Siber saldırının yeni adı: Petya

Başlangıç noktası Ukrayna olan ve finans, enerji, lojistik ve diğer birçok endüstrinin etkilendiği yeni ve büyük bir siber saldırının Petya’nın bir türevi olduğu belirlendi.

Siber saldırının yeni adı: Petya
28 Haziran 2017 Çarşamba 15:40 tarihinde eklendi, 3.539 kez okundu.
Başlangıç noktası Ukrayna olan ve finans, enerji, lojistik ve diğer birçok endüstrinin etkilendiği yeni ve büyük bir siber saldırının Petya’nın bir türevi olduğu belirlendi.
 
ESET güvenlik araştırmacılarının yaptığı incelemelere göre Ukrayna’da başlayan ve  Petya’nın bir türevi olan yeni fidye yazılımı, bilgisayarlarda MBR ünitesine bulaşmayı başarırsa tüm disk sürücüsünü şifreliyor. Bunu başaramazsa tüm dosyaları şifreliyor. Saldırıdan en çok etkilenen ülke Ukrayna olurken ondan sonra en çok etkilenen ülkeler sırasıyla Rusya, İtalya, İsrail, Romanya, ABD, Litvanya, Macaristan ve Polonya oldu. 
 
Ukrayna’da çok kullanılan bir muhasebe yazılımının web sitesinden güncelleme şeklinde yayıldığı tespit edilen yeni zararlı Petya dünyayı etkisi altına alabilmek için Mayıs ayında ortaya çıkan WannaCry gibi EternalBlue exploitini kullanıyor. Ayrıca ağ içinde de yönetici yetkisine sahip bir kullanıcının sisteme dahil olduğu bilgisayardan kullanıcı bilgilerini çalıp, ağ içinde açık olmayan bilgisayarlara da bulaşabiliyor.
 
Tek tek dosyalar değil tüm sistem hedef 
 
ESET Güvenlik Araştırmacısı Robert Lipovsky Petya’nın diğer zararlı yazılımlardan farklı olarak tek tek dosyaları şifrelemek yerine, dosya sistemini ele geçirmeye çalıştığını paylaştı. Sistem açılışından hemen sonra işletim sisteminin yüklenmesinden sorumlu mağdurun ana önyükleme kaydı olan MBR hedef alınıyor. Zararlı bulaştıktan sonra diskin MBR’sini şifreleyip 30-45 dk içinde bilgisayarı yeniden başlatıyor. Bilgisayar yeniden başlatılırken sahte bir chkdsk mesajı çıkarıyor. Bu aşamada bilgisayar kapatılırsa tüm diskin şifrelenmesi engellenebiliyor. Zararlının MBR ve diski şifreleyen bileşeni dışında normal kullanıcı dosyalarını şifreleyen bir bileşeni daha bulunuyor. 
 
Dikkat; şifreleri almak için fidye ödeme olanağı artık yok 
 
Siber suçlular bilgisayarda verileri çözmek için 300 USD karşılığı bitcoin istiyor. Ancak dün itibariyle verilen e-posta kapatıldığı için ödeme yapanların da şifreleri alma şansı artık yok. Kullanıcılar şifre çözme anahtarı alamayacakları için fidye ödemesi yapması da anlamsız hale geliyor.
 
Araştırmacılar, C:Windows dizini altında perfc isimli dosya oluşturup yalnızca okunur hale getirmek zararlıya karşı bilgisayarları aşılı hale getirdiğini tespit ettiler.
 
ESET Güvenlik Araştırmacısı Robert Lipovsky, “Bu tür bir tehdidi önlemek için, sistemlerinizin tam olarak yamalı olmasını, uygun bir güvenlik çözümü kullanmanızı ve ağ segmentasyonunu kurduğunuzu öneririz, bu şekilde ağda yayılmasını önlenmeye yardımcı olursunuz” dedi.
 
Eset’in açıklamasına göre korunmak için yapılması gerekenler şunlar:
 
•    Mutlaka güncel ve proaktif bir güvenlik yazılımı kullanınız.
 
•    Sistem yamalarını güncelleyiniz. 
 
•    Bilgisayarı kapatmak ve yeniden önyükleme yapmak, disk şifrelemesini önleyebilir.
 
•    Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayınız. Ayrıca bildiğiniz ve güvendiğiniz birinden gelen e-mail içerisinde beklemediğiniz ve talep etmemiş olduğunuz bir ek varsa açmamanızı öneriyoruz. 
 
•    İşleri gereği sürekli farklı kişilerden e-posta alan iş arkadaşlarınızı uyarınız – örneğin muhasebe departmanları veya insan kaynakları departmanlarını.
 
•    Verilerinizi düzenli olarak yedekleyiniz. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır. Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırınız. Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alınız.