WannaCry

WannaCry ilk defa 12 Mayıs 2017 Cuma görülen ve mart ayında yayımlanan MS17-010 güncelleştirmesini yapmamış Windows bilgisayarlara, ShadowBrokers grubu tarafından sızdırılan NSA dosyaları içerisinde bulunan kritik güvenlik açıklarını kullanarak bulaşan fidye yazılımıdır. En büyük zararı İngiltere'de bulunan NHS hastanelerine vermiştir ve 200,000'den fazla bilgisayarı etkilemiştir. Windows bilgisayarlar üzerindeki kritik açıkları kullanması ve bu şekilde yayılmasıyla diğer fidye yazılımlardan farklılık göstermektedir.

Mart ayı güncelleştirmesi yapılmamış her Windows bilgisayar, tehlike altındadır.

WannaCry, bulaştığı bilgisayar içerisindeki 176 farklı dosya tipini şifreleyerek sonlarına '.WCRY' uzantısı ekler.

Şifreleme işleminden sonra istenen fidyenin 7 gün içerisinde ödenmezse dosyaların silineceğini söyleyen bir fidye talep sayfasını kullanıcıya gösterir. Fakat yapılan incelemelerde 7 gün içerisinde ödeme yapılmadığında dosyaları silecek bir prosedür bulunamamıştır.

Şifrelenen dosyaları çözmek için gereken anahtar, yapılan araştırmalar sonucunda bulunamamıştır. Fakat fidye ödenmemesi tavsiye edilir çünkü dosyaların geri getirileceği belli değildir.

Petya (Aynı zamanda NotPetya, GoldenEye gibi isimlerle de adlandırılmaktadır)

Petya ilk defa 2016 yılında ortaya çıkmıştır. Normal fidye yazılımlarından farklı olarak sadece dosyaları şifrelemekle kalmaz, bilgisayarın açılış prosedürüne de müdahale eder.

Petya'nın yeni ve güçlendirilmiş versiyonu 27 Haziran 2017 yılında Ukrayna'da ortaya çıkmıştır. Kendisini yaymak için WannaCry ile aynı yöntemi kullanan Petya'nınWannaCry'dan farkı, bulaştığı sistemler üzerinde sistem yöneticisi araçları ile de yayılabilmesidir. Böylece sistemler içerisinde mart ayı güncelleştirmesi yapılan bilgisayarlara da kendisini bulaştırabilmektedir.

Petya, sistemlere ilk olarak bir muhasebe yazılımı olan ve Ukrayna'da sıkça kullanılan MeDoc üzerinden bulaşmıştır.

Yapılan araştırmalarda 22 Haziran 2017 tarihinde MeDoc sistemlerinin hacklendiği ve kullanıcılara gönderilen güncellemenin değiştirildiği tespit edilmiştir. MeDoc muhasebe yazılımı düzenli olarak güncelleştirme için kontrol yaptığından dolayı da değiştirilen ve içerisinde Petya bulunan güncellemeyi indirip kurmuştur.

Petya'nınMeDoc sunucularından gelen güncellemelerle yayıldığının tespiti sonrasında Ukrayna polisi MeDoc sunucularının bulunduğu konuma baskın yapmıştır. Polis, Petya'nın daha fazla yayılmasını önlemek için sunucuların faaliyetlerini durdurmuştur.

Sisteme kendini kurduktan sonra Petya bilgisayar açılış prosedürünü modifiye eder. Bu modifikasyon sayesinde bilgisayarın başlama sürecine müdahale eder ve bilgisayar yeniden başlatıldığında disk kurtarma adı altında dosyaları şifrelemeye başlar. Bilgisayar'ı yeniden başlatmak için bir zamanlayıcı kuran Petya, bu süre içerisinde diğer sistemlere bulaşmaya çalışır.

Petya şifrelemeyi iki yönlü yapar:

  1. Sabit diskler üzerindeki kullanıcı dosyalarını 60'dan fazla uzantıya göre listeler ve şifreler.
  2. Bilgisayar başlarken şifreleme işlemini disk kurtarma gibi göstererek bütün diski şifreler.

Yapılan araştırmalarda Petya tarafından şifrelenen dosyaların geri getirilmesinin mümkün olmadığı görülmüştür. Bu özelliği Petya'nın bir fidye yazılımından çok bir "dosya yok edici" olduğunu göstermektedir.