Nedir, nasıl yayılır, neler yapılabilir
WanaCrypt0r 2.0 zararlı yazılımı NHS, İspanya’nın en büyük firmalarından olan Telefonica, ve aynı zamanda Rusya, Ukrayna, Tayvan gibi ülkelerdeki bilgisayarları vurdu. Sistemlerdeki veriler kilitlenerek karşılığında fidye talebinde bulunuluyor.
Fidye yazılımı İngiltere çapındaki hastanelerde acil hastaların geri çevrilmelerine neden olurken sağlık bakanlığı çok acil olmadıkça hastanelere gelinmemesi duyurusu yaptı.
Peki bu yazılım nedir, nasıl yayılır?
Ransomware (Fidye yazılımı) nedir?
Ransomware, bilgisayara erişimi engelleyen özel bir yazılım çeşididir ve karşılığında para talep etmektedir.
Nasıl çalışır?
Yazılım bilgisayara bulaştığı zaman fidye yazılımı tipik olarak aktif hale gelmek için ihtiyaç duyduğu bilgiyi edinmek amacıyla merkezi sunucuyla irtibat kurar ve sonra bu bilgiyle yazılımın bulaştığı bilgisayar üzerindeki dosyaları şifrelemeye başlar. Tüm dosyalar şifrelendikten sonra şifrenin kaldırılması için ödeme talep eden bir mesaj gönderir. Ve eğer ödeme yapılmazsa, tüm bilgileri yok etmekle tehdit eder. Genellikle baskıyı artırmak için mesaja bir de saat eklenir.
Nasıl yayılır?
Ransomware’ler en çok e-posta yoluyla gönderilen Word belgeleri, PDF’ler ve diğer dosyalarda saklanmış olarak yayılırlar. Ya da daha önce yazılımın bulaştığı bir bilgisayardan da bulaşabilir.
There is a new version of WCry/WannaCry ransomware: "WanaCrypt0r 2.0".
Extension: .WNCRY
Note: @Please_Read_Me@.txt@BleepinComputer pic.twitter.com/tdq0OBScz4— MalwareHunterTeam (@malwrhunterteam) May 12, 2017
WanaCrypt0 2.0 nedir?
İspanya’da Telefonica ve İngiltere’de NHS’yi etkileyen zararlı yazılımlar birbirinin aynı. Yazılım ilk olarak 12 Mayıs tarihinde saat 09.45’te, MalwareHunterTeam adlı güvenlik araştırmacılarının piyasada yaptıkları araştırma esnasında tespit edildi.
4 saatten az bir süre sonra zararlı yazılım NHS’nin bilgisayarlarına bulaştı ve NHS’nin dahili ağı boyunca zincirleme olarak yayıldı. Yazılım aynı zamanda Wanna Decryptor 2.0, Wcry 2, WannaCry ve Wanna Decryptor 2 olarak da biliniyor.
Ne kadar para istiyorlar ?
WanaCrypt0r 2.0 bilgisayar içeriğinin serbest bırakılması için 300 dolar değerinde kripto para olan ‘Bitcoin’ talebinde bulunuyor.
Shocking that our @NHS is under attack and being held to ransom. #nhscyberattack pic.twitter.com/1bcrqD9vEz
— Myles Longfield (@myleslongfield) May 12, 2017
Kim bunlar?
Bu fidye yazılımının yapımcılarının kim oldukları henüz bilinmiyor fakat WanaCrypt0r 2.0 onların 2. Siber soygun girişimleri. WeCry olarak adlandırılan birinci versiyon bu yıl Şubat ayında keşfedilmişti. O zamanlar dosya ve programların deşifre edebilmeleri için kullanıcılardan 0.1 bitcoin (şu an itibariyle 177 dolar değerine tekabül etmekle birlikte, oldukça dalgalı bir kura sahip) talebinde bulunuyordu.
NSA’nın bu saldırı ile bağlantısı ne?
Bir kullanıcı bu zararlı yazılımı farkında olmadan bilgisayarına yüklediğinde aynı ağda bulunan diğer bilgisayarlara da yayılma teşebbüsünde bulunmuştu. Bunu yapmak için WanaCrypt0r Windows işletim sisteminde bilinen bir açığı kullanıyor. Bu açık ilk olarak ‘Shadow Brokers’ olarak bilinen anonim bir grup tarafından dünyaya ‘Büyük NSA araçları sızıntısı ve bilinen zaaflar’ kampanyasının bir parçası olarak duyurulmuştu.
Bu yazılıma karşı bir savunma var mıydı?
Evet. Shadow Brokers dosyaları yayınlamadan önce Microsoft, Windows’un yazılımdan etkilenen versiyonları için bir yama yayınlayarak tam olarak güncellenmiş makinelerde bu açığın zararlı yazılımı yaymak için artık kullanılamayacağı konusunda teminat vermişti. Fakat bir çok sebepten ötürü kurumlar bu tip güvenlik güncellemelerini geniş ölçekte yükleme konusunda yavaş hareket ediyorlar.
Fidyeyi ödemek, dosyaların geri alınmasını sağlar mı?
Bazen evet, bazen hayır. Birkaç yıl öne piyasayı vuran ‘Cryptolocker’ fidye yazılımı olayında bazı kullanıcılar yaklaşık 300 sterlin civarındaki fidyeyi ödedikten sonra verilerine tekrar ulaşabildiklerine dair bildirimlerde bulunmuşlardı. Fakat ödemenin işe yarayacağına dair bir garanti yok çünkü siber haydutlar güvenilecek insanlar değillerdir.
Aynı zamanda Cryptolocker gibi görünmeye çalışan fakat ödeme yapıldıktan sonra verilere erişimi sağlamayan fidye yazılımlar da mevcut. Ek olarak ahlaki bir sorun da söz konusu: fidye ödemek, suçu teşvik eder.
Başka ne yapabilirim?
Fidye yazılım bilgisayarınıza bulaştığı andan itibaren yapabileceğiniz pek bir şey yoktur. Eğer dosyalarınızı yedeklemişseniz, bilgisayarınıza format attıktan sonra tekrar bu dosyaları kullanabilirsiniz, fakat eğer yedekleme yapmadıysanız dosyalarınızı kaybettiniz demektir.
Her ne kadar bazı acemice tasarlanmış fidye yazılımları güvenlik araştırmacılarınca hacklenerek, erişim tekrar kazanılabiliyorsa da, bu yöntemin WanaCrypt0r saldırısı gibi geniş ölçekli profesyonel saldırılar için geçerli olma ihtimali oldukça düşük.