BİZE ULAŞIN
Ukrayna’da çok kullanılan bir muhasebe yazılımının web sitesinden güncelleme şeklinde yayıldığı tespit edilen yeni zararlı Petya dünyayı etkisi altına alabilmek için Mayıs ayında ortaya çıkan WannaCry gibi EternalBlue exploitini kullanıyor. Ayrıca ağ içerisinde de yönetici yetkisine sahip bir kullanıcının sisteme dahil olduğu bilgisayardan kullanıcı bilgilerini çalıp , ağ içinde açık olmayan bilgisayarlara da bulaşabilme yeteneğine sahip.
Petya’nın diğer zararlı yazılımlardan farklı bir yönü var. Başlıkta da belirttiğimiz gibi, dosyaları tek tek değil, PC'nin direkt olarak sistemini hedef alıyor ve sistemi şifreliyor. Şu ana kadar ödeme prensiplerine bakacak olursak; Bitcoin ile ödemeler gerçekleştiriliyor ve ödemelerin gerçekleşmesi için kullanılan Bitcoin Wallet algoritması, kriptolu olduğu için hükümetler tarafından gözetlenemez. Sadece dosya sistemini ele geçirmeye çalışmasıyla değil, sistem üzerindeki kritik dosyaları da 3. tarafa sızdırmasıyla ünlenebilir.
Sistem açılışından hemen sonra işletim sisteminin yüklenmesinden sorumlu mağdurun ana önyükleme kaydı olan MBR hedef alınıyor.
Sözkonusu yazılım sisteme bulaştıktan sonra ,diskin MBR’sini şifreleyip 30-45 dk içinde bilgisayarı yeniden başlatıyor. Bilgisayar yeniden başlatılırken sahte bir chkdsk mesajı çıkarıyor. Bu esnada bilgisayar kapatılırsa tüm diskin şifrelenmesi engellenebiliyor. Zararlının MBR ve diski şifreleyen bileşeni dışında normal kullanıcı dosyalarını şifreleyen bir bileşeni daha bulunuyor.
Siber suçlular bilgisayarda verileri çözmek için 300 USD karşılığı bitcoin istiyor. Ancak dün itibariyle verilen e-posta kapatıldığı için ödeme yapanların da şifreleri alma şansı artık yok. Kullanıcılar şifre çözme anahtarı alamayacakları için fidye ödemesi yapması da anlamsız hale geliyor.
Araştırmacılar, C:\Windows dizini altında perfc isimli dosya oluşturup yalnızca okunur hale getirmek zararlıya karşı bilgisayarları aşılı hale getirdiğini tespit ettiler.
Mutlaka güncel ve proaktif bir güvenlik yazılımı kullanınız.
Sistem yamalarını güncelleyiniz.
Bilgisayarı kapatmak ve yeniden önyükleme yapmak, disk şifrelemesini önleyebilir.
Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayınız. Ayrıca bildiğiniz ve güvendiğiniz birinden gelen e-mail içerisinde beklemediğiniz ve talep etmemiş olduğunuz bir ek varsa açmamanızı öneriyoruz.
İşleri gereği sürekli farklı kişilerden e-posta alan iş arkadaşlarınızı uyarınız – örneğin muhasebe departmanları veya insan kaynakları departmanlarını.
Verilerinizi düzenli olarak yedekleyiniz. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır. Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırınız. Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alınız.
