WanaCrypt0r 2.0 + Analiz + Korunma | Cintonik.com

WanaCrypt0r 2.0 + Analiz + Korunma

WanaCrypt0r için Güvenlik Yaması
13 Mayıs 2017
Emsisoft Anti-Malware 2017.4.0.7424 Full Türkçe (Keyli) İndir
13 Mayıs 2017
Tümü

WanaCrypt0r 2.0 + Analiz + Korunma

Direk konuya girelim WanaCrypt0r 2.0 analiz edelim nedir kim yapmış yok nsa yok btk şöyle demiş filanı geçelim.WanaCrypt0r 2.0 tek tek inceleyip ve çözümünü verelim.

Şifreleme ve çözme tekniği

Bilgisayara bulaştıgı andan itibaren dosyanın bulundugu dizine zip halinde şifrelenmiş dosya bırakacaktır.

Daha sonra zip dosyasının içeriğini aynı klasör içinde başlangıc görevlerini gerçekleştiriyor.ilk önce fidye notlarının yerelleştirilmiş sürümünü msg klasörünü ayıklayır desteklenen diller listesi

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese,

WanaCrypt0r daha sonra

https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip dosyasından bir TOR istemcisi indirip TaskData klasörüne ayıklayacaktır.Bu TOR istemcisi,gx7ekbenv2riucmf.onion,57g7spgrzlojinas.onion,xxlvbrloxvriy2c5.onion,76jdd2ir2embyv47.onion ve cwwnhwhlz52maqm7.onion adresindeki fidye yazılım C2 sunucuları ile iletişim kurmak için kullanılır.

Bilgisayarı olabildiğince çok dosyayı şifrelemek üzere hazırlamak için, WanaCrypt0r şimdi icacls komutunu yürütür. / Grant Everyone: F / T / C / Q, değiştirmek için fidye yazılımının bulunduğu klasör ve alt klasörlerdeki dosyalara herkesin tam izin vermesini sağlar. Daha sonra veritabanı sunucuları ve posta sunucuları ile ilişkili süreçleri sona erer, böylece veritabanlarını ve posta mağazalarını da şifreleyebilir.

Veritabanı işlemlerini sona erdirmek için yürütülen komutlar şunlardır:

taskkill.exe /f /im mysqld.exe

taskkill.exe /f /im sqlwriter.exe

taskkill.exe /f /im sqlserver.exe

taskkill.exe /f /im MSExchange*

taskkill.exe /f /im Microsoft.Exchange.*

Şimdi, Wana Decrypt0r bilgisayardaki dosyaları şifrelemeye hazırdır. Dosyaları şifreleyken, WanaDecrypt0r yalnızca aşağıdaki uzantılardan birine sahip olan dosyaları şifreler:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc,

Bir dosya şifrelendiğinde, dosyanın şifrelendiğini belirtmek için şifreli dosyaya .WNCRY uzantısını ekleyecektir. Örneğin, test.jpg adlı bir dosya şifrelenir ve yeni bir test.jpg.WNCRY ismine sahip olur.

Dosyaları şifreleyince, bir @ Please_Read_Me @ .txt fidye notunu ve bir dosyanın şifrelendiği her klasörde @ WanaDecryptor @ .exe şifre çözücüsünün bir kopyasını da depolar. Bu dosyalara sonradan bakacağız.

Son olarak, WanaCrypt0r Gölge Birim Kopyalarını temizleyen, Windows başlangıç ​​kurtarma özelliğini devre dışı bırakan, Windows Server Yedekleme geçmişini temizleyen bazı komutlar yayınlayacak. Verilen komutlar şunlardır:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Bu komutlar İdari ayrıcalıklara ihtiyaç duydukları için kurbanlar aşağıdaki komuta benzer bir UAC istemi göreceklerdir.

Sonunda, Wana Decryptor 2.0 kilit ekranı görüntülenecektir. Bu ekranda fidye nasıl ödenebilir konusunda daha fazla bilgi içerir ve yukarıda listelenen dillerden birini seçmenize izin verir.

Ödeme Yap düğmesini tıklattığınızda, fidye yazılımı bir ödeme yapıp yapmadığını görmek için TOR C2 sunucularına geri bağlanır. Hatta biri yapılsaydı, fidye yazılımları dosyalarınızın şifresini otomatik olarak çözer. Ödeme yapılmadıysa, aşağıdaki gibi bir yanıt göreceksiniz.

WanaCrypt0r ransomware’inde üç adet sabit kodlanmış bit adresi var. Bu bit veri iletme adresleri 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw ve 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn’dir.

Wana Decryptor 2.0 ekranında ayrıca, fidanbabası geliştiricisine başvurabileceğiniz bir formu açan bir Bize Ulaşın etiketi bulunur.

Fidye ayrıca, Masaüstü duvar kağıdınızı aşağıda gösterildiği gibi başka bir fidye notu görüntülemek üzere yapılandıracaktır.

Son olarak, en az değil, sık sorulan soruların yanıtlarını içeren ve daha fazla bilgi içeren bir fidye notu masaüstünde kalacaktır.

@[email protected] Ransom Note

Önlem olarak korunmak için harici hdd lerinizi ihtiyacınız olmadıkca takılı tutmayın ve firewall acık olsun bilmediginiz baglantılara izin vermeyin güncellemeler otomatik degil manul olarak ayarlayınız

Emsisoft Anti-Malware’in Davranış Engelleyicisi etkinleştirilmiş olarak Wana Decrypt0r yükleyicisini çalıştırmayı denediğimde yakalıyor.

IOCs

Hashes:

SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

Wana Decrypt0r / WanaCrypt0r ile ilişkilendirilmiş dosyaları:

[Installed_Folder]\00000000.eky

[Installed_Folder]\00000000.pky

[Installed_Folder]\00000000.res

[Installed_Folder]\@[email protected]

[Installed_Folder]\@[email protected]

[Installed_Folder]\b.wnry

[Installed_Folder]\c.wnry

[Installed_Folder]\f.wnry

[Installed_Folder]\msg\

[Installed_Folder]\msg\m_bulgarian.wnry

[Installed_Folder]\msg\m_chinese (simplified).wnry

[Installed_Folder]\msg\m_chinese (traditional).wnry

[Installed_Folder]\msg\m_croatian.wnry

[Installed_Folder]\msg\m_czech.wnry

[Installed_Folder]\msg\m_danish.wnry

[Installed_Folder]\msg\m_dutch.wnry

[Installed_Folder]\msg\m_english.wnry

[Installed_Folder]\msg\m_filipino.wnry

[Installed_Folder]\msg\m_finnish.wnry

[Installed_Folder]\msg\m_french.wnry

[Installed_Folder]\msg\m_german.wnry

[Installed_Folder]\msg\m_greek.wnry

[Installed_Folder]\msg\m_indonesian.wnry

[Installed_Folder]\msg\m_italian.wnry

[Installed_Folder]\msg\m_japanese.wnry

[Installed_Folder]\msg\m_korean.wnry

[Installed_Folder]\msg\m_latvian.wnry

[Installed_Folder]\msg\m_norwegian.wnry

[Installed_Folder]\msg\m_polish.wnry

[Installed_Folder]\msg\m_portuguese.wnry

[Installed_Folder]\msg\m_romanian.wnry

[Installed_Folder]\msg\m_russian.wnry

[Installed_Folder]\msg\m_slovak.wnry

[Installed_Folder]\msg\m_spanish.wnry

[Installed_Folder]\msg\m_swedish.wnry

[Installed_Folder]\msg\m_turkish.wnry

[Installed_Folder]\msg\m_vietnamese.wnry

[Installed_Folder]\r.wnry

[Installed_Folder]\s.wnry

[Installed_Folder]\t.wnry

[Installed_Folder]\TaskData\

[Installed_Folder]\TaskData\Data\

[Installed_Folder]\TaskData\Data\Tor\

[Installed_Folder]\TaskData\Tor\

[Installed_Folder]\TaskData\Tor\libeay32.dll

[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll

[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll

[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll

[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll

[Installed_Folder]\TaskData\Tor\libssp-0.dll

[Installed_Folder]\TaskData\Tor\ssleay32.dll

[Installed_Folder]\TaskData\Tor\taskhsvc.exe

[Installed_Folder]\TaskData\Tor\tor.exe

[Installed_Folder]\TaskData\Tor\zlib1.dll

[Installed_Folder]\taskdl.exe

[Installed_Folder]\taskse.exe

[Installed_Folder]\u.wnry

[Installed_Folder]\wcry.exe

Wana Decrypt0r / WanaCrypt0r ile ilişkili kayıt defteri girdileri:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] “[Installed_Folder]\tasksche.exe”

HKCU\Software\WanaCrypt0r\

HKCU\Software\WanaCrypt0r\wd [Installed_Folder]

HKCU\Control Panel\Desktop\Wallpaper “[Installed_Folder]\Desktop\@[email protected]

Wana Decrypt0r / WanaCrypt0r’den Kayıt Ağ İletişimi: Wana Decrypt0r / WanaCrypt0r ile ilişkili:

gx7ekbenv2riucmf.onion

57g7spgrzlojinas.onion

xxlvbrloxvriy2c5.onion

76jdd2ir2embyv47.onion

cwwnhwhlz52maqm7.onion

https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

Wana Decrypt0r / WanaCrypt0r Kilit Ekran Metin:

Bilgisayarıma ne oldu?

Önemli dosyalarınız şifrelidir.

Belgelerinizin, fotoğraflarınızın, videolarınızın, veritabanlarının ve diğer dosyalarınızın birçoğu şifrelendiğinden artık erişilebilir değillerdir. Belki dosyalarınızı kurtarmanın bir yolunu bulmakla meşgulsünüz, ancak zamanınızı boşa harcamayın. Şifreleme servisimiz olmadan dosyalarınızı kimse kurtaramaz.

Dosyalarımı Kurtarabilir miyim?

Emin. Tüm dosyalarınızı güvenli ve kolay bir şekilde kurtarabileceğinizi garanti ederiz. Ama yeterince zamanınız yok.

Dosyalarınızın bir kısmını ücretsiz olarak çözebilirsiniz. Tıklayarak şimdi deneyin.

Ancak tüm dosyalarınızın şifresini çözmek isterseniz, ödemeniz gerekecek.

Ödemeyi göndermek için yalnızca 3 gününüz var. Bundan sonra fiyat iki katına çıkacak.

Ayrıca, 7 gün içinde ödeme yapmazsanız, dosyalarınızı sonsuza dek kurtaramazsınız.

6 ay içinde ödeme yapamayacak kadar zayıf olan kullanıcılar için ücretsiz etkinlikler düzenleyeceğiz.

Nasıl ödeme yaparım?

Ödeme yalnızca Bitcoin’de kabul edilmektedir. Daha fazla bilgi için tıklatın.

Lütfen Bitcoin’in şu anki fiyatını kontrol edin ve biraz para çekici satın alın. Daha fazla bilgi için tıklatın.

Ve doğru miktarı bu pencerede belirtilen adrese gönderin.

Ödemenizin ardından tıklayın. En iyi kontrol zamanı: Pazartesiden cumaya 09: 00-11: 00 arası (GMT).

Ödeme yapıldıktan sonra derhal dosyalarınızın şifresini çözmeye başlayabilirsiniz.

Temas

Yardımımıza ihtiyacınız varsa, öğesini tıklayarak bir mesaj gönderin.

Siz, ödeme yapana ve ödeme işleme koyulana kadar, bu yazılımı kaldırmamaya ve anti-virüsünüzü bir süre devre dışı bırakmamenizi önemle tavsiye ederiz. Virüsten koruma yazılımınız güncellenir ve bu yazılımı otomatik olarak kaldırırsa, ödeme yapsanız bile dosyalarınızı kurtaramazsınız!

Wana Decrypt0r / WanaCrypt0r Fidye Not Metni:

Q:Dosyalarımın neyi varmış?

C:Asıl önemli dosyalar şifrelendi. Onların şifresiz çözülene kadar artık erişemeyeceğiniz anlamına gelir.

Talimatlarımıza uyarsanız, tüm dosyalarınızı hızlı ve güvenli şekilde çözebileceğinizi garanti ederiz!

Şifresini çözmeye başlayalım!

S:Ben ne yapacağım?

Y:İlk olarak, şifre çözme işlemi için servis ücretleri ödemelisiniz.

Lütfen, bu bit arkadaşınızın adresine 300 TL değerinde bir bit eşyası gönderin: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

Sonra, “@ WanaDecryptor @ .exe” adlı bir uygulama dosyası bulun. Bu şifre çözme yazılımıdır.

Çalıştırın ve talimatları uygulayın! (Bir süre antivirüsünüzü devre dışı bırakmanız gerekebilir.)

S:Nasıl güvenebilirim?

C:Şifre çözme konusunda endişelenmeyin.

Dosyalarınızı kesinlikle çözeceğiz, çünkü kullanıcılar hile yaparsak kimse bize güvenemez.

Yardımımıza ihtiyacınız varsa, şifre çözücü penceresine tıklayarak bir mesaj gönderin.

Şifreli Dosya Uzantıları:

.WCRY

.WNCRY

Ödemeyi yapsanız bile ödemedi olarak gösteriyor yani büyük bir vurgun analiz inceleme bitmiştir

Evet emisof anti malware algılayan güncelleme söz konusu oldugundan windows güncelleştirmeleri manul almak daha iyidir karsıdan yükleme yapmasın + hdd ler harici sürekli etkin kalmasın yedeklerinizin olması sizler icin daha iyidir + zemana anti malwareye tick bildirim gönderilmiştir.

14 minutes sonra eklendi:

Çalışma mekanizması

hızlıca antivirüs şirketleri bu durumda alarma geçti

emisoft,malwarebytes ,zemana antilogger + zemana malware tanıyor

beklemede olanlar kaspersky eset ve diğerleri henüz tanımıyor

Emisoft indirme linki

https://www.emsisoft.com/en/software/antimalware/

Emsisoft AntiMalware
WAP-BEN-ZAB-743

Emsisoft AntiMalware
TEK-GAF-BAG-225

Emsisoft AntiMalware
PIC-SES-SAB-844

Emsisoft AntiMalware
FAP-PAM-HIR-478

Emsisoft AntiMalware
MAC-HAS-FAF-755

Emsisoft AntiMalware
FAM-XIW-KIB-752

Emsisoft AntiMalware
TEK-GAF-BAG-225

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir