Petya yeni çıkan birşey değil aslında ilk olarak 2016 yılında ortaya çıkıyor. Zaten işletim sistemi updateleriniz ve antivirüsünuz güncel durumda ise bundan etkilenmiyorsunuz. WannaCry’a göre daha acımasız bir virus. Petya’nın bulaşması durumunda MBR yani Master Boot Record’u komple şifreliyor. Master Boot Record(kısaca MBR) depolama aygıtımız olan Hard Disk’ in ilk sektörüdür. Bilgisayarda hangi verinin/bilginin nerede olduğu burada saklıdır. Virüsü üreten kişler tarafından yapılan açıklamaya göre şifreleme Advanced Encryption Standard(AES) 256 Bit ve RSA 4096 Bit ile gerçekleştirilmiş ve bu yüzden verileri kurtarmanın tek yolunun şifrenin para karşılığında satın alınması olduğunu söylemişlerdi. Ancak uzmanlar Petya’ nın ürettiği şifreyi kırabilmek için Petya üzerinde çalışmalar başlatmış ve çalışmalar başarı ile sonuçlanmıştır. Bir sonraki makalede yani BURADA nasıl çözümleyeceğinizi anlattım.
Petya virüsü nedir?
Günümüzde oldukça popüler ve yaygın olan fidye virüsleri özellikle Windows işletim sistemine sahip bilgisayar kullanıcılarının canını sıkmış durumda. Apple'ın sahip olduğu OS X işletim sistemine dahi bulaşan bu fidye virüsleri, bilgisayardaki dosyaları şifreleyerek kullanılmaz hale getiriyor. Petya daha önce de söylediğim gibi MBR yani Master Boot Record’u komple şifreliyor. Bilgisayarınızı yeniden başlattığınızda ise fidye için ödenmesi gereken rakamları görüyorsunuz. CryptoLocker türevi olan Petya virüsü ise şu ana kadar bildiğimiz fidye virüslerinden çok daha farklı ve tehlikeli. Daha önceki CryptoLocker türevi dosya şifreleme virüsleri bilgisayarda bulunan dosyaları şifreliyor ancak işletim sisteminin çalışmasına engel olmuyordu. Yani daha önceki türevlerin zararı sadece dosyaların şifrelenmesiydi.
Petya virüsünde ise durum çok farklı. Petya virüsü, harddiskin ilk sektörü olan MBR'ye bulaşıyor. Yani Petya virüsü bilgisayardaki dosyaları şifrelemekle kalmıyor, işletim sistemine dâhi erişimi engelliyor. Kısaca Petya virüsü, harddiskin MBR bölümüne bulaşarak içerisinde bulunan bütün bilgilere, verilere, işletim sistemine erişmenizi engelleyen bir CryptoLocker türevi fidye virüsüdür.
Nasıl Bulaşır?
Genel olarak mail ile bulaşıyor. Gelen mailin içerisinde bir bulut depolama servisi olan Dropbox bağlantı linkleri bulunuyor. Bu bağlantıda yer alan sözde CV ve fotoğrafın yer aldığı ek dosyanın bilgisayara indirilmesi sonucunda bulaşan Petya virüsü, şu ana kadar gördüğümüz en tehlikeli Ransomware türevlerinden birisi.
Gelen mail uzantıları genelde şu şekilde oluyor;
Bulaştığında ne olur?Bewerbungsmappe-gepackt.exe Bewerbungsmappe-gepackt-2-.exe.bin Bewerbungsmappe-gepackt-3.exe.bin Bewerbungsmappe-gepackt.ex_ b521767f67630b74e2272ee953295ef56c8b6428da75afa5bbfb05b72b34c69d.bin
Merak etmeyin bulaştığını çok güzel anlarsınız. Zaten bu virüs işletim sistemini açtırmadığından sizi öncelikle mavi ekran ile karşılıyor. Daha sonra bilgisayar işletim sistemini bulamıyor ve Petya virüsü tekrar devreye girerek sahte bir chkdsk taraması yapıyor.
Sonra o malum kırmızı ekran bize merhaba diyor ve o andan sonra maalesef ki bilgilerimiz gidiyor.
"You became victim of the PETYA RANSOMWARE!" ile başlayan bu talimat ekranında Petya virüsü, kurbandan Tor tarayacısını indirmesini istiyor. Kurbanın Petya RANSOMWARE sitesine girip özel olarak belirlenmiş kod ile giriş yapmasını isteyen Petya virüsü, bu sayede bitcoin ile gelir elde ediyor.
Petya virüsünün talimat ekranında verdiği site bağlantısana tor tarayıcı ile girdiğinizde sizi aşağıdaki ekran karşılıyor.
"Start the decryption process" butonuna tıkladığınızda ise Petya virüsü sizden şu meşhur kırmızı ekranda verdiği kişiye özel çözüm kodunu girmenizi istiyor. Daha sonra istenilen bitcoin i satın almanız durumunda size özel bir şifre veriyor. O kırmızı ekrana bu keyi girince MBR yi düzenleyip açtığı söyleniyor. Tabi açıp açmadıkları da meçhul.
Nasıl engel oluruz?
Petya virüsünden etkilenmemiz için yapmanız gerekenler oldukça basit aslında.
- Antivirüslerinizi güncel tutun.
- Tanımadığınız epostalardan gelen dosyaları açmayın.
- İşletim sistemi patch’lerini güncel tutun.
Ev kullanıcısıysanız, Windows bilgisayarlarınızın en azından Nisan 2017 Windows Update güvenlik paketi paketini Microsoft’dan yüklediğinden emin olun. Emin değilseniz, Denetim Masası’na (Windows 7) veya Windows Ayarları’na (Windows 8, 8.1 veya 10) gidin, Windows Update’i veya Güncellemeler ve Güvenlik’i açın ve son yamaları kontrol edin. Makineyi tam olarak güncellemek bugünün fidye solucanına karşı bir miktar koruma sağlayacaktır.
Ayrıca antivirüs yazılımı çalıştırmalısınız. Saat 17: 30’dan bu yana, 39 farklı antivirüs markası, Avira, Bitdefender, ESET, Kaspersky, McAfee, Panda, Symantec / Norton ve Trend Micro dahil olmak üzere Petya’yı tespit etti.
Son olarak dünya üzerinde birçok firma bundan etkilenmiş durumda Maersk internet sitesinde aşağıdaki gibi bir açıklama yaptı.
Umarım bu virüsle karşılaşmaz ve temizlemeye uğraşmazsınız...
Temiz ve virüssüz günler...
Hiç yorum yok:
Yorum Gönder