Yazıda Neler Var?
Ransomware Nedir?
Ransomware olarak bilinen yazılımlar erişilen bilgisayarı devre dışı bırakarak; son kullanıcı veya yetkili personel bilgisayar erişim bilgilerini pasifize edip fidye için kullanan siyah şapkalı hacker gruplarının veya diğer bir adıyla kötü niyetli bilgisayar uzmanlarının geliştirdiği zararlı yazılımların bütünüdür.
Fidye ödenene kadar erişilen makinayı devre dışı bırakan bu zararlı yazılımı kontrol eden hacker grupları; istenilen fidye için genellikle Bitcoin (Takibi yapılamayan sanal para) kaynaklarını kullanmakta ve tek kullanımlık mail adresleri üzerinden son kullanıcıya ulaşmaktadır. Hackerlar bu bildirimleri kullanıcının ana ekranına yansıtan bir mesaj yoluyla iletiyor. (Index)
Petya Ransomware Nedir?
Yeni bir siber saldırı vakası ile küresel çapta ses getiren Petya virüsü Windows kurulu birçok sistemi etkilemeye devam ediyor. İlk olarak Rusya ve Ukrayna’da kamu kurumları ve özel sektörde görülen aksamalar sonucu ve medyanın da haberdar olmasıyla gün yüzüne çıkan “Petya Ransomware” birçok bilgisayarı devre dışı bırakma kabiliyetine sahip.
Virüs ağ üzerinden bulaşarak ele geçirdiği bilgisayarı; son kullanıcı işlemi gerektirmeksizin devre dışı bırakabiliyor.
Biraz daha açacak olursak Windows işletim sistemi tabanlı bilgisayarlarda kullanıcın giriş yaptığı username ve password yetkilerine erişimin “Petya Ransomware” bulaşması sonucu kolay bir şekilde erişilebileceğini rahatlıkla ifade edebiliriz. Bu bilgilerin yanı sıra ana unsur olan ön yükleme kaydı (MBR) erişimi ve şifrelenmesi de Petya zararlısının temel kaynağı olarak nitelendirilmekte.
Nasıl bulaşır ?
Petya zararlısı belirttiğimiz gibi Windows makinalara bulaşıyor. Güncellemesi yapılmayan Windows sistemler üzerinde ağ yoluyla sistemi deaktif ederek kullanıcı bilgilerini ele geçirip fidye için kullanıyor. Fidye ödenmezse kullanıcı varolan password ve user bilgileri ile sisteme erişemiyor.
Özellikle Windows SMBv1* portunu kullanarak yayılan Petya zararlısı; geçtiğimiz günlerde NSA üzerinden internete sızdırılan exploit’ler yoluyla bu açığı barındıran sistemlere kötü niyetli kullanıcılar tarafından uygulanarak fidye için kullanılıyor.
Wannacry ile bir bağlantısı var mı ?
Petya zararlısı teorik olarak Wannacry tarzında bir zararı yazılım türü olsa da Wannacry ‘in kullanmış olduğu zafiyet yönteminden daha farklı bir yol izlemekte. Şöyle ki hem verdiği zarar bakımından hem de kullanılan zafiyetin kapsadığı alanlar (sağlık,enerji,kamu v.b sektörler) bakımından Petya zararlısı Wannacry’e göre daha etkili bir Ransomware olarak tabir edilebilir. Dolayısıyla; Wannacry ile kıyaslandığında işlev olarak aynı kapsadığı alanlar bakımından farklı bir ransomware çeşidi denilebilir.
Sistemime bulaşmaması için ne yapmalıyım ?
Petya zararlısının küresel çapta sistemleri etkilediğinden bahsetmiştik. Küresel genellemesini belirli bir seviyeye indirecek olursak Türkiye üzerinde de hatrı sayılır miktarda etkilenebilecek Windows makine bulunmaktadır. Dolayısıyla Microsoft üzerinden yayınlanan güvenlik bildirimlerini kesinlikle takip etmelisiniz ve gerekli güncellemeleri aksatmamalısınız.
Bkz : https://technet.microsoft.com/library/security/MS17-010 (Security Update for Microsoft Windows SMB Server (4013389)
•Linkteki zafiyet detaylarını takip ederek gerekli bilgilendirme ve güncelleme dökümanlarını inceleyin.
•Sisteminiz de siber istihbarat analizi yapabilecek yazılımlar bulundurun.
•Çalıştığınız kurumun bilgi güvenliği kuralları kapsamınca eğer yetkili iseniz bilgi güvenlik yönetimini mutlaka gözden geçirin.
•Petya zararlısının etkileşime gecebileceği IP adreslerini analiz edin.
Yaygınlık derecesi
Ukrayna siber polisinin verdiği rapora göre çıkış noktası Ukrayna ve Rusya olan Petya virüsü Danimarka, Fransa, ABD gibi ülkelerde de görülüyor.
Şuana kadar son şeklini alan raporda öne çıkan bazı firmaların ve kurumların listesi aşağıdadır.
•Evraz ve Rosneft – Rus çelik ve petrol şirketi
•Mondelez – Fransız gıda şirketi
•DLA-PIPER – Hukuk firması
•APP Moller – Maersk – Danimarka nakliye firması
•Oschadbank – Ukrayna bankası
•Alman metrosu
•Fransa çeşitli kamu kuruluşları
Sistemime bulaştı ne yapmalıyım ?
Öncelikle Petya zararlı yazılımının bulaştığı makine üzerinde ki ağı kesinlikle izole etmelisiniz ki bir başka bilgisayara da ağ yoluyla bulaşmasını önleyebilelim.
Yedekleme yapılabiliyorsa yapılmalı.
Root yetkisine sahip ne kadar user-pass bilgisi varsa ivedililikle değiştirilmeli. Son kullanıcının yetki seviyeleri gözden geçirilmeli.
Son raporlara göre Petya nın geliştiricisi veya geliştiricileri tarafından kullanılan mail adresi mail servisinin bilgisi olmasıyla kapatıldı. Dolayısıyla Petya virüsü için ödeme yapabileceğiniz bir kanal gözükmüyor. Bu yüzden ödeme yapmayarak danışman firma veya BG.org.tr kanalları aracılığıyla ne yapacağınız hakkında kapsamlı bilgi edinebilirsiniz.
Son olarak Petya Ransomware ‘den etkilenmeden önce klasik fakat en önemli nokta antivirüs yazılımlarınızı gözden geçirip güncelleyin. Ağ (network) tabanlı koruyucu yazılımlar edinin. TCP/IP protokollerini gözden geçirin. 447/TCP portunu kapatın.
Kaynak: Bahtiyar M. PALTACI