Nedir Petya virüsü ve nasıl korunulur
Petya fidye yazılımı daha önce birçok sisteme sızmış ve tespit edildikten kısa bir süre sonra çeşitli varyantları geliştirilmeye başlanmıştır. Son günlerde adını uzun bir süre bütün dünyada duyuran zararlı yazılım ise WannaCry oldu. Şimdi de Petya virüsünün yeni bir varyantı ortaya çıktı ve bu varyant diğerlerine göre çok daha hızla yayılan ve daha tehlikeli bir zararlı.
Petya virüsü nedir?
Petya virüsü, Türkçe de fidye yazılım olarak ifade edilen bir ransomware. Sisteme sosyal mühendislik ya da diğer zafiyetleri kullanarak sızdıktan sonra, bulaştığı dosyaları şifrelemektedir. Aslında teknik olarak diğer ransomeware’lerden farklı; zira Petya, sadece dosyaları değil aynı zamanda MBR ve MFT‘yi de şifreliyor. Bu şifreleme yöntemi sayesinde dosyalara erişim tamamen engelleniyor. Dosyaları geri getirmek içinse talep edilen ücretin ödenmesi gerekiyor.
Ukrayna başta olmak üzere şimdiden birçok ülkedeki sistemleri kullanılamaz hale getirmiş durumda bu virüs. Ukrayna’daki çeşitli kamu kurumlarından, Kiev havaalanı, metro sistemleri, enerji santralleri ve hatta nükleer santrallere kadar geniş bir alanda yayılmış olan virüs, talep edilen ücretin ödenmemesi halinde bu sistemlerin çalışmasını tamamen durdurabilmektedir.
Sistemlerinin etkilendiğini duyuran diğer ülkeler ise İngiltere, Fransa, Rusya, Danimarka, Meksika, İran ve Brezilya. Ancak çok daha fazla ülkenin bu saldırıdan etkilenmesi beklenmekte. WannaCry ile aynı özelliklere sahip olan yazılımın, gerekli önlemlerin kısa sürede alınmaması halinde birkaç gün içinde 500.000’den fazla bilgisayarı etkileyeceği tahmin ediliyor. Tıpkı WannaCry gibi Windows SMBv1 güvenlik açığı sayesinde hızla yayılmaktadır.
Petya virüsü nasıl yayılıyor?
Petyanın yeni varyantı, diğer fidye yazılımlarında da olduğu gibi aynı zamanda spam e-posta aracılığıyla da yayılıyor. Kullanıcılara CVE-2017-0199 açığı üzerinden sosyal mühendislik teknikleriyle e-posta gönderen ve bu şekilde bulaşan Petya fidye yazılımı, VirusTotal tarafından yapılan analize göre, piyasada bulunan 61 antivirüs uygulamasının 40’ı tarafından yakalanabiliyor. Yakın bir zaman içinde diğer antivirüslerin de Petya’yı yakalaması beklenmektedir.
Petya ransonware, sisteme sızdıktan sonra, sistemdeki dosyaları şifreliyor ve işlem tamamlandıktan sonra ekrana bir uyarı mesajı çıkarıyor. Bu mesajda ise yaklaşık 300 usd ödenmesi halinde şifrelenen dosyaların geri getirileceği belirtiliyor. Talep edilen ücret, belirtilen süre içinde ödenmezse, dosyalara veda ediliyor.
Petya dosyalarınızı nasıl şifreliyor?
Petya iki farklı modülden oluşuyor. İlk modül, klasik fidye yazılımlarında olduğu gibi dosyaların ilk 1 MB’lık bölümünü şifreliyor. Şifrelenen dosya uzantıları şu şekilde:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Dosyaların şifrelenmesi için 128 bit AES algoritmasını kullanan yazılım, daha sonra bu anahtarı da RSA açık anahtarı ile şifreliyor. İkinci modül ise Petya fidye yazılım ailesinden yadigar. İşletim sisteminin Master Boot Record (MBR) bölümüne yerleşen yazılım, sistemin her boot edilişinde otomatik olarak çalışmasını sağlıyor. Gerekli izinlere de sahip olduktan sonra yazılım, Master File Table’ı tespit ettikten sonra Salsa20 stream ile şifreliyor. Master File Table, NTFS dosya sisteminin veri yapısını tutan bir veri tablosu. Her dosyanın, disk üzerinde nerede bulunduğu bilgisini içeren Master File Table sayesinde Petya, her dosyanın nerede olduğunu takip ediyor.
Bu güncel saldırılardan korunmak için öncelikle siber güvenlik farkındalığına sahip olmak, güvenlik açığı taraması ya da penetrasyon testi gibi süreçlerden geçmek, doğru güvenlik uygulamalarını kullanmak ve gerekli ayarları yapmak gerekiyor. Bunun yanında en önemlisi ise kritik sistemlerin sürekli oalrak backup alınması büyük önem taşımakta.
Virüsten etkilenmemek ne kadar mümkün?
Virüsün bulaştığı tespit edilen sistemin ağ bağlantısı acilen devre dışı bırakılmalı ve ağdan izole edilmelidir. Varsa bu sisteme ait yedeklerinizden sistemi geri yükleyip, enfekte olmamış eski haline döndürebilirsiniz. Local admin ve sistemde üst seviyede yetkili hesapların parolaları düzenli oalrak değiştirilmeli. Bilgisayar kullanıcılarına gereksiz yetki vermekten kaçınılmalı. Domain ortamlarında mümkünse Domain Admin hesabı kullanılmamalı. Ayrıca Bütün Windows sistemlerine Microsoft firmasının 14 Mart 2017 tarihinde yayınlanan MS17-010 güvenlik güncellemesinin bütün sistemlerde yüklenmesi gerekmektedir.
