Kurumsal firmalardan son kullanıcılara kadar son yıllarda bir çok kişinin başı fidye yazılımları (ransomware) ile dertte. Bilgisayar korsanları bu zararlı yazılımlar aracılığıyla bilgisayarınızdaki dosyaları şifreleyerek sizden fidye istiyorlar. Fidyeyi ödemeniz halinde dosyaların şifresini çözeceğiniz anahtarı size vereceklerini vaat ediyorlar. Tabi her zaman bu vaatlerini tutmayan bilgisayar korsanları da yok değil.
Son aylarda Wannacry ve Petya fidye yazılımları dünya genelinde çok etkili oldu. Öncelikle bu fidye yazılımları nedir düşmanı bir tanıyalım sonra da bunlara karşı ne tedbirler alabiliriz başka bir yazımızda da onu görelim.
WannaCry Nedir?
Wannacry ilk defa 12 Mayıs 2017’de İngiltere’de özellikle sağlık kurulumlarını hedef almış sonrasında tüm dünyada etkili olmuş bir fidye yazılımıdır. Mart ayında duyurulmuş MS17-010 güncellemesini yapmamış Windows bilgisayarların hedef alındığı bu saldırıda Shadow Brokers tarafından sızdırılan ve NSA tarafından geliştirilmiş olan EternalBlue expoliti kullanılmıştı.
Wannacry kurban bilgisayara EternalBlue expolitini kullanarak bulaşır ve 176 farklı dosya tipini şifreleyerek uzantılarını .WCRY yapar. Şifreleme işleminden sonra eğer fidye 7 gün içinde ödenmezse tüm dosyaları sileceği şeklinde tehdit eder.
Wannacry masaüstü, belgelerim klasörü ve çıkarılabilir disklerdeki verileri şifreler ve kurtarılması mümkün değildir. Fakat diğer yerlerde buluna dosyalar şifrelenip silinse de çeşitli yöntemlerle geri getirilebilir.
Wannacry şifreleme işlemine başlamadan önce bir alan adına (domain) istek gönderiyordu ve bu alan adı rastgele ve mevcut olmayan bir alan adı idi. Bir siber güvenlik uzmanı bu alan adını kayıt edince Wannacry çalışamaz oldu. Sonraki günlerde bir çok versiyonları çıksa da eskisi kadar etkili olamadılar.
Petya Nedir?
Aslında Petya 2016 yılında ortaya çıkmış ve bayağı bir zarar vermişti. Fakat geçtiğimiz haftalarda yeni bir versiyonu olan NotPetya olarak karşımıza çıktı. NotPetya Petya’dan farklı özellikler taşıyordu. Bulaştığı bilgisayardan user bilgilerini alarak başka bilgisayarlara da bulaşabilme en önemli farklarındandır. Öncelikle Ukrayna’da görülse de sonrasında dünya genelinde yayılmıştır. Diğer fidye yazılımlarından farklı olarak dosyaları şifrelemekle kalmaz sabit diskin MBR kaydını da bozar.
Notpetya bir bilgisayara bulaştıktan sonra o bilgisayardan diğer 445 ve 139 numaralı portları açık olan bilgisayarların IP adreslerini tespit eder ve elde ettiği user bilgileri ile diğer bilgisayarlara bulaşır. Bunu Eternalblue exploitini kullanarak SMB üzerinden ya da kurban bilgisayarda PSExec ya da WMIC ile kendisini çalıştırarak başarır.
NotPetya bulaştıktan sonra MBR kayıtlarını değiştirir ve hem sabit disk üzerindeki 60 türde dosyayı hem de bütün diski şifreler.
Fidye Yazılımlarından Nasıl Korunursunuz? yazımıza göz atmayı unutmayın.