Petya Virüsü Temizleme (Kesin Çözüm)

Petya’ nın ürettiği şifreyi kırabilmemiz için ihtiyacımız olan şey Petya’ nın ürettiği şifreyi hesaplayabilen bir internet sitesi (petya-pay-no-ransom-mirror1.herokuapp.com) ve Windows kurtarma CD’ si (eğer böyle bir CD oluşturmadıysanız Microsoft’ un kendi sitesinden ücretsiz olarak indirilebilirsiniz).

İnternet sitesi Petya virüsü bulaşmış Hard Diskimizin bazı bilgilerine ihtiyaç duymakta. Bu bilgileri elde etmenin iki farklı yolu vardır. İlki çok zahmetli bir yöntemdir. Bunun için internet üzerinden bir Hex-Editor programı indirerek ihtiyacımız olan tüm bilgileri okumaktır. Diğer yöntem ise güvenlik araştırmacısı olan Fabian Wosar’ ın bu amaç için ürettiği programı kullanmak. Program ücretisiz olup download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip linkinden indirilebilir. Bazı antivirüs programları bu programı tehdit olarak algılayabilir ancak program tamamen zararsızdır.

İlk adımda kurtarma CD’ sini ve yukarıdaki linkten indirmiş olduğunuz programı kopyaladığınız USB Belleği Petya virüsü bulaşmış bilgisayara takıyoruz ve bilgisayarı yeniden başlatıyoruz.

Karşınıza çıkan bu ekranda İleri seçeneğini seçiyoruz. Bu kısımda

bilgisayar onarma seçeneklerini seçiyoruz ve ardından gelişmiş ayarları seçiyoruz.

Son olarak buradan cmd’ yi çalıştır seçeneğini seçiyoruz.

Bu adımda USB belleğimizin hangi harf ile tanımlandığını bulmamız gerek. Bunun için açılan cmd ekranına notepad yazıyoruz ve ENTER tuşuna basıyoruz. Notepad programını açıktan sonra üst menüden Dosya -> Aç seçeneğini seçiyoruz ve karşımıza çıkan ekrandan USB belleğimizin hangi harf ile tanımlandığına bakıyoruz (burada F harfi ile tanımlanmış).

USB belleğimizin hangi harf ile tanımlandığını bulduktan sonra CMD ekranına USB belleğimizin harfi: (burada f:) komutunu girerek bilgisayarımızı USB belleğe yönlendiriyoruz ve ardından PetyaExtractor.exe komutunu girerek indirmiş olduğumuz programı çalıştırıyoruz.

Programı çalıştırdıktan sonra copy sector butonuna basıp otomatik olarak kopyalanan yazıyı notepad’ e yapıştırıyoruz. Ardından Copy Nonce butonuna basarak işlemi tekrarlıyoruz ve oluşturmuş olduğumuz bu dosyayı USB belleğimize kaydediyoruz.

İkinci bir bilgisayardan linkini vermiş olduğum internet sitesine giriyoruz ve oluşturmuş olduğumuz notepad dosyasının içerisindeki bilgileri bu siteye veriyoruz. İlk kutunun içerisine kopyaladığımız ilk bilgileri ikincisine ise ikini kopyaladığımız bilgiyi yapıştırıp submit butonuna basıyoruz.

Birkaç saniye bekledikten sonra ihtiyaç duyduğumuz şifre site tarafından hesaplanmış olacaktır.

Tüm resimler SemperVideo kanalındaki “Krypto-Trojaner Petya entschlüsselt” videosundan alınmıştır.

Umarım faydalı olmuştur...

Petya Virüsü ve Korunma Yolları

Geçtiğimiz günlerde yaşanan WannaCry virusu sorunu bugünlerde Petya’ya bıraktı. Aşağıda bir marketin elleri kolları bağlı hali görünüyor.

Petya yeni çıkan birşey değil aslında ilk olarak 2016 yılında ortaya çıkıyor. Zaten işletim sistemi updateleriniz ve antivirüsünuz güncel durumda ise bundan etkilenmiyorsunuz. WannaCry’a göre daha acımasız bir virus. Petya’nın bulaşması durumunda MBR yani Master Boot Record’u komple şifreliyor. Master Boot Record(kısaca MBR) depolama aygıtımız olan Hard Disk’ in ilk sektörüdür. Bilgisayarda hangi verinin/bilginin nerede olduğu burada saklıdır. Virüsü üreten kişler tarafından yapılan açıklamaya göre şifreleme Advanced Encryption Standard(AES) 256 Bit ve RSA 4096 Bit ile gerçekleştirilmiş ve bu yüzden verileri kurtarmanın tek yolunun şifrenin para karşılığında satın alınması olduğunu söylemişlerdi. Ancak uzmanlar Petya’ nın ürettiği şifreyi kırabilmek için Petya üzerinde çalışmalar başlatmış ve çalışmalar başarı ile sonuçlanmıştır. Bir sonraki makalede yani BURADA nasıl çözümleyeceğinizi anlattım.

Petya virüsü nedir?

Günümüzde oldukça popüler ve yaygın olan fidye virüsleri özellikle Windows işletim sistemine sahip bilgisayar kullanıcılarının canını sıkmış durumda. Apple'ın sahip olduğu OS X işletim sistemine dahi bulaşan bu fidye virüsleri, bilgisayardaki dosyaları şifreleyerek kullanılmaz hale getiriyor. Petya daha önce de söylediğim gibi MBR yani Master Boot Record’u komple şifreliyor. Bilgisayarınızı yeniden başlattığınızda ise fidye için ödenmesi gereken rakamları görüyorsunuz. CryptoLocker türevi olan Petya virüsü ise şu ana kadar bildiğimiz fidye virüslerinden çok daha farklı ve tehlikeli. Daha önceki CryptoLocker türevi dosya şifreleme virüsleri bilgisayarda bulunan dosyaları şifreliyor ancak işletim sisteminin çalışmasına engel olmuyordu. Yani daha önceki türevlerin zararı sadece dosyaların şifrelenmesiydi.

Petya virüsünde ise durum çok farklı. Petya virüsü, harddiskin ilk sektörü olan MBR'ye bulaşıyor. Yani Petya virüsü bilgisayardaki dosyaları şifrelemekle kalmıyor, işletim sistemine dâhi erişimi engelliyor. Kısaca Petya virüsü, harddiskin MBR bölümüne bulaşarak içerisinde bulunan bütün bilgilere, verilere, işletim sistemine erişmenizi engelleyen bir CryptoLocker türevi fidye virüsüdür.

Nasıl Bulaşır?

Genel olarak mail ile bulaşıyor. Gelen mailin içerisinde bir bulut depolama servisi olan Dropbox bağlantı linkleri bulunuyor. Bu bağlantıda yer alan sözde CV ve fotoğrafın yer aldığı ek dosyanın bilgisayara indirilmesi sonucunda bulaşan Petya virüsü, şu ana kadar gördüğümüz en tehlikeli Ransomware türevlerinden birisi.
Gelen mail uzantıları genelde şu şekilde oluyor;

Bewerbungsmappe-gepackt.exe
Bewerbungsmappe-gepackt-2-.exe.bin
Bewerbungsmappe-gepackt-3.exe.bin
Bewerbungsmappe-gepackt.ex_
b521767f67630b74e2272ee953295ef56c8b6428da75afa5bbfb05b72b34c69d.bin

Bulaştığında ne olur?

Merak etmeyin bulaştığını çok güzel anlarsınız. Zaten bu virüs işletim sistemini açtırmadığından sizi öncelikle mavi ekran ile karşılıyor. Daha sonra bilgisayar işletim sistemini bulamıyor ve Petya virüsü tekrar devreye girerek sahte bir chkdsk taraması yapıyor.

Sonra o malum kırmızı ekran bize merhaba diyor ve o andan sonra maalesef ki bilgilerimiz gidiyor.

"You became victim of the PETYA RANSOMWARE!" ile başlayan bu talimat ekranında Petya virüsü, kurbandan Tor tarayacısını indirmesini istiyor. Kurbanın Petya RANSOMWARE sitesine girip özel olarak belirlenmiş kod ile giriş yapmasını isteyen Petya virüsü, bu sayede bitcoin ile gelir elde ediyor.

Petya virüsünün talimat ekranında verdiği site bağlantısana tor tarayıcı ile girdiğinizde sizi aşağıdaki ekran karşılıyor.

"Start the decryption process" butonuna tıkladığınızda ise Petya virüsü sizden şu meşhur kırmızı ekranda verdiği kişiye özel çözüm kodunu girmenizi istiyor. Daha sonra istenilen bitcoin i satın almanız durumunda size özel bir şifre veriyor. O kırmızı ekrana bu keyi girince MBR yi düzenleyip açtığı söyleniyor. Tabi açıp açmadıkları da meçhul.

Nasıl engel oluruz?

Petya virüsünden etkilenmemiz için yapmanız gerekenler oldukça basit aslında.

• Antivirüslerinizi güncel tutun.
• Tanımadığınız epostalardan gelen dosyaları açmayın.
• İşletim sistemi patch’lerini güncel tutun.

Ev kullanıcısıysanız, Windows bilgisayarlarınızın en azından Nisan 2017 Windows Update güvenlik paketi paketini Microsoft’dan yüklediğinden emin olun. Emin değilseniz, Denetim Masası’na (Windows 7) veya Windows Ayarları’na (Windows 8, 8.1 veya 10) gidin, Windows Update’i veya Güncellemeler ve Güvenlik’i açın ve son yamaları kontrol edin. Makineyi tam olarak güncellemek bugünün fidye solucanına karşı bir miktar koruma sağlayacaktır.

Ayrıca antivirüs yazılımı çalıştırmalısınız. Saat 17: 30’dan bu yana, 39 farklı antivirüs markası, Avira, Bitdefender, ESET, Kaspersky, McAfee, Panda, Symantec / Norton ve Trend Micro dahil olmak üzere Petya’yı tespit etti.

Son olarak dünya üzerinde birçok firma bundan etkilenmiş durumda Maersk internet sitesinde aşağıdaki gibi bir açıklama yaptı.

Umarım bu virüsle karşılaşmaz ve temizlemeye uğraşmazsınız...

Temiz ve virüssüz günler...