WannaCry / Wcry / WannaCrypt Fidye Yazılımı kill switch barındırıyor

WannaCrypt

Haftasonu, bir siber saldırıyla başlamazsa olmazdı değil mi? Mart ayında çıkan MS17-010 güvenlik güncelleştirmesini yapmayan bilgisayarları port 139 ve 445 üzerinden ETERNALBLUE (Sızdırılan NSA araçlarının içerisinde bulunan 0-daylerden bir tanesi) ile yayılan bu fidye yazılımı, bulduğu bütün disk sürücülerinin içerisindeki dosyaları 2048-bit RSA ile şifreliyor. En ilginci ise, içerisinde bir kill-switch barındırıyor.

Screen Shot 2017-05-13 at 13.01.39.png

Kod içerisinde bulunan bu satırda, geliştiricilerden birinin klavyeye gözünü kapatarak bastığı ve ürettiği “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” adında bir siteye bağlanmaya çalıştığını görebilirsiniz. Eğer fidye yazılımı bu adres ile iletişime geçebilirse çalışmayı durduruyor fakat bu alan adı kayıtlı olmadığından bu işlemi başaramıyordunuz.

Fakat artık bu mümkün! Alan adı artık kayıt ettirildiği için, eğer fidye yazılımına maruz kaldıysanız  iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com adresini ziyaret ederek yazılımın “kill-switch”ini aktif edebilirsiniz.