Petya virüsü nedir? Nasıl korunulur?

Petya virüsü nedir? Nasıl korunulur?

Petya fidye yazılımı daha önce binlerce sisteme sızmış ve tespit edildikten kısa bir süre sonra çeşitli varyantları geliştirilmeye başlanmıştı. Ancak son günlerde adını uzun bir süre manşetlerde tutabilen zararlı ise WannaCry oldu. Geçtiğimiz ayın en önemli siber saldırılarından WannaCry ile ilgili olarak, bunun henüz bir başlangıç olacağını, ilerleyen günlerde daha farklı birçok saldırının gerçekleşebileceğini belirtmiştik. Şimdi de Petya virüsünün yeni bir varyantı ortaya çıktı ve bu varyant diğerlerine göre çok daha hızla yayılan, daha tehlikeli bir zararlı.

Petya virüsü nedir?

Petya virüsü, Türkçe fidye yazılım olarak ifade edilen bir ransomware. Sisteme sosyal mühendislik ya da sair zafiyetleri kullanarak sızdıktan sonra, bulaştığı dosyaları şifreliyor. Aslında teknik olarak diğer ransomeware’lerden farklı; zira Petya, sadece dosyaları değil aynı zamanda MBR ve MFT‘yi de şifreliyor. Bu şifreleme yöntemi sayesinde dosyalara erişim tamamen engelleniyor. Dosyaları geri getirmek içinse talep edilen ücretin ödenmesi gerekiyor.
Henüz dün sabah saatlerinde tespit edilen fidye yazılım, Ukrayna başta olmak üzere şimdiden birçok ülkedeki sistemleri kullanılamaz hale getirmiş durumda. Ukrayna’daki çeşitli kamu kurumlarından, Kiev havaalanı, metro sistemleri, enerji santralleri ve hatta nükleer santrallere kadar geniş bir alanda yayılmış olan virüs, talep edilen ücretin ödenmemesi halinde bu sistemlerin çalışmasını tamamen durdurabilir.
Petya fidye yazılımı uyarı notu
Sistemlerinin etkilendiğini duyuran diğer ülkeler ise İngiltereFransaRusyaDanimarkaMeksikaİran ve Brezilya. Ancak çok daha fazla ülkenin bu saldırıdan etkilenmesi bekleniyor. Petya fidye yazılımının yeni varyantıyla ilgili en dikkat çekici özellik ise, WikiLeaks tarafından sızdırılan NSA exploit’lerini kullanması. Bu anlamda WannaCry ile aynı özelliklere sahip olan yazılımın, gerekli önlemlerin kısa sürede alınmaması halinde birkaç gün içinde 500.000’den fazla bilgisayarı etkileyeceği tahmin ediliyor. Tıpkı WannaCry gibi Windows SMBv1 güvenlik açığı sayesinde hızla yayılan zararlı, NSA’in ShadowBrokers hacking grubu tarafından ifşa edilen exploit’lerinden olan EternalBlue’yu kullanıyor. Daha sonra da WMIC ve PSEXEC kullanarak, ağda hızlı bir şekilde yayılabiliyor.

Petya virüsü nasıl yayılıyor?

Petyanın yeni varyantı, aslında diğer fidye yazılımlarda olduğu gibi aynı zamanda spam e-posta aracılığıyla da yayılıyor. Kullanıcılara CVE-2017-0199 açığı üzerinden sosyal mühendislik teknikleriyle e-posta gönderen ve bu şekilde bulaşan Petya fidye yazılımı, VirusTotal tarafından yapılan analize göre, piyasada bulunan 61 antivirüs uygulamasının 40’ı tarafından yakalanabiliyor. Yakın bir zaman içinde diğer antivirüslerin de Petya’yı yakalaması bekleniyor.
Petya ransonware, sisteme sızdıktan sonra, sistemdeki dosyaları şifreliyor ve işlem tamamlandıktan sonra ekrana bir uyarı mesajı çıkarıyor. Bu mesajda ise yaklaşık 300 usd ödenmesi halinde şifrelenen dosyaların geri getirileceği belirtiliyor. Talep edilen ücret, belirtilen süre içinde ödenmezse, dosyalara veda ediliyor.

Petya dosyalarınızı nasıl şifreliyor?

Petya iki farklı modülden oluşuyor. İlk modül, klasik fidye yazılımlarında olduğu gibi dosyaların ilk 1 MB’lık bölümünü şifreliyor. Şifrelenen dosya uzantıları şu şekilde:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Dosyaların şifrelenmesi için 128 bit AES algoritmasını kullanan yazılım, daha sonra bu anahtarı da RSA açık anahtarı ile şifreliyor. İkinci modül ise Petya fidye yazılım ailesinden yadigar. İşletim sisteminin Master Boot Record (MBR) bölümüne yerleşen yazılım, sistemin her boot edilişinde otomatik olarak çalışmasını sağlıyor. Gerekli izinlere de sahip olduktan sonra yazılım, Master File Table’ı tespit ettikten sonra Salsa20 stream ile şifreliyor. Master File Table, NTFS dosya sisteminin veri yapısını tutan bir veri tablosu. Her dosyanın, disk üzerinde nerede bulunduğu bilgisini içeren Master File Table sayesinde Petya, her dosyanın nerede olduğunu takip ediyor.
Yeni saldırı yöntemleri sayesinde fidye yazılımlar, sistemlerin artık geri getirilemeyecek halde şifrelenmesini sağlıyor. Bu saldırılardan korunmak için öncelikle siber güvenlik farkındalığına sahip olmak, güvenlik açığı taraması ya da penetrasyon testi gibi süreçlerden geçirmek, doğru güvenlik uygulamalarını kullanmak ve gerekli ayarları yapmak gerekiyor. Bugüne kadar Petya ranwomare ve türevlerinden etkilenen kurumların, gerekli siber güvenlik önlemlerini almadığı, bilgi işlem personelinin yedekleme işlemi yapmadığı görülüyor. İşletmenizin Petya ve yakın zamanda çıkması beklenen diğer fidye yazılımlardan korunması için, profesyonel bir siber güvenlik hizmeti almayı ihmal etmeyin.

Yağız Ege UBUZ 6/G 1459

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Resim
Bilim insanları yaşanamayacak ülkeleri açıkladı Dünya Corona virüs ile uğraşıyorken, Amerikalı ve İngiliz bilim insanları, dünyanın interaktif haritasını çıkardı. Isı ve nem kombinasyonlarının işlendiği haritada, dünyada çok yakında yaşanamayacak ülkeler açıklandı. Bilim insanlarının çıkardığı  interaktif harita  ile her bölgenin ortalama hava sıcaklığına göre insan vücudunun maruz kaldığı iklim yükünü yansıtan veriler toplandı. Sonuçları Science Advances dergisinde yayınlanan çalışmaya göre dünyada daha şimdiden yaşanması mümkün olmayan onlarca bölge bulunuyor. Küresel iklim değişikliği ile ilgili birçok bilimsel yayında, insan yaşamının fizyolojik sınırlarını aşan ölümcül yüksek ısı ve nem kombinasyonlarının altı çiziliyor. Bu denklemin çok yakında dünyanın bazı tropikal ve subtropikal bölgelerinde yaşamayı imkansız hale getireceği belirtiliyor. Columbia Üniversitesi   Dünya Enstitüsü  ve  Loughborough Üniversitesi ‘nde görevli bilim insanları, toplu göçler ve ülke e
Devamı

Oobleck: Sıvı mı Yoksa Katı mı?

Resim
Oobleck: Sıvı mı Yoksa Katı mı? Bataklıklardan çıkmanın neden zor olduğunu hiç  düşündünüz mü ? Bataklıkların içinde hareket etmek zordur. İçinde hareket ettikçe daha çok batarsınız. Dolayısıyla ne sıvı ne de katı oldukları söylenebilir. Deneyler köşesinin yeni etkinliğinde, nişasta ve su kullanarak hazırladığımız  oobleck  ile üzerine kuvvet uygulandığında akışkanlığı değişen yani bazen sıvı bazen de katı gibi davranan maddelerin özelliklerini inceliyoruz. Bilmekte Fayda Var? Viskozite akışkanların akmaya karşı gösterdiği direnç olarak tanımlanabilir. Hareket yasaları ile bildiğimiz Isaac Newton akışkanların viskozitesinin sıcaklığa bağlı olarak değiştiğini gözlemlemişti. Viskozitesi sadece sıcaklıkla değişen akışkanlar Newton tipi akışkan olarak isimlendiriliyor. Ancak bazı akışkanların viskozitesini başka faktörler (örneğin çalkalama, üzerine uygulanan kuvvet) etkileyebiliyor. Bu tür akışkanlar ise Newton tipi olmayan akışkanlar olarak isimlendirilir.
Devamı
Dünya’ya en yakın kara delik: Alışılmadık bir şey! 4  Kara delik kavramı geçen yıl ilk fotoğrafının çekilmesiyle birlikte daha da görünür bir hale geldi. Uzayda gerçekleşen gelişmeler her zaman dikkat çekmiştir. İnsanlığın büyük bir kısmının bilmediği bu karanlık boşluk hakkında ulaşılan her bilgi de ister istemez heyecanlandırmaya yetiyor. Yeni yayımlanan  göre Dünya’ya en yakın kara delik keşfedildi. Oldukça alışılmadık bir olay ile karşı karşıya olduğumuzu söyleyen bilim insanları bunu teleskop olmadan gece gökyüzünde tespit edilebileceğini bile söylüyor. Dünya’ya en yakın kara delik Güneş’in dört katı büyüklüğünde Bilim insanlarının yayımladığı yeni bir makale ile ortaya çıkan alışılmadık olay, La Silla Gözlemevi tarafından 1000 ışık yılı uzağımızda keşfedilen kara deliğin etrafında çıplak gözle de görülebilen iki yıldız döndüğünü de gösteriyor. Uzayın en gizemlisi olan kara delikler hakkında yıllardır çalışmalar yapılıyor. Gezegenimize en yakın kara deliğin k
Devamı