Rusya ve Ukrayna’da başlayan, Avrupa ve Amerika’ya yayılan WannaCry benzeri küresel fidye yazılım salgını dünyayı etkisi altına almaya başladı.
FİDYE YAZILIMI NE YAPIYOR?
Kötücül yazılım sistemi enfekte ettikten sonra yeniden başlatmak için 10 ila 60 dakika bekliyor. Yeniden başlatma işleminden sonra NTFS bölümündeki MFT tablosunu şifreleyerek MBR’yi fidye notuyla yeniden yazıyor.
Kötü amaçlı yazılım, tüm ağ bağdaştırıcılarını, bilinen tüm sunucu adlarını NetBIOS vasıtasıyla numaralandırıyor ve var olan DHCP listesini (varsa) alıyor. Yerel ağdaki ve sunucularda bulunan her IP, 445 ve 139 TCP port’ları açık olup olmadığına dair kontrol edilir. Açıksa yukarıda bahsi geçen yöntemlerle salgın bu makinelere bulaştırılır.
Saldırganlara şifrelenen verilerin çözülmesi için gönderilen 300 dolarlık bitcoin karşılığında çözücü anahtarı göndermediği de gelen haberler arasında yer alıyor. 27 Haziran’da saat 19 civarında bitcoin cüzdanında 6,000 dolar karşılığı bulunuyordu. Dolayısıyla bu sorunla karşı karşıya kalanların şifrelenen verileri şu an için çözebilecek bir aracı da an itibariyle olmadığı haberler arasında yer alıyor.
Saldırıdan etkilenen sistemlerde bulunan Perfc.dat dosyası sistemi devre dışı bırakacak süreci başlatıyor. Sistem enfeksiyona yakalandıktan sonra PowerShell mimarisini kullanan PsExec devreye girerek, uzak bilgisayarlar üzerinde komut çalıştırmaya imkan veren aracı kullanıyor. Windows WMI ile yönetim aracı sayesinde enfekte perfc.dat ağdaki açık portlar üzerinden diğer tüm sistemlere gönderilerek salgının büyümesi sağlanıyor.
Sophos firmasının antivirüs programları için ürettiği yeni nesil yardımcı yazılımı Sophos İntetcept X ile Petya yazılımı bilgisayarınıza bulaşmadan yüklerseniz Petya yazılımından korunabilirsiniz.
Eğer sisteminiz bu saldırıdan etkilendiyse bilgisayarınızı yeniden başlatmayın ve fidyeyi ödemeyin. Eğer sisteminiz yeniden başladıysa bir yedek üzerinden geri yükleme yapmanız en iyi seçenek olarak karşımızda.
Petya Saldırıyı Canlı İzlemek İçin
HAVALİMANINDA UÇUŞLAR DURDU
Bu arada Kiev’in Borispol Havalimanı Facebook sayfasından bir açıklama yaparak BT sistemlerinde sorun olduğunu bildirdi. “Durumumuzu çözmek için BT hizmetlerimiz çalışıyor. Yaşanan durum nedeniyle uçuşlarda gecikmeler olabilir” şeklinde açıklama yapan havaalanının resmi sitesi ve uçuş programları çalışmıyor. Amerika’nın en büyük ilaç şirketlerinden Merck de Wannacry benzeri saldırıdan etkilendiğini ve bilgisayar ağlarının etkilendiğini açıkladı.
UZMANLAR NE DİYOR? SALDIRIDAN NASIL KORUNABİLİRSİNİZ?
Fidye yazılım saldırısı hakkında görüşüne başvurduğumuz uzmanlardan Innovera Yönetici Ortağı Burak Dayıoğlu şunları söyledi: “Petya saldırısı, WannaCry’dan sonra tam da beklediğimiz gibi kısa sürede geldi. Saldırganlar WannaCry’da kullanılan saldırı tekniklerinin oldukça benzerlerini uyguluyorlar. Zararlı yazılım, saldırı için özel hazırlanmış MS-Word belgeleri olarak eposta ile iletiliyor; hedef kuruluştan birisi açınca ilgili bilgisayardaki dosyaları erişilemez kılıyor ve WannaCry’ın da yaptığı biçimde başka bilgisayarlara Windows dosya paylaşımı protokolü üzerinden yayılmaya çalışılıyor.
WannaCry’dan iki temel farkı var; birincisi WannaCry’daki gibi bir ‘acil durdurma’ mekanizması konulmamış; hatırlayacağınız gibi WannaCry’ı bu acil durdurma mekanizmasını tetikleyerek dünya çapında frenlemek mümkün olmuştu. Petya bu açıdan yayılması merkezi olarak engellenemez durumda. Diğer taraftan tüm dosyaları tek tek şifrelemek yerine Petya işletim sisteminin açılışına yerleşip sadece hangi dosyanın nerede olduğunu gösterir kataloğu değiştirip şifreleyebiliyor; bu da tek bir bilgisayarı ele geçirip fidye istemesini ciddi şekilde hızlandırıyor.
Bilgisayar kullanıcılarına önerilerimiz benzer; tüm güncel yamaları uygulamalarını, modern bir antivirüs yazılımını çalıştırmalarını, sürekli yedek almalarını ve iyi bir güvenlik tarayıcısı ile sistemlerini sürekli güvenlik açıklarına karşı test etmelerini öneriyoruz.”
SOPHOS İNTERCEPT X 30 günlük deneme sürümünü hemen bilgisayarınıza yükleyin ve güvende olduğunuzu unutmayın.
Sophos Intercept X Demo Kullan 30 gün
WhatsApp 'dan yazın.