Security Blog

Petya virüsü nedir? Nasıl korunulur?

Petya fidye yazılımı daha önce binlerce sisteme sızmış ve tespit edildikten kısa bir süre sonra çeşitli varyantları geliştirilmeye başlanmıştı. Ancak son günlerde adını uzun bir süre manşetlerde tutabilen zararlı ise WannaCry oldu. Geçtiğimiz ayın en önemli siber saldırılarından WannaCry ile ilgili olarak, bunun henüz bir başlangıç olacağını, ilerleyen günlerde daha farklı birçok saldırının gerçekleşebileceğini belirtmiştik. Şimdi de Petya virüsünün yeni bir varyantı ortaya çıktı ve bu varyant diğerlerine göre çok daha hızla yayılan, daha tehlikeli bir zararlı.

Petya virüsü nedir?

Petya virüsü, Türkçe fidye yazılım olarak ifade edilen bir ransomware. Sisteme sosyal mühendislik ya da sair zafiyetleri kullanarak sızdıktan sonra, bulaştığı dosyaları şifreliyor. Aslında teknik olarak diğer ransomeware’lerden farklı; zira Petya, sadece dosyaları değil aynı zamanda MBR ve MFT‘yi de şifreliyor. Bu şifreleme yöntemi sayesinde dosyalara erişim tamamen engelleniyor. Dosyaları geri getirmek içinse talep edilen ücretin ödenmesi gerekiyor.

Henüz dün sabah saatlerinde tespit edilen fidye yazılım, Ukrayna başta olmak üzere şimdiden birçok ülkedeki sistemleri kullanılamaz hale getirmiş durumda. Ukrayna’daki çeşitli kamu kurumlarından, Kiev havaalanı, metro sistemleri, enerji santralleri ve hatta nükleer santrallere kadar geniş bir alanda yayılmış olan virüs, talep edilen ücretin ödenmemesi halinde bu sistemlerin çalışmasını tamamen durdurabilir.

Petya fidye yazılımı uyarı notu

Sistemlerinin etkilendiğini duyuran diğer ülkeler ise İngiltere, Fransa, Rusya, Danimarka, Meksika, İran ve Brezilya. Ancak çok daha fazla ülkenin bu saldırıdan etkilenmesi bekleniyor. Petya fidye yazılımının yeni varyantıyla ilgili en dikkat çekici özellik ise, WikiLeaks tarafından sızdırılan NSA exploit’lerini kullanması. Bu anlamda WannaCry ile aynı özelliklere sahip olan yazılımın, gerekli önlemlerin kısa sürede alınmaması halinde birkaç gün içinde 500.000’den fazla bilgisayarı etkileyeceği tahmin ediliyor. Tıpkı WannaCry gibi Windows SMBv1 güvenlik açığı sayesinde hızla yayılan zararlı, NSA’in ShadowBrokers hacking grubu tarafından ifşa edilen exploit’lerinden olan EternalBlue’yu kullanıyor. Daha sonra da WMIC ve PSEXEC kullanarak, ağda hızlı bir şekilde yayılabiliyor.

Petya virüsü nasıl yayılıyor?

Petyanın yeni varyantı, aslında diğer fidye yazılımlarda olduğu gibi aynı zamanda spam e-posta aracılığıyla da yayılıyor. Kullanıcılara CVE-2017-0199 açığı üzerinden sosyal mühendislik teknikleriyle e-posta gönderen ve bu şekilde bulaşan Petya fidye yazılımı, VirusTotal tarafından yapılan analize göre, piyasada bulunan 61 antivirüs uygulamasının 40’ı tarafından yakalanabiliyor. Yakın bir zaman içinde diğer antivirüslerin de Petya’yı yakalaması bekleniyor.

Petya ransonware, sisteme sızdıktan sonra, sistemdeki dosyaları şifreliyor ve işlem tamamlandıktan sonra ekrana bir uyarı mesajı çıkarıyor. Bu mesajda ise yaklaşık 300 usd ödenmesi halinde şifrelenen dosyaların geri getirileceği belirtiliyor. Talep edilen ücret, belirtilen süre içinde ödenmezse, dosyalara veda ediliyor.

Petya dosyalarınızı nasıl şifreliyor?

Petya iki farklı modülden oluşuyor. İlk modül, klasik fidye yazılımlarında olduğu gibi dosyaların ilk 1 MB’lık bölümünü şifreliyor. Şifrelenen dosya uzantıları şu şekilde:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Dosyaların şifrelenmesi için 128 bit AES algoritmasını kullanan yazılım, daha sonra bu anahtarı da RSA açık anahtarı ile şifreliyor. İkinci modül ise Petya fidye yazılım ailesinden yadigar. İşletim sisteminin Master Boot Record (MBR) bölümüne yerleşen yazılım, sistemin her boot edilişinde otomatik olarak çalışmasını sağlıyor. Gerekli izinlere de sahip olduktan sonra yazılım, Master File Table’ı tespit ettikten sonra Salsa20 stream ile şifreliyor. Master File Table, NTFS dosya sisteminin veri yapısını tutan bir veri tablosu. Her dosyanın, disk üzerinde nerede bulunduğu bilgisini içeren Master File Table sayesinde Petya, her dosyanın nerede olduğunu takip ediyor.

Yeni saldırı yöntemleri sayesinde fidye yazılımlar, sistemlerin artık geri getirilemeyecek halde şifrelenmesini sağlıyor. Bu saldırılardan korunmak için öncelikle siber güvenlik farkındalığına sahip olmak, güvenlik açığı taraması ya da penetrasyon testi gibi süreçlerden geçirmek, doğru güvenlik uygulamalarını kullanmak ve gerekli ayarları yapmak gerekiyor. Bugüne kadar Petya ranwomare ve türevlerinden etkilenen kurumların, gerekli siber güvenlik önlemlerini almadığı, bilgi işlem personelinin yedekleme işlemi yapmadığı görülüyor. İşletmenizin Petya ve yakın zamanda çıkması beklenen diğer fidye yazılımlardan korunması için, profesyonel bir siber güvenlik hizmeti almayı ihmal etmeyin.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com