Ölçümler

WannaCry fidye yazılımı virüsü: ne yapmalı? WannaCry Wanna Cry virüsü açıklama tedavisinden sonra dosyaların şifresi nasıl çözülür?

01.01.2022

Rus medyasında yer alan haberlere göre, Rusya'nın çeşitli bölgelerindeki İçişleri Bakanlığı departmanlarının çalışmaları, birçok bilgisayara bulaşan ve tüm verileri yok etme tehdidinde bulunan bir fidye yazılımı nedeniyle kesintiye uğradı. Ayrıca iletişim operatörü Megafon da saldırıya uğradı.

WCry fidye yazılımı Truva atından (WannaCry veya WannaCryptor) bahsediyoruz. Bilgisayardaki bilgileri şifreliyor ve şifrenin çözülmesi için Bitcoin olarak 300 $ veya 600 $ fidye talep ediyor.

@[e-posta korumalı], şifrelenmiş dosyalar, WNCRY uzantısı. Bir yardımcı program ve şifre çözme talimatları gereklidir.

WannaCry, dosya adının sonuna .WCRY ekleyerek aşağıdaki uzantılara sahip dosya ve belgeleri şifreler:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Dünya çapında WannaCry saldırısı

Saldırılar 100'den fazla ülkede kaydedildi. En büyük sorunları Rusya, Ukrayna ve Hindistan yaşıyor. İngiltere, ABD, Çin, İspanya ve İtalya'dan virüs enfeksiyonu raporları geliyor. Hacker saldırısının dünya çapındaki hastaneleri ve telekomünikasyon şirketlerini etkilediği kaydedildi. WannaCrypt tehdidinin yayılmasını gösteren etkileşimli bir harita internette mevcuttur.

Enfeksiyon nasıl oluşur?

Kullanıcıların söylediği gibi virüs, herhangi bir işlem yapmadan bilgisayarlarına giriyor ve kontrolsüz bir şekilde ağlara yayılıyor. Kaspersky Lab forumunda etkinleştirilmiş bir antivirüsün bile güvenliği garanti etmediği belirtiliyor.

WannaCry fidye yazılımı saldırısının (Wana Decryptor) Microsoft Güvenlik Bülteni MS17-010 güvenlik açığı üzerinden gerçekleştiği bildiriliyor. Daha sonra virüslü sisteme, saldırganların bir şifreleme programı başlattığı bir rootkit kuruldu. Tüm Kaspersky Lab çözümleri bu rootkit'i MEM:Trojan.Win64.EquationDrug.gen olarak algılar.

Enfeksiyonun birkaç gün önce meydana geldiği iddia edildi, ancak virüs ancak bilgisayardaki tüm dosyaları şifreledikten sonra kendini gösterdi.

WanaDecryptor nasıl kaldırılır

Bir virüsten koruma yazılımı kullanarak tehdidi kaldırabileceksiniz; çoğu virüsten koruma programı tehdidi zaten algılayacaktır. Ortak tanımlar:

Avast'ın Win32:WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Fidye.WanaCrypt0r, Microsoft Fidye:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Tehdidi bilgisayarınızda zaten başlattıysanız ve dosyalarınız şifrelenmişse, bu güvenlik açığından yararlanılması bir ağ şifreleyicisini çalıştıracağından dosyaların şifresini çözmek neredeyse imkansızdır. Ancak şifre çözme araçları için çeşitli seçenekler zaten mevcuttur:

Not: Dosyalarınız şifrelenmişse ve yedekleme eksikse ve mevcut şifre çözme araçları yardımcı olmadıysa, tehdidi bilgisayarınızdan temizlemeden önce şifrelenmiş dosyaları kaydetmeniz önerilir. Gelecekte işinize yarayacak bir şifre çözme aracı oluşturulursa faydalı olacaktır.

Microsoft: Yükle Windows güncellemeleri

Microsoft, şirketin ücretsiz antivirüs yazılımı ve Windows Sistem Güncellemesi etkinleştirilmiş olan kullanıcıların WannaCryptor saldırılarına karşı korunacağını söyledi.

14 Mart tarihli güncellemeler, fidye yazılımı Truva Atı'nın dağıtıldığı sistem güvenlik açığını gideriyor. Bugün, Ransom:Win32.WannaCrypt olarak bilinen yeni bir kötü amaçlı yazılıma karşı koruma sağlamak için Microsoft Security Essentials/Windows Defender antivirüs veritabanlarına algılama eklendi.

  • Antivirüsünüzün etkinleştirildiğinden ve kurulu olduğundan emin olun en son güncellemeler.
  • Bilgisayarınızda herhangi bir koruma yoksa ücretsiz bir antivirüs yükleyin.
  • Windows Update'i kullanarak en son sistem güncellemelerini yükleyin:
    • İçin Windows 7, 8.1 Başlat menüsünden Denetim Masası > Windows Update'i açın ve Güncellemeleri Ara'yı tıklayın.
    • İçin Windows 10 Ayarlar > Güncelleme ve Güvenlik'e gidin ve "Güncellemeleri kontrol et"i tıklayın.
  • Güncellemeleri manuel olarak yüklerseniz, WanaDecryptor fidye yazılımı saldırısında kullanılan SMB sunucusu güvenlik açığını gideren resmi Microsoft yaması MS17-010'u yükleyin.
  • Antivirüsünüzün fidye yazılımı koruması varsa onu açın. Ayrıca web sitemizde, ücretsiz araçları indirebileceğiniz Fidye Yazılımı Koruması adlı ayrı bir bölümümüz bulunmaktadır.
  • Sisteminizde anti-virüs taraması yapın.

Uzmanlar, kendinizi bir saldırıdan korumanın en kolay yolunun 445 numaralı bağlantı noktasını kapatmak olduğunu belirtiyor.

  • sc stop lanmanserver yazın ve Enter'a basın
  • Windows 10 için girin: sc config lanmanserver start=disabled, diğerleri için Windows sürümleri: sc config lanmanserver start= devre dışı bırakın ve Enter'a basın
  • Bilgisayarınızı yeniden başlatın
  • Komut istemine netstat -n -a | findstr "DİNLİYOR" | Bağlantı noktasının devre dışı bırakıldığından emin olmak için findstr ":445". Boş hatlar varsa port dinlemiyor demektir.

Gerekirse bağlantı noktasını tekrar açın:

  • Komut İstemi'ni (cmd.exe) yönetici olarak çalıştırın
  • Windows 10 için Enter'a basın: sc config lanmanserver start=auto , diğer Windows sürümleri için: sc config lanmanserver start= auto ve Enter'a basın
  • Bilgisayarınızı yeniden başlatın
Not: Bağlantı noktası 445, Windows tarafından dosya paylaşımı için kullanılır. Bu portun kapatılması PC'nin diğer uzak kaynaklara bağlanmasını engellemez ancak diğer PC'ler sisteme bağlanamayacaktır.

Bugün, belki de, 12 Mayıs 2017'de başlayan WannaCry ("ağlamak istiyorum") şifreleme Truva Atı'nın bilgisayarlara kitlesel bulaşmasından yalnızca İnternet'ten çok uzaktaki insanlar habersizdir. Ben de bilenlerin tepkisini iki zıt kategoriye ayırırdım: kayıtsızlık ve panik. Bu ne anlama gelir?

Parçalı bilgilerin durumun tam olarak anlaşılmasını sağlamaması ise spekülasyonlara yol açıyor ve geride cevaplardan çok sorular bırakıyor. Gerçekte ne olduğunu, kime ve neyi tehdit ettiğini, kendinizi enfeksiyondan nasıl koruyacağınızı ve WannaCry'nin zarar verdiği dosyaların şifresini nasıl çözeceğinizi anlamak için bugünkü makale buna ayrılmıştır.

“Şeytan” gerçekten bu kadar korkutucu mu?

Bütün bu yaygaranın neyle ilgili olduğunu anlamıyorumAğlamak ister misin? Pek çok virüs var, sürekli yenileri ortaya çıkıyor. Bunun nesi özel?

WannaCry (diğer adları WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) sıradan bir siber kötü amaçlı yazılım değildir. Kötü şöhretinin nedeni, verilen devasa miktardaki hasardır. Europol'e göre, 200.000'den fazla bilgisayarın çalışması kesintiye uğradı. Windows kontrolü Dünya çapında 150 ülkede, sahiplerinin uğradığı zarar 1.000.000.000 dolardan fazla oldu. Ve bu sadece dağıtımın ilk 4 günü için geçerli. Kurbanların çoğu Rusya ve Ukrayna'da.

Virüslerin bilgisayarlara yetişkinlere yönelik web siteleri aracılığıyla girdiğini biliyorum. Bu tür kaynakları ziyaret etmiyorum, bu yüzden tehlikede değilim.

Virüs? Benim de bir sorunum var. Bilgisayarımda virüsler göründüğünde *** yardımcı programını çalıştırıyorum ve yarım saat sonra her şey yolunda gidiyor. Eğer işe yaramazsa Windows'u yeniden yüklerim.

Virüs virüsten farklıdır. WannaCry, insan müdahalesi olmadan yerel ağlar ve İnternet üzerinden bir bilgisayardan diğerine yayılabilen bir ağ solucanı olan bir Truva atı fidye yazılımıdır.

Fidye yazılımı da dahil olmak üzere çoğu kötü amaçlı yazılım, yalnızca kullanıcı "yemi yuttuktan", yani bir bağlantıya tıkladıktan, bir dosyayı açtıktan vb. sonra çalışmaya başlar. WannaCry'a bulaşmak için hiçbir şey yapmanıza gerek yok!

Kötü amaçlı yazılım, bir Windows bilgisayarına girdikten sonra kısa sürede kullanıcı dosyalarının büyük bir kısmını şifreliyor ve ardından 3 gün içinde belirtilen cüzdana aktarılması gereken 300-600 ABD doları tutarında fidye talep eden bir mesaj görüntülüyor. Gecikme durumunda, dosyaların şifresinin çözülmesini 7 gün içinde imkansız hale getirmekle tehdit ediyor.


Aynı zamanda, kötü amaçlı yazılım diğer bilgisayarlara sızmak için boşluklar arıyor ve bulması durumunda tüm yerel ağa bulaşıyor. Bu, komşu makinelerde saklanan dosyaların yedek kopyalarının da kullanılamaz hale geldiği anlamına gelir.

Bir bilgisayardan virüs kaldırmak dosyaların şifresini çözmez!İşletim sistemini de yeniden yükleyin. Aksine, fidye yazılımı bulaşmışsa, bu eylemlerin her ikisi de geçerli bir anahtarınız olsa bile sizi dosyaları kurtarma yeteneğinden mahrum bırakabilir.

Yani evet, "lanet olsun" oldukça korkutucu.

WannaCry nasıl yayılıyor?

Yalan söylüyorsun. Bir virüs ancak onu kendim indirirsem bilgisayarıma bulaşabilir. Ve dikkatliyim.

Birçok kötü amaçlı yazılım programı bilgisayarlara bulaşabilir (ve mobil cihazlar, bu arada) güvenlik açıkları aracılığıyla - siber saldırganlara uzaktaki bir makineyi kendi amaçları için kullanma fırsatını açan işletim sistemi bileşenlerinin ve programlarının kodundaki hatalar. Özellikle WannaCry, SMB protokolündeki 0 günlük bir güvenlik açığı yoluyla yayılıyor (sıfır gün güvenlik açıkları, kötü amaçlı yazılım/casus yazılım tarafından kullanıldıkları sırada düzeltilmeyen hatalardır).

Yani, bir bilgisayara fidye yazılımı solucanı bulaştırmak için iki koşul yeterlidir:

  • Etkilenen diğer makinelerin (İnternet) bulunduğu bir ağa bağlantılar.
  • Sistemde yukarıda açıklanan boşluğun varlığı.

Bu enfeksiyon nereden geldi? Bu Rus hackerların işi mi?

Bazı raporlara göre (gerçeklikten ben sorumlu değilim), Windows'taki dosyalara ve yazıcılara yasal uzaktan erişim için kullanılan SMB ağ protokolünde bir kusur keşfeden ilk kişi ABD Ulusal Güvenlik Ajansı oldu. NSA, hatayı düzeltebilmeleri için bunu Microsoft'a bildirmek yerine, hatayı kendisi kullanmaya karar verdi ve bunun için bir istismar (güvenlik açığından yararlanan bir program) geliştirdi.


 WannaCry dağıtımının dinamiklerinin intel.malwaretech.com web sitesinde görselleştirilmesi

Daha sonra, bir süre NSA'nın sahiplerinin bilgisi olmadan bilgisayarlara sızmasına hizmet eden bu istismar (kod adı EternalBlue) bilgisayar korsanları tarafından çalındı ​​ve WannaCry fidye yazılımının yaratılmasının temelini oluşturdu. Yani, ABD devlet kurumunun tamamen yasal ve etik olmayan eylemleri sayesinde virüs yazarları bu güvenlik açığını öğrendi.

Güncelleştirmelerin yüklenmesini devre dışı bıraktımWindows. Her şey onlarsız çalışırken ne için gerekli?

Salgının bu kadar hızlı ve yaygın yayılmasının nedeni, o dönemde Wanna Cry boşluğunu kapatabilecek bir Windows güncellemesi olan bir "yamanın" bulunmamasıydı. Sonuçta onu geliştirmek zaman aldı.

Bugün böyle bir yama var. Sistemi güncelleyen kullanıcılar, sürümü yayınlandıktan sonraki ilk saatlerde otomatik olarak aldılar. Güncellemelerin gerekli olmadığına inananlar ise hâlâ enfeksiyon riskiyle karşı karşıya.

WannaCry saldırısına karşı kimler risk altındadır ve buna karşı nasıl korunulur?

Bildiğim kadarıyla bilgisayarların %90'ından fazlası virüs bulaştırıyortarafından işletilen WannaCryWindows 7. "On"um var, bu da tehlikede olmadığım anlamına geliyor.

Kullanılan tüm işletim sistemleri ağ protokolü KOBİ v1. Bu:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v 1511
  • Windows 10 v1607
  • Windows Sunucusu 2003
  • Windows Sunucusu 2008
  • Windows Sunucusu 2012
  • Windows Sunucusu 2016

Günümüzde bu özelliğe sahip olmayan sistemlerin kullanıcıları kritik güvenlik güncelleştirmesi MS17-010(bağlantılı technet.microsoft.com adresinden ücretsiz olarak indirilebilir). Windows XP, Windows Server 2003, Windows 8 ve diğer desteklenmeyen işletim sistemlerine yönelik yamalar indirilebilir bu sayfadan support.microsoft.com. Ayrıca hayat kurtaran bir güncellemenin varlığını kontrol etmenin yollarını da açıklar.

Bilgisayarınızın işletim sistemi sürümünü bilmiyorsanız Win+R tuş kombinasyonuna basın ve winver komutunu çalıştırın.


Güvenliği artırmak için ve sistemi şimdi güncellemek mümkün değilse Microsoft, SMB protokolü sürüm 1'in geçici olarak devre dışı bırakılmasına yönelik talimatlar sağlar. Bunlar ve. Ayrıca, zorunlu olmamakla birlikte, SMB'ye hizmet veren 445 numaralı TCP bağlantı noktasını güvenlik duvarı aracılığıyla kapatabilirsiniz.

Dünyanın en iyi antivirüs yazılımına sahibim ***, onunla her şeyi yapabilirim ve hiçbir şeyden korkmuyorum.

WannaCry'ın yayılması yalnızca yukarıda açıklanan kendinden tahrikli yöntemle değil, aynı zamanda olağan yollarla da gerçekleşebilir: sosyal medya, e-posta, virüs bulaşmış ve kimlik avı yapan web kaynakları vb. Ve bu tür durumlar vardır. İndirip çalıştırırsanız kötü amaçlı yazılım manuel olarak yaparsanız, ne bir antivirüs ne de güvenlik açıklarını kapatan yamalar sizi enfeksiyondan kurtaramaz.

Virüs nasıl çalışıyor, neyi şifreliyor?

Evet, istediğini şifrelemesine izin verin. Programcı bir arkadaşım var, o benim için her şeyi deşifre edecek. Son çare olarak kaba kuvvet kullanarak anahtarı bulacağız.

Birkaç dosyayı şifreliyor, ne olmuş yani? Bu benim bilgisayarda çalışmamı engellemeyecek.

Ne yazık ki, Wanna Cry'ın kullandığı RSA-2048 şifreleme algoritmasını kırmanın hiçbir yolu olmadığından ve öngörülebilir gelecekte görünmeyeceğinden şifre çözülmeyecektir. Ve sadece birkaç dosyayı değil, neredeyse her şeyi şifreleyecek.

Kötü amaçlı yazılımın nasıl çalıştığına dair ayrıntılı bir açıklama yapmayacağım; ilgilenen herkes, örneğin Microsoft uzmanı Matt Suche'nin blogundan analizini okuyabilir. Sadece en önemli anları not edeceğim.

Aşağıdaki uzantılara sahip dosyalar şifrelenir: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Gördüğünüz gibi, çeşitli programlarda oluşturulmuş belgeler, fotoğraflar, video-ses, arşivler, postalar, dosyalar var... Kötü amaçlı yazılım, sistemdeki her dizine ulaşmaya çalışıyor.

Şifrelenmiş nesneler çift uzantı alır WNCRY dipnotlu, örneğin "Belge1.doc.WNCRY".


Şifrelemenin ardından virüs, yürütülebilir bir dosyayı her klasöre kopyalar. @[e-posta korumalı] - sözde fidye sonrasında şifreyi çözmek için ve ayrıca bir metin belgesi için @[e-posta korumalı] kullanıcıya bir mesaj ile.

Daha sonra yok etmeye çalışıyor gölge kopyalar ve noktalar Windows kurtarma. Sistem UAC çalıştırıyorsa kullanıcının bu işlemi onaylaması gerekir. İsteği reddederseniz verileri kopyalardan geri yükleme şansınız hâlâ vardır.

WannaCry, etkilenen sistemin şifreleme anahtarlarını Tor ağında bulunan komuta merkezlerine iletiyor ve ardından bunları bilgisayardan siliyor. Diğer savunmasız makineleri aramak için yerel ağı ve İnternet'teki rastgele IP aralıklarını tarar ve bulunduğunda ulaşabildiği her şeye nüfuz eder.

Bugün analistler, WannaCry'nin farklı dağıtım mekanizmalarına sahip çeşitli modifikasyonlarını biliyorlar ve yakın gelecekte yenilerinin ortaya çıkmasını beklemeliyiz.

WannaCry bilgisayarınıza zaten bulaşmışsa ne yapmalısınız?

Uzantıları değiştiren dosyalar görüyorum. Neler oluyor? Bu nasıl durdurulur?

Şifreleme çok uzun sürmese de tek seferlik bir işlem değildir. Fidye yazılımı mesajı ekranınızda görünmeden önce bunu fark ettiyseniz, bilgisayarın gücünü hemen kapatarak bazı dosyaları kaydedebilirsiniz. Sistemi kapatarak değil, fişi prizden çıkararak!

Windows normal modda başlatıldığında şifreleme devam edecektir, bu nedenle bunu önlemek önemlidir. Bilgisayarın bir sonraki başlatılması, virüslerin aktif olmadığı güvenli modda veya başka bir önyüklenebilir ortamdan gerçekleşmelidir.

Dosyalarım şifrelendi! Virüs onlar için fidye istiyor! Ne yapmalı, şifre nasıl çözülür?

WannaCry'dan sonra dosyaların şifresini çözmek, yalnızca saldırganların, kurban fidye tutarını kendilerine aktarır aktarmaz sağlamaya söz verdiği gizli bir anahtarınız varsa mümkündür. Ancak bu tür sözler neredeyse hiçbir zaman yerine getirilmiyor: Kötü amaçlı yazılım dağıtıcıları istediklerini zaten elde etmişlerse neden bu kadar uğraşsınlar ki?

Bazı durumlarda sorun fidye gerekmeden çözülebilir. Bugüne kadar 2 WannaCry şifre çözücü geliştirildi: WannaKey(Adrien Guinet tarafından) ve WanaKiwi(Benjamin Delpy'nin yazdığı) Birincisi yalnızca Windows XP'de çalışır ve birincisi temelinde oluşturulan ikincisi, Windows XP, Vista ve 7 x86'nın yanı sıra 2003, 2008 ve 2008R2 x86 kuzey sistemlerinde de çalışır.

Her iki şifre çözücünün çalışma algoritması, şifreleyici işleminin hafızasındaki gizli anahtarların aranmasına dayanmaktadır. Bu, yalnızca bilgisayarı yeniden başlatmaya vakti olmayanların şifre çözme şansına sahip olduğu anlamına gelir. Ve şifrelemenin üzerinden çok fazla zaman geçmediyse (başka bir işlem tarafından belleğin üzerine yazılmamışsa).

Yani eğer Windows kullanıcısı XP-7 x86, fidye mesajı göründükten sonra yapılacak ilk şey bilgisayarın bağlantısını kesmektir. yerel ağ ve İnternet'e gidin ve başka bir cihaza indirilen WanaKiwi şifre çözücüyü çalıştırın. Anahtarı çıkarmadan önce bilgisayarda başka hiçbir işlem yapmayın!

WanaKiwi şifre çözücünün çalışmasının açıklamasını Matt Suiche'nin başka bir blogunda okuyabilirsiniz.

Dosyaların şifresini çözdükten sonra, kötü amaçlı yazılımı kaldırmak için bir virüsten koruma yazılımı çalıştırın ve dağıtım yollarını kapatan bir yama yükleyin.

Bugün WannaCry, güncellenmeyenler hariç hemen hemen tüm antivirüs programları tarafından tanınmaktadır, yani hemen hemen hepsi bunu yapacaktır.


Bu hayatı nasıl daha fazla yaşayabilirim

Kendiliğinden başlayan bu salgın dünyayı şaşırttı. Her türlü güvenlik hizmeti açısından, kamu hizmeti çalışanları için 1 Aralık'ta kışın başlaması kadar beklenmedik bir durum olduğu ortaya çıktı. Nedeni dikkatsizlik ve rastgeleliktir. Bunun sonuçları onarılamaz veri kaybı ve hasarlardır. Kötü amaçlı yazılımın yaratıcıları için bu, aynı ruhla yola devam etmeleri için bir teşviktir.

Analistlere göre WanaCry distribütörlere çok iyi kazançlar sağladı, bu da bu tür saldırıların tekrarlanacağı anlamına geliyor. Ve şimdi kendini kaptıranların daha sonra da kapılıp gitmesi gerekmeyecek. Tabii önceden endişelenmezseniz.

Böylece şifrelenmiş dosyalar yüzünden bir daha ağlamanıza gerek kalmaz:

  • İşletim sistemi ve uygulama güncellemelerini yüklemeyi reddetmeyin. Bu sizi yamalanmamış güvenlik açıklarından yayılan tehditlerin %99'undan koruyacaktır.
  • Devam et.
  • Önemli dosyaların yedek kopyalarını oluşturun ve bunları başka bir fiziksel ortamda veya daha iyisi birkaç fiziksel ortamda saklayın. Kurumsal ağlarda, ev kullanıcılarının ücretsiz olarak kullanabileceği dağıtılmış veri depolama veritabanlarını kullanmak en uygunudur; bulut hizmetleri Yandex Drive, Google Drive, OneDrive, MEGASynk vb. Bu uygulamaları kullanmadığınız zamanlarda çalışır durumda tutmayın.
  • Güvenilir işletim sistemlerini seçin. Windows XP öyle değil.
  • Kapsamlı bir sınıf antivirüs yükleyin İnternet Güvenliği ve fidye yazılımlarına karşı Kaspersky Endpoint Security gibi ek koruma. Veya diğer geliştiricilerin analogları.
  • Fidye yazılımı Truva atlarına karşı okuryazarlık seviyenizi artırın. Örneğin antivirüs satıcısı Dr.Web'in kullanıcılar ve yöneticiler için hazırladığı çeşitli sistemler eğitim kursları. Diğer A/V geliştiricilerinin bloglarında pek çok faydalı ve daha da önemlisi güvenilir bilgi bulunmaktadır.

Ve en önemlisi: Acı çekmiş olsanız bile, şifre çözme için saldırganlara para aktarmayın. Aldatılma olasılığınız %99'dur. Üstelik kimse ödemediği takdirde gasp işi anlamsız hale gelecektir. Aksi takdirde böyle bir enfeksiyonun yayılması yalnızca artacaktır.

Bu makalede, bilgisayarınıza Wanna Cry virüsünün saldırısına uğrarsa ne yapmanız gerektiğinin yanı sıra, sabit diskinizdeki dosyalarınızı kaybetmemek için ne yapmanız gerektiğini öğreneceksiniz.

Wcrypt virüsü Virüs bulaşmış bilgisayar veya ağlardaki tüm dosyaları kilitleyen ve veri kurtarma çözümü karşılığında fidye talep eden fidye yazılımıdır.

Bu virüsün ilk versiyonları Şubat 2017'de ortaya çıktı ve şu anda WannaCry, Wcry, Wncry, WannaCryptor, WannaCrypt0r, WanaCrypt0r 2.0, Wana Decrypt0r, Wana Decrypt0r 2.0 ve hatta DarkoderCrypt0r gibi çeşitli isimlere sahip.

Bu tehlikeli program bir bilgisayar sistemine sızdığında, üzerinde depolanan tüm verileri birkaç saniye içinde şifreler. Bu prosedür sırasında virüs, etkilenen dosyalara .Wcrypt dosya uzantılarını ekleyebilir.

Bu virüsün diğer sürümlerinin .wcry veya .wncry dosya uzantılarını eklediği bilinmektedir. Bu şifreleme prosedürünün amacı mağdurun verilerini kullanılamaz hale getirmek ve fidye talep etmektir. Kurban, verilerinin yedeğini alması durumunda fidye yazılımı aracını kolayca görmezden gelebilir.

Ancak çoğu durumda bilgisayar kullanıcıları bu veri kopyalarını zamanında oluşturmayı unuturlar. Bu durumda şifrelenmiş dosyaları kurtarmanın tek yolu siber suçlulara ödeme yapmaktır ancak bunu yapmamanızı önemle tavsiye ederiz.

Dolandırıcıların genellikle fidyeyi aldıktan sonra kurbanla etkileşime girmekle ilgilenmediklerini, çünkü aradıkları tek şeyin para olduğunu unutmayın. Bunun yerine, aşağıda sunduğumuz Wcrypt kaldırma kılavuzuna göre fidye yazılımını Reimage veya Plumbytes gibi kötü amaçlı yazılımdan koruma araçlarını kullanarak kaldırmanızı öneririz.

Virüs, hedef sistemin tüm dosyalarını şifreledikten sonra masaüstü duvar kağıdını, bilgisayarda depolanan verilerin şifrelendiğini belirten bir metin içeren siyah bir görüntüye dönüştürür.

Resim, benzer en son sürümler Cryptolocker, bir dosyanın nasıl kurtarılacağını açıklıyor @WanaDecryptor.exe, Eğer antivirüs programı onu karantinaya alır. Kötü amaçlı yazılım daha sonra kurbana şunu söyleyen bir mesaj gönderir: "Ah, dosyalarınız şifrelenmiş!" Ve Bitcoin cüzdan adresini, fidye fiyatını (300 $'dan başlayan) ve Bitcoin satın alma talimatlarını sağlar. Virüs yalnızca Bitcoin kripto para birimindeki fidyeyi kabul ediyor.

Ancak mağdurun bu bedeli enfeksiyondan itibaren üç gün içinde ödemesi gerekiyor. Virüs ayrıca kurbanın bir hafta içinde ödeme yapmaması durumunda şifrelenmiş tüm dosyaları silmeyi de vaat ediyor. Bu nedenle, bilgisayarınızdaki veya dizüstü bilgisayarınızdaki dosyalara zarar vermemesi için Wcrypt'i mümkün olan en kısa sürede kaldırmanızı öneririz.

Wcrypt virüsü nasıl yayılır?

WansCry fidye yazılımı olarak da bilinen Wcrypt, 12 Mayıs 2017'de sanal topluluğu şok etti. Bu gün kullanıcılara yönelik büyük bir siber saldırı gerçekleştirildi. Microsoft Windows. Saldırganlar, bilgisayar sistemlerine virüs bulaştırmak ve kurbanın tüm dosyalarını ele geçirmek için EternalBlue açığını kullandı.

Ek olarak, faydanın kendisi, bağlı bilgisayarları arayan ve onlara çoğaltma yapan bir iş olarak çalışır. açık olmasına rağmen şu anda Fidye yazılımının artık yeni kurbanları hedef almadığı görülse de (bir güvenlik araştırmacısı siber saldırıyı kazara durdurduğu için), uzmanlar sevinmek için henüz çok erken olduğunu belirtiyor.

Kötü amaçlı yazılım yazarları, virüsü yaymanın başka bir yolunu saklıyor olabilir; bu nedenle bilgisayar kullanıcılarının, bilgisayarlarını bu tür bir siber saldırıya karşı korumak için mümkün olan tüm önlemleri almaları gerekir. Her ne kadar genellikle yüklemenizi tavsiye etsek de yazılım Bilgisayarınızı kötü amaçlı yazılımlardan korumak ve üzerindeki tüm programları düzenli olarak güncellemek için.

Dikkate değer Herkes gibi biz de değerli verilerinizin bir kopyasını oluşturmanızı ve bunu harici cihaz veri depolama.

Wcrypt virüsü nasıl kaldırılır? Bilgisayarımda Wcrypt görünürse ne yapmalıyım?

Yukarıda bahsettiğimiz nedenlerden dolayı Wcrypt virüsünü en kısa sürede kaldırmanız gerekmektedir. Birisi onları ele geçirilen bir bilgisayara bağlarsa, diğer bilgisayarlara veya taşınabilir cihazlara hızlı bir şekilde kopyalanabileceğinden, bir bilgisayarı sistemde tutmak güvenli değildir.

Wcrypt kaldırma işlemini tamamlamanın en güvenli yolu, antivirüs yazılımı kullanarak tam sistem taraması gerçekleştirmektir. Çalıştırmak için önce bilgisayarınızı hazırlamanız gerekir. Virüsü tamamen kaldırmak için bu talimatları izleyin.

Yöntem 1: WCrypt'i Ağ Üzerinden Güvenli Modda Kaldırma

  • Adım 1: Bilgisayarınızı Ağ İletişimini kullanarak Güvenli Modda yeniden başlatın.

Windows 7/Vista/XP

  1. Tıklamak BaşlangıçKapamakTekrar başlatTAMAM.
  2. Ekran göründüğünde dokunmaya başlayın F8 .
  3. Listeden seç Önyükleme ile Güvenli Mod ağ sürücüleri.

Windows 10/Windows 8

  1. Vardiya "Yeniden başlat."
  2. Şimdi seç "Sorun giderme"« Ek seçenekler» "Başlangıç ​​Ayarları" ve tuşuna basın.
  3. "Aç güvenli mod ağ sürücüleri yükleniyor" pencerede "Önyükleme Seçenekleri".
  • Adım 2: WCrypt'i kaldırın

Virüs bulaşmış cihazınıza giriş yapın hesap ve tarayıcınızı başlatın. Reimage'ı İndirin veya diğer meşru casus yazılım önleme programı. Tam sistem taramasından önce güncelleyin ve kötü amaçlı dosyaları kaldırın.

WCrypt Güvenli Mod'un ağ sürücülerini yüklemesini engelliyorsa farklı bir yöntem deneyin.

Yöntem 2: Sistem Geri Yükleme'yi kullanarak WCrypt'i kaldırın

  • Adım 1: Bilgisayarınızı Güvenli Modda yeniden başlatın. komut satırı.

Windows 7/Vista/XP

  1. Tıklamak BaşlangıçKapatYeniden başlatTAMAM.
  2. Bilgisayarınız aktif hale geldiğinde tıklamaya başlayın F8 bir pencere görene kadar birkaç kez "Gelişmiş önyükleme seçenekleri".
  3. Seçme "Komut Satırı Desteğiyle Güvenli Mod" listeden.

Windows 10/Windows 8

  1. Windows oturum açma ekranındaki güç düğmesine basın. Şimdi basılı tutun Vardiya Klavyenizdeki , tuşuna basın ve "Yeniden başlat".
  2. Şimdi seç "Sorun giderme""Gelişmiş seçenekler""Başlangıç ​​Ayarları" ve tuşuna basın.
  3. Bilgisayarınız etkinleştiğinde, öğesini seçin. "Komut Satırı Desteğiyle Güvenli Modu Etkinleştir" pencerede "Önyükleme Seçenekleri".


  1. Komut istemi penceresi göründüğünde şunu yazın: cd'yi geri yükleme ve tuşuna basın Girmek.

2. Şimdi girin rstrui.exe ve tekrar basın Girmek.

3. Yeni bir pencere göründüğünde öğesine tıklayın. "Sonraki" ve WCrypt sızmasından önce bir geri yükleme noktası seçin. Bu tıklamanın ardından "Sonraki."

4. Şimdi tıklayın "Evet" süreci devam ettirmek için.

5. Bundan sonra düğmeye tıklayın "Hazır" Sistem Geri Yüklemeyi başlatmak için.

  • Sisteminizi önceki bir tarihe geri yükledikten sonra, bilgisayarınızı Reimage ile önyükleyin, tarayın ve WCrypt kaldırma işleminin başarılı olduğundan emin olun.

Bu makalenin WCrypt virüsüyle ilgili sorunu çözmenize yardımcı olacağını umuyoruz!

Video: Wanna Cry virüsü dünya çapında bilgisayar sistemlerine bulaşmaya devam ediyor

Mayıs 2017, bilgi güvenliği hizmeti açısından kara bir gün olarak tarihe geçecek. Bu günde dünya, güvenli bir sanal dünyanın kırılgan ve savunmasız olabileceğini öğrendi. Wanna decryptor veya wantcry adı verilen bir fidye yazılımı virüsü dünya çapında 150 binden fazla bilgisayarı ele geçirdi. Yüzden fazla ülkede enfeksiyon vakası kaydedildi. Elbette küresel enfeksiyon durduruldu ancak hasar milyonlarla ifade ediliyor. Fidye yazılımı dalgaları hâlâ bazı makineleri etkiliyor ancak veba şu ana kadar kontrol altına alındı ​​ve durduruldu.

WannaCry – nedir ve kendinizi ondan nasıl korursunuz?

Wanna şifre çözücü, bilgisayardaki verileri şifreleyen ve sahibinden zorla para alan bir virüs grubuna aittir. Genellikle verilerinizin fidye miktarı 300 ila 600 ABD Doları arasında değişir. Virüs bir gün içinde İngiltere'deki belediye hastane ağına, Avrupa'daki büyük bir televizyon ağına ve hatta Rusya İçişleri Bakanlığı'nın bilgisayarlarının bir kısmına bulaşmayı başardı. Koşulların mutlu bir tesadüfü sayesinde, yayılmayı manuel olarak durdurmak için yaratıcıları tarafından virüs koduna yerleştirilen bir doğrulama alanını kaydettirerek bunu durdurdular.

Bir virüs bilgisayara diğer birçok durumda olduğu gibi bulaşır. Mektuplar, sosyal profiller göndermek ve basitçe gezinmek - bu yöntemler, virüse sisteminize girme ve tüm verilerinizi şifreleme fırsatı verir, ancak açık bir eyleminiz olmadan sistemdeki bir güvenlik açığı ve açık bir bağlantı noktası yoluyla nüfuz edebilir.

WannaCry, yakın zamanda yayınlanan güncellemeler nedeniyle kapatılan Windows işletim sistemindeki bir güvenlik açığını kullanarak 445 numaralı bağlantı noktasından sızıyor. Yani bu bağlantı noktası sizin için kapalıysa veya yakın zamanda Windows'u ofisten güncellediyseniz. site, o zaman enfeksiyon konusunda endişelenmenize gerek yok.

Virüs aşağıdaki şemaya göre çalışır - dosyalarınızdaki veriler yerine Mars dilinde anlaşılmaz dalgalı çizgiler alırsınız, ancak tekrar normal bir bilgisayar almak için saldırganlara ödeme yapmanız gerekir. Bu belayı bilgisayarlara salanlar sıradan insanlar, ödeme yapmak için bitcoin kullanın, böylece kötü Truva atının sahiplerinin belirlenmesi mümkün olmayacaktır. 24 saat içerisinde ödeme yapmazsanız fidye miktarı artıyor.

Truva atının yeni sürümü “Ağlamak istiyorum” anlamına geliyor ve veri kaybı bazı kullanıcıları gözyaşlarına boğabilir. Bu nedenle önleyici tedbirler almak ve enfeksiyonu önlemek daha iyidir.

Fidye yazılımı bir güvenlik açığından yararlanıyor Windows sistemi Microsot'un zaten düzelttiği sorun. İşletim sisteminizi 14 Mart 2017 tarihli MS17-010 güvenlik protokolüne güncellemeniz yeterlidir.

Bu arada, yalnızca lisanslı bir işletim sistemine sahip olan kullanıcılar güncelleme yapabilir. Bu kişilerden biri değilseniz, güncelleme paketini indirip manuel olarak kurmanız yeterlidir. Önleme yerine enfeksiyon kapmamak için güvenilir kaynaklardan indirmeniz yeterlidir.

Elbette koruma en üst düzeyde olabilir, ancak çoğu şey kullanıcının kendisine bağlıdır. Size e-postayla veya sosyal profilinizde gelen şüpheli bağlantıları açmamayı unutmayın.

Wanna şifre çözücü virüsü nasıl tedavi edilir

Bilgisayarlarına zaten virüs bulaşanların uzun bir tedavi sürecine hazırlanmaları gerekiyor.

Virüs kullanıcının bilgisayarında çalışır ve çeşitli programlar oluşturur. Bunlardan biri verileri şifrelemeye başlıyor, diğeri ise fidye yazılımıyla iletişimi sağlıyor. Çalışma monitörünüzde size bir virüsün kurbanı olduğunuzu açıklayan ve hızlı bir şekilde para aktarmayı teklif eden bir yazı belirir. Aynı zamanda tek bir dosyayı açamazsınız ve uzantılar anlaşılmaz harflerden oluşur.

Kullanıcının gerçekleştirmeye çalıştığı ilk eylem, Windows'ta yerleşik hizmetleri kullanarak veri kurtarmadır. Ancak komutu çalıştırdığınızda ya hiçbir şey olmayacak ya da çabalarınız boşa gidecek - Wanna Decryptor'dan kurtulmak o kadar kolay değil.

12 Mayıs'ta Rusya dahil dünyanın farklı ülkelerindeki birçok şirket ve departman fidye yazılımı virüsüne maruz kaldı. Bilgi güvenliği uzmanları, belirli dosya türlerini şifreleyen ve uzantılarını .WNCRY olarak değiştiren WanaCrypt0r 2.0 virüsünü (diğer adıyla WCry ve WannaCry) tespit etti.

WannaCry'nin bulaştığı bilgisayarlar, kullanıcının fidyeyi (genellikle 300 $ Bitcoin'e eşdeğer) ödemesi için 3 günü olduğunu belirten bir mesaj penceresiyle kilitlenir ve bu sürenin sonunda fiyat iki katına çıkar. Parayı 7 gün içinde ödemezseniz dosyaların kurtarılması imkansız hale gelecektir.

WannaCry yalnızca Windows tabanlı bilgisayarları hedefler. Microsoft'un Mart ayında yamaladığı bir güvenlik açığından yararlanıyor. En son güvenlik yamasının yüklü olmadığı cihazlara saldırı düzenlendi. Sıradan kullanıcıların bilgisayarları, kural olarak, derhal güncellenir, ancak büyük kuruluşlarda, genellikle güncellemelerden şüphelenen ve kurulumlarını erteleyen sistemlerin güncellenmesinden özel uzmanlar sorumludur.

WannaCry, fidye yazılımı virüsleri kategorisine aittir; arka planda kullanıcının haberi olmadan önemli dosya ve programları şifreleyen, uzantılarını değiştiren ve ardından şifreyi çözmek için para talep eden bir şifreleyicidir. Kilit penceresi, dosyaların kalıcı olarak kilitleneceği veya silineceği zamana ilişkin bir geri sayım gösterir. Bir virüs, bilgisayar korsanlarının bildiği ve kapalı olmayan bir şey aracılığıyla uzaktan saldırı yaparak bir bilgisayara bulaşabilir. işletim sistemi güvenlik açığı. Virüs kodu, virüs bulaşan makinede otomatik olarak etkinleştirilir ve merkezi sunucuyla bağlantı kurarak hangi bilgilerin görüntüleneceğine ilişkin talimatlar alır. Bazen bilgisayar korsanlarının yalnızca bir bilgisayara bulaşması yeterli olur ve virüs yerel ağ üzerinden diğer makinelere yayılır.

The Intercept'e göre WannaCry, ABD Ulusal Güvenlik Ajansı tarafından kullanılan sızdırılmış araçlara dayanıyor. Bilgisayar korsanları muhtemelen virüsü bilgisayarlara enjekte etmek için Windows'ta daha önce yalnızca Amerikan istihbarat teşkilatlarının bildiği bir güvenlik açığını kullandılar.

WannaCry virüsü tehlikelidir çünkü sabit sürücüyü formatladıktan sonra bile iyileşebilir, yani muhtemelen kodunu kullanıcıdan gizlenen bir alana yazar.

Bu virüsün erken bir versiyonuna WeCry adı verildi, Şubat 2017'de ortaya çıktı ve zorla 0,1 Bitcoin (mevcut döviz kurlarıyla 177 $) ele geçirdi. WanaCrypt0r, bu kötü amaçlı yazılımın geliştirilmiş bir sürümüdür; saldırganlar istedikleri miktarı belirleyebilir ve zamanla artırabilir. Virüsün geliştiricileri bilinmiyor ve saldırıların arkasında onların olup olmadığı da kesin değil. Kötü amaçlı yazılımı isteyen herkese tek seferlik bir ödeme alarak satabilirler.

12 Mayıs'taki saldırıyı düzenleyenlerin iki düzine kurbandan toplamda en az 3,5 bitcoin, yani 6 bin dolardan biraz fazla para aldığı biliniyor. Kullanıcıların bilgisayarlarının kilidini açıp şifrelenmiş dosyaları iade edip edemedikleri bilinmiyor. Çoğu zaman, fidye ödeyen bilgisayar korsanlarının kurbanları bir anahtar veya dosya şifre çözme aracı alırlar, ancak bazen karşılığında hiçbir şey almazlar.

12 Mayıs'ta Microsoft, Ransom:Win32/Wannacrypt virüsünü tespit etmek ve etkisiz hale getirmek için bir güvenlik yaması yayınladı. Windows Update aracılığıyla kurulabilir. Bilgisayarınızı WannaCry'dan korumak için tüm Windows güncellemelerini yüklemeniz ve yerleşik Windows antivirüs Savunmacı. Ayrıca tüm değerli verilerin buluta kopyalanması da iyi bir fikir olacaktır. Bilgisayarınızda şifrelenmiş olsalar bile, bunları yine de silinen dosyaların gittiği bulut depolama alanından veya geri dönüşüm kutusundan kurtarabilirsiniz.