Petya ransomware virüsü, 2016'da benzer ön atakları ile görülmeye başlamış ve Haziran 2017'de küresel bir Petya tabanlı fidye saldırısı olarak karşımıza çıkmıştır.. Watchguard firewall ile birlikte APT blocker lisansına sahip, alanında deneyimli, uzman bir  (İzmirComp Bilgisayar A.Ş.) Teknoloji Firmasından destek alıyor ve Güncel bir Trendmicro, Mcafee, Sophos gibi antivirüs yazılımına sahipseniz çok büyük ölçüde güvendesiniz demektir.  Ancak, Bu ataklar öncelikle Windows işletim sistemleri açıklarından ve kullanıcıların yetersiz bilgi veya işyoğunluğundan gözden kaçırdıkları oltalama yöntemlerinden faydalanarak bulaştığı için riskiniz var demektir.

 

 

Petya nedir?

 

Petya,  Mart 2016'dan beri aktif olan bir tür fidye aygıtıdır. Petya, özünde, diğer para kaçırma amaçlı kullanılan dolandırıcılık yazılımları ile aynı şekilde davranıyor. Dosyalarınızı şifreliyor, sizden para alıyor ve ortadan kayboluyor. Çok büyük bir ihtimalle dosyalarınızın yanında bir miktarda paranız kayboluyor. Çünkü istenilen parayı ödediği halde dosyalarını alamayanların yüzdesi oldukça yüksek seviylerde.

Petya, Dosyalarınızı diğer birçok kötü amaçlı yazılım gibi birer birer şifrelemek yerine, Diskin ana tablosunu (MFT) şifreleyerek tüm sabit sürücünüze erişebilmenizi engelliyor. Böylece dosya sistemi okunamaz hale gelir ve Windows önyükleme yapmaz ve siz hiçbirşekilde dosyalarınıza erişemezsiniz. Tek çarenizin parayı ödemek olduğunu düşünürsünüz.

 

 

Petya nerelere bulaştı?

 

Petya'nın Saldırılarından en çok Ukrayna ülkesi, Kiev metrosu, Ukrayna Ulusal Bankası ve birkaç havaalanı, uluslararası büyük ölçekli şirketler, birçok Avrupa ülkesi, Türkiye’deki ulusal şirketler etkilendi. Ancak saldırının ölçeği tamamen küresel. Nivea, Maersk, WPP veya Mondelez gibi çok uluslu şirketlerin de etkilenmekte olduğunu bilmekteyiz. Petya'nın etkileri Hindistan'dan İspanya'nın Barselona Limanı'na kadar hissedildi.

 

 

Tipik bir Petya saldırısı nasıl görülüyor?

 

Bir kamu kurumu veya özel şirketteki İK departmanı, birinin özgeçmişini görüntülemek isterken bir Dropbox indirme bağlantısına sahip sahte bir e-posta iş başvurusu alır. Bu bağlantı, hedef bilgisayarında virüsün bulaşmasını ve yayılmasını sağlayan bir exe dosyası indirerek networkte Windows açığı olan bilgisayarlara yayılmak üzere hareket eder.

Bu durumun,  İK departmanında çalışmadığınız sürece güvende olduğunuz anlamına gelmediğini lütfen unutmayın.  Bu sadece Petya'nın yaygınlaştığı ana yollardan birisi. Kim olduğunuz veya hangi kurumda hangi departmanda çalıştığınız önemli değil, internet bağlantısı olan ve Windows PC kullanan herkes potansiyel bir kurban olarak görülmektedir.

 

 

 

Petya Nereden geliyor? Bunu kim yaptı?

 

Bu noktada teknoloji ile ilgilenen bizler dahil hiç kimse gerçekten emin değil. Dünyanın dört bir yanındaki şirketler ve kurumlar,  Rusya, Birleşik Krallık, Hindistan, vb. Etkilenmiştir ve şu anda Petya'nın kesin coğrafi kökenini tespit etmek mümkün değildir.

Petya bilgisayarıma bulaştımı, nasıl anlayabilirim?

Kötü amaçlı Petya’nın .exe dosyasını açtıysanız, bir şeylerin doğru olmadığını gösteren ilk ipucu,  Windows masaüstünüzde "ölüm mavi ekranı" biçiminde görülen ekran olacaktır.

Bu ekran sonrası, Petya'nın  Diskinizdeki ana tabloyu şifrelemeye başladığı ve sonrasında arka plan üzerine yansıtılan yeşil veya kırmızı renkte bir kafatası uyarısı ile dosyalarınızın şifrelendiğini ve ödeme karşılığında geri verileceğini ileten bir mesaj  karşınıza çıkmaktadır. Bu ekranları gördüyseniz çok geç olmuş demektir.

Hemen Bilgisayarınızı kapatarak servise götürmeniz dosyalarınızın kurtulması için varolan küçük ihtimali güçlendirecektir.

 

 

Petya vb. fidye yazılımlarından nasıl korunabilirim?

 

Öncelikle mutlaka bir firewall cihazınız ve güçlü, güncel bir antivirüs yazılımızın olması gerekmektedir. Windows güncellemelerinizin tam ve açık olması , Bilgisayarınızda kaçak yazılımların olmaması oldukça önemlidir.  En önemlisi ise yedeklerinizin sık sık otomatik olarak alındığı bir sistemin olması sizi bu tarz ataklardan koruyarak kayıplardan etkilenmemenizi sağlayacaktır. Önümüzdeki yıllarda şekil değiştirerek yoğun bir şekilde artmasını beklediğimiz bu tarz siber saldırılardan etkilenmeyeceğinizi düşünmeyin. Bir gün mutlaka bu saldırılardan birisine denk gelebilir ve çok önemli olan  dosyalarınızı kaybedebilirsiniz. Şimdiden önleminizi alarak korunmanızda fayda var.

 

Alınacak Önlemler ve Çözümler Nelerdir?

  • Ağınızdaki Windows işletim sistemlerinde MS17-010 yamasının geçildiğinden emin olunuz. (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ) 

  • Cihazlarınızın ve WAN tarafında eğer açıksa UDP port 137 ve 138, TCP port 139 ve 445'i kapatınız.

  • Yedekleme politikanızı yeniden gözden geçirin ve baskın veri çekimlerini planlayınız.

  • Kullanıcıların yerel yönetici hesaplarını alarak normal kullanıcı olarak çalıştırtınız.

  • Tüm makinalarda UAC aktif ediniz.

  • Local admin şifrenizi basit ise değiştirin ve her cihazda sabit olmadığından emin olunuz.

  • CVE-2017-0199 Ofis RCE yamasını yapınız.(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199)

  • Kaynağından emin olmadığınız ve sizle alakası bile olmayan konulardaki e-postaları açmayınız, makro içeren mailleri direk siliniz.

  • Kullanıcılara konu ile alakalı bilgilendirme mailleri atınız.

  • SMBv1 hala yapmadı iseniz disable ediniz.

  • GPO kullanarak SMB ve WMI protokollerini bloklayınız.

  • PsExec kullanımını cihazlarda bloklayınız.

  • cmd /k shutdown.exe -a ile cihazı kapatma özelliğini devre dışı bırakınız.

  • appdata ve temp dizinde executable dosya çalıştırtmayı engelleyiniz.

  • Order-20062017.doc, myguy.xls, BCA9D6.exe, myguy.xls.hta dosyaları için uyanık olunuz.

  • 141.115.108, 165.29.78, 200.16.242 ve 90.139.247 ip blokları ile haberleşen cihazları izole ediniz. Ayrıca 185.165.29.78,84.200.16.242,111.90.139.247,95.141.115.108,95.141.115.108,185.165.29.78,84.200.16.242,111.90.139.247, 185.165.29[.]78 IP adreslerini de bloklamanızı tavsiye ediyoruz.

  • SIEM tarafında ilgili kuralları aktif ediniz.

 

 

Uyarı:

Zararlı yazılım geliştiricisi ödemeleri wowsmithxxxx@posteo.net  e-posta hesabı kullanarak bitcoin üzerinden toplamaktadır. Saldırıda kullanılan e-postanın sağlayıcısı Posteo, Petya zararlısını yayan e-posta hesabını kapattığını açıkladı.

Dosyalarınızı geri almak için tüm iletişim yolları kapalı, bu durumdan dolayı fidye ödememenizi tavsiye ediyoruz.

 

Kaynaklar:

https://www.cyberbit.com/endpoint-security/petya-ransomware/

http://www.bbc.com/turkce/amp/haberler-dunya-40416070

- TrendMicro Antivirus  - www.trendmicro.com

- WatchGuard Firewall – www.watchguard.com

Saygılarımızla.

İzmirComp Bilgisayar A.Ş. –  Teknik Destek Ekibi

Petya Virüsü Hakkında Çok Önemli Bilgileri Sizler İçin Derledik. 

Web Site Created By IZMIRCOMP Bilgisayar A.S.
5746/1 Sk. No:7 MTK Sitesi  Meriç Mahallesi Bornova - IZMIR   |  0232 999 65 60     |   facebook/izmircomp