Temelde her \u015fey fidye talep etmek i\u00e7in. Fidyeyi ald\u0131ktan sonra dosyalar\u0131 a\u00e7acaklar\u0131n\u0131 iddia ediyorlar. Genel olarak su\u00e7lular b\u00f6yle durumlar i\u00e7in 300$ de\u011ferinde Bitcoin talep ederler ancak WannaCry\u2019\u0131n yarat\u0131c\u0131lar\u0131 600$ de\u011ferinde Bitcoin talep ediyorlar.<\/p>\n

Ayr\u0131ca bu su\u00e7lular kullan\u0131c\u0131lar\u0131 3 g\u00fcn i\u00e7erisinde fidyenin artaca\u011f\u0131n\u0131, dahas\u0131 7 g\u00fcn sonra dosyalar\u0131n kurtar\u0131lmas\u0131n\u0131n imkans\u0131z olaca\u011f\u0131n\u0131 s\u00f6yleyerek korkutuyorlar. Su\u00e7lulara fidye \u00f6demenizi tavsiye etmiyoruz \u00e7\u00fcnk\u00fc dosyalar\u0131n\u0131z\u0131 geri alabilece\u011finizi kimse garanti edemez. Ayr\u0131ca ge\u00e7mi\u015f \u00f6rneklere de bakarsak, fidye \u00f6denmesine ra\u011fmen kullan\u0131c\u0131lar\u0131n dosyalar\u0131n\u0131n silindi\u011fini de g\u00f6rd\u00fck<\/a>.<\/p>\n

Domain kayd\u0131 yapt\u0131rmak bula\u015fmay\u0131 nas\u0131l engelledi ve salg\u0131n neden hen\u00fcz bitmedi<\/h2>\n

\u0130lgin\u00e7 bir \u015fekilde, bir Malwaretech ara\u015ft\u0131rmac\u0131s\u0131 bir domain kayd\u0131 yapt\u0131rarak yazarl\u0131 yaz\u0131l\u0131m\u0131n bula\u015fmas\u0131n\u0131 durdurdu<\/a>.<\/p>\n

Anla\u015f\u0131lan o ki, WannaCry yaz\u0131l\u0131m\u0131 \u00f6nce bir domaine sorgu g\u00f6nderiyor, e\u011fer sorgudan pozitif yan\u0131t alamazsa bilgisayar\u0131 \u015fifrelemeye ba\u015fl\u0131yor. E\u011fer cevap al\u0131rsa, zararl\u0131 yaz\u0131l\u0131m t\u00fcm i\u015flerini durduruyor.<\/p>\n

Ara\u015ft\u0131rmac\u0131 bu alan ad\u0131n\u0131 kodlar\u0131n i\u00e7erisinde bulduktan ve alan ad\u0131n\u0131 ald\u0131ktan sonra sald\u0131r\u0131y\u0131 durdurdu. Alan ad\u0131 sat\u0131n al\u0131nd\u0131ktan sonra bu alan ad\u0131na ayn\u0131 g\u00fcn i\u00e7erisinde on binlerce sorgu geldi, bu da on binlerce bilgisayar\u0131 kurtard\u0131\u011f\u0131 anlam\u0131na geliyor.<\/p>\n

Bu devre kesici \u00f6zellik WannaCry\u2019a kas\u0131tl\u0131 olarak bir \u015feyler yanl\u0131\u015f giderse diye eklenmi\u015f olabilir. Yaz\u0131l\u0131m\u0131 durduran ara\u015ft\u0131rmac\u0131ya g\u00f6re ise bu, zararl\u0131 yaz\u0131l\u0131m\u0131n davran\u0131\u015f\u0131n\u0131n analizini zorla\u015ft\u0131rman\u0131n bir yolu. Ara\u015ft\u0131rmac\u0131lar\u0131n kullanm\u0131\u015f olduklar\u0131 test ortam\u0131nda herhangi bir alan ad\u0131ndan s\u0131kl\u0131kla bilerek olumlu yan\u0131t d\u00f6n\u00fcld\u00fc\u011f\u00fcnde Trojan\u0131n hi\u00e7bir \u015fey yapmayaca\u011f\u0131 g\u00f6r\u00fcld\u00fc.<\/p>\n

Maalesef Trojan\u0131n yeni versiyonu, su\u00e7lular\u0131n \u201cdevre kesici\u201d adresini de\u011fi\u015ftirip sald\u0131r\u0131ya devam edebilirler. Yani WannaCry ate\u015fi s\u00f6nd\u00fcr\u00fcld\u00fc diyemeyiz.<\/p>\n

WannaCry\u2019a kar\u015f\u0131 nas\u0131l korunulur<\/h2>\n

Maalesef \u015fimdilik \u015fifrelenmi\u015f dosyalar i\u00e7in yap\u0131labilecek bir \u015fey yok (ara\u015ft\u0131rmac\u0131lar\u0131m\u0131z \u00e7al\u0131\u015f\u0131yorlar). Bu da demek oluyor ki, bu yaz\u0131l\u0131mla sava\u015fman\u0131n en iyi yolu, en ba\u015f\u0131ndan korunarak hi\u00e7 bula\u015fmamas\u0131n\u0131 sa\u011flamak.<\/p>\n

Bula\u015fmay\u0131 engellemek ve hasar\u0131 en aza indirmek i\u00e7in yapman\u0131z gerekenler;<\/p>\n